1996 年健康保險流通和責任法案 （HIPAA） 是美國頒布的一項法律，旨在保護患者的醫(yī)療記錄和由/提供給患者的健康相關信息的隱私，也稱為 PHI（個人健康信息）。HIPAA 合規(guī)性旨在通過定義電子記錄傳輸?shù)臉藴蕘斫档歪t(yī)療保健的管理成本。HIPAA 旨在幫助打擊保險和醫(yī)療保健服務中的濫用、浪費和欺詐行為。在云中管理 HIPAA 合規(guī)性更具挑戰(zhàn)性，但 AWS 提供服務來設計和實施高負載系統(tǒng)，以使用 HIPAA 處理大量 ePHI。

簽署 AWS 業(yè)務伙伴協(xié)議 （BAA）

根據(jù) HIPAA 合規(guī)性指南，每個涵蓋的實體都必須遵守 HIPAA 安全規(guī)則。AWS 服務經(jīng)過認證以確保 HIPAA 合規(guī)性。AWS 與客戶簽署 BAA 協(xié)議，包括法律責任，在物理基礎設施出現(xiàn)任何違規(guī)行為時通知他們。

HIPAA 合規(guī)責任在“涵蓋實體”上，而不是在 AWS 上

AWS 對物理基礎設施的破壞負責，這意味著應用程序級別的安全性是開發(fā)應用程序的涵蓋實體的責任。AWS 以共同的責任運作。AWS 負責保護 AWS 上的基礎設施（如計算、存儲、數(shù)據(jù)庫、網(wǎng)絡、區(qū)域和可用區(qū)以及邊緣位置）的某些安全性和合規(guī)性。

AWS 客戶負責他們用來創(chuàng)建解決方案的服務，例如平臺、操作系統(tǒng)、應用程序、客戶端-服務器端加密、IAM、網(wǎng)絡流量保護、客戶數(shù)據(jù)。

ePHI 的加密和保護

HIPAA 安全規(guī)則解決了 PHI 在云中傳輸（傳輸中）和存儲（靜態(tài)）中的數(shù)據(jù)保護和加密。AWS 提供了一組功能和服務，可提供 PHI 的密鑰管理和加密。

審計、備份和災難恢復

審計和監(jiān)控是云架構中必須解決的技術保障。這意味著任何 ePHI 信息的存儲、處理或傳輸都應記錄在系統(tǒng)中，以跟蹤數(shù)據(jù)的使用情況。架構應該有關于 ePHI 上任何未經(jīng)授權的訪問和威脅的通知。

解決方案必須有應急預案，在發(fā)生災難時保護 ePHI 信息，避免患者信息丟失。它應該計劃使用恢復過程對收集、存儲和使用的 ePHI 信息進行備份，以便在任何信息丟失時能夠恢復信息。

身份驗證和授權

符合 HIPAA 要求的系統(tǒng)必須在系統(tǒng)安全計劃中記錄身份驗證和授權機制以及所有角色和職責，以及所有變更請求的配置控制流程、批準和流程。

以下是使用 AWS 進行架構時需要考慮的幾點

IAM 服務提供對特定服務的訪問

啟用 MFA 以訪問 AWS 賬戶

授予最小權限

定期輪換憑證

架構策略

不應假定所有符合 HIPAA 要求的 AWS 服務默認都是安全的，但它需要多項設置才能使解決方案符合 HIPAA 要求。以下是一些應與 HIPAA 應用程序一起應用的策略

將訪問/處理受保護的 PHI 數(shù)據(jù)的基礎架構、數(shù)據(jù)庫和應用程序解耦，可以通過以下方式實現(xiàn)：

關閉所有公共訪問，避免使用訪問密鑰，將 IAM 與自定義角色和策略一起使用，并附加身份以訪問服務

為存儲服務啟用加密

跟蹤數(shù)據(jù)流并設置自動監(jiān)控和警報

保持受保護工作流程和一般工作流程之間的界限。隔離網(wǎng)絡，創(chuàng)建具有多可用區(qū)架構的外部 VPC，為不同的應用程序層分隔子網(wǎng)，為后端應用程序和數(shù)據(jù)庫層分隔私有子網(wǎng)

HIPAA 的示例架構

圖： HIPAA 架構

上圖適用于符合 HIPAA 要求的 3 層醫(yī)療保健應用：

Route53 通過內(nèi)部負載均衡器連接到 WAF（Web 應用程序防火墻），避免了公共網(wǎng)絡，使用 ACM（私有安全機構）使用 HTTPS 加密 REST 中的數(shù)據(jù)

VPC（虛擬私有云）由位于 Web、后端和數(shù)據(jù)庫層的不同可用區(qū)中的六個私有子網(wǎng)創(chuàng)建

2 個內(nèi)部 ELB（Elastic Load Balancing - 1 個用于 Web 和 1 個用于后端），帶有 Auto Scaling 組，用于在多個實例之間處理和分配流量，并在負載高時指示啟動新實例

MySQL 和 ElasticCache 使用 HSM（硬件安全模塊）在多個可用區(qū)啟動以加密數(shù)據(jù)

Cloudwatch 配置用于監(jiān)控、設置警報和應用程序日志

CloudTrail、Config 和 Trusted Advisor 用于審計 AWS 資源。IAM 用于限制對 AWS 資源和管理控制臺的訪問

Inventory 用于獲取 EC2 實例的可見性

使用 AWS 平臺，任何組織都可以設計安全、穩(wěn)健、可靠和高效的符合 HIPAA 標準的解決方案。它可以幫助驗證現(xiàn)有解決方案，以識別系統(tǒng)中的風險、安全措施和漏洞，以滿足任何醫(yī)療保健解決方案的 HIPAA 合規(guī)性要求。

審核編輯：郭婷