Назад | Перейти на главную страницу

Следует ли зашифровать диск ОС с помощью BitLocker для соответствия HIPAA

Я собираюсь разместить на виртуальных машинах Azure веб-приложение, соответствующее требованиям HIPAA. Что касается базы данных, сейчас я склоняюсь к использованию виртуальной машины с SQL 2014 Standard Edition.

Поскольку TDE недоступен в Standard Edition, я собираюсь просто использовать BitLocker для шифрования всего диска. Однако, согласно тому, что я прочитал, невозможно зашифровать диск ОС на виртуальной машине Azure без использования какой-либо сторонней службы (например, CloudLink).

Эта статья из MSDN подразумевает, однако, что можно использовать BitLocker для шифрования диска с данными. Поэтому я предполагаю, что у меня двоякий вопрос:

1) Можно ли зашифровать диск с данными с помощью BitLocker на виртуальной машине Azure?

2) Если я получу виртуальную машину Azure с SQL Standard, нужно ли будет шифровать диск ОС, чтобы оставаться совместимым с HIPAA?

Отказ от ответственности: я не юрист.

Во-первых, необходимо прочитать:

Центр управления безопасностью Microsoft Azure

Соглашение о бизнес-партнерстве HIPAA (BAA)

HIPAA и HITECH Act - это законы США, которые применяются к медицинским учреждениям, имеющим доступ к информации о пациентах (называемой защищенной медицинской информацией или PHI). Во многих случаях, чтобы покрываемая медицинская компания могла использовать облачный сервис, такой как Azure, поставщик услуг должен дать письменное согласие на соблюдение определенных положений о безопасности и конфиденциальности, изложенных в HIPAA и HITECH Act. Чтобы помочь клиентам соблюдать HIPAA и HITECH Act, Microsoft предлагает клиентам BAA в качестве дополнения к контракту.

В настоящее время Microsoft предлагает BAA клиентам, у которых есть корпоративное лицензионное соглашение / соглашение Enterprise (EA) или действующая регистрация EA только для Azure в Microsoft для услуг, входящих в объем. Советник «Только для Azure» не зависит от размера рабочего места, а зависит от годового денежного обязательства перед Azure, которое позволяет клиенту получить скидку сверх цены по мере поступления.

Перед подписанием BAA клиенты должны прочитать Руководство по внедрению HIPAA для Azure. Этот документ был разработан, чтобы помочь клиентам, которые заинтересованы в HIPAA и HITECH Act, понять соответствующие возможности Azure. Целевая аудитория включает сотрудников по вопросам конфиденциальности, безопасности, комплаенс и других организаций-клиентов, ответственных за выполнение и соблюдение законов HIPAA и HITECH. В этом документе описываются некоторые из передовых методов создания приложений, совместимых с HIPAA, и подробно описаны положения Azure по устранению нарушений безопасности. Хотя Azure включает функции, которые помогают обеспечить соблюдение требований конфиденциальности и безопасности клиентов, клиенты несут ответственность за обеспечение того, чтобы их конкретное использование Azure соответствовало HIPAA, Закону HITECH и другим применимым законам и постановлениям, и им следует проконсультироваться со своим юристом.

Клиенты должны связаться с представителем своей учетной записи Microsoft, чтобы подписать соглашение.

Возможно, вам потребуется подписать BAA с поставщиком облачных услуг (Azure). Спросите у представителя (ей) по соответствию.

Здесь Руководство по внедрению HIPAA в Azure.

Можно использовать Azure в соответствии с требованиями HIPAA и HITECH Act.

Виртуальные машины Azure, SQL Azure и экземпляры SQL Server, работающие на виртуальных машинах Azure, входят в область действия и поддерживаются здесь.

Bitlocker достаточно для шифрования данных в состоянии покоя. Он использует шифрование AES способом, который удовлетворяет требованиям HIPAA (а также требованиям других аналогичных организаций) для шифрования данных в состоянии покоя.

Кроме того, SQL Server не будет хранить незашифрованные конфиденциальные данные на диске ОС. если только вы настраиваете SQL для этого ... например, настраиваете TempDB для работы на диске ОС или что-то в этом роде.

Шифрование ячеек / полей / столбцов в отдельных базах данных строго не требуется. предполагая вы уже выполнили требования по шифрованию хранимых данных другими способами, например TDE или Bitlocker.

Может возникнуть вопрос о том, как вы решите управлять ключом шифрования Bitlocker, поскольку он не будет находиться внутри микросхемы TPM или на съемном USB-накопителе, поскольку у вас нет доступа к физическому компьютеру. (Подумайте о том, чтобы системный администратор вручную вводил пароль для разблокировки диска с данными при каждой перезагрузке сервера.) Это своего рода основная привлекательность таких служб, как CloudLink, поскольку они управляют этим священным ключом шифрования за вас.

Отвечая на ваш комментарий: Если вы устанавливаете SQL Server на D :, а Windows работает на C :, данные SQL будут находиться в файлах MDF и LDF (на D :), в TempDB (на D :) и в памяти. В состоянии серьезной нехватки памяти данные могут быть перенесены в файл подкачки, который может находиться на C :. Может помочь блокировка страниц в памяти. SQL 2014 должен это поддерживать. Видеть http://support.microsoft.com/kb/918483.