符合Hipaa标准的服务器

Question

我在亚马逊EC2中有一个实例，需要兼容Hipaa。我有两个疑问，

1. 是否需要对数据库存储进行块级加密。
2. 在存储到数据库之前，是否需要对敏感数据进行加密。
3. 加密处理的最佳数据库软件

任何帮助都是非常值得赞赏的，

谢谢。

Answer 1

HIPAA的问题在于它是相对主观的，个人对它的解释是不同的，以适应他们的目的--关于HIPAA的快速入门，请参阅这里。

您应该采取的一般方法是最大限度地提高用户的PHI (受保护的健康信息)的安全性。通常，HIPAA建议/要求您加密PHI数据( at rest)、和(传输中的)，这些都是HIPAA法案中的164.312所涵盖的。

因此，你可以自由地解释这一裁决：

• At-rest加密：通过加密存储数据的磁盘/块。或在数据存储到磁盘之前对其进行加密。后者显然是非常昂贵的CPU。任何加密/解密过程都将是CPU密集型的，因此无论如何都会受到性能的影响。我们通过在任何地方使用SSD来克服这个问题。我们还采用的方法是加密块，而不是对数据库进行读写操作。这足以满足HIPAA的需求。如果对块进行加密，则不需要使用任何特定于DB的工具来加密等等，这肯定会简化您的生活。
• 在传输加密：涵盖在164.312(e)(1)的法案。一般来说，这适用于PHI的任何运动。因此，如果您往返于应用程序，往返于数据库，则必须对数据进行最低限度的加密(SSL/https)。因此，确保任何数据在网络上都是通过https完成的。从技术上讲，应用程序和db之间的传输仍然属于“在途”的要求。但是，您可以很容易地提出这样的论点，即这是在您的VPC中，因此不是必需的。为了简化审计过程，我们还对此进行了选加密。

希望这一切都有帮助。

我相信您已经知道这一点，但这只涵盖了HIPAA所需的一小部分内容。在文档、培训等方面涉及很多方面。请参阅这里记录如何遵守HIPAA，这里用于您如何在组织内设置实际策略，这里 re您的HIPAA培训作为您可以使用的起点。也可以查看问责总部，也许可以帮助您获得一个快速的开始。

Answer 2

AWS中心是一个良好的开端：AWS中的HIPAA。

如该页所述：

您可以在符合HIPAA的应用程序中使用任何AWS服务。然而，只有在我们的BAA中定义的符合HIPAA资格的服务才能用于处理、存储和传输个人可识别的病人数据。

阅读两个AWS常见问题：第1部分和第2部分。您还需要了解分担责任模式。

EC2，EBS是符合标准的服务.但是，您需要打开EBS加密，并在专用实例上运行它们。这样做的代价并不小，对于单个实例/小系统来说可能是过分的。

关于你的问题：

1. 是否需要对数据库存储进行块级加密。

如果您在EC2 + EBS上运行数据库，那么是的；这只是对AWS的一次单击。

如果您使用RDS (托管服务)，那么这将由AWS为您处理。注:在撰写本报告时，只有MySQL和甲骨文是符合标准的RDS。但是，您可以在符合HIPAA的EC2 & EBS上运行。

1. 在存储到数据库之前，是否需要对敏感数据进行加密。

并不是真的需要。只有当您需要将它作为额外的安全层时，我才会说“是”，但它并不能改善您的HIPAA遵从性状态。

1. 加密处理的最佳数据库软件

这取决于您的特定架构。如果您使用加密的EBS或RDS，那么加密已经为您处理了。

我建议联系AWS支持，得到一个BAA，然后对整个解决方案进行TCO计算，然后再向前推进。