我应该使用 BitLocker 加密操作系统磁盘以符合 HIPAA 要求吗

我应该使用 BitLocker 加密操作系统磁盘以符合 HIPAA 要求吗

我正在考虑在 Azure VM 上托管符合 HIPAA 要求的 Web 应用程序。对于数据库,目前我倾向于使用带有 SQL 2014 标准版的 VM。

由于标准版不提供 TDE,我将使用 BitLocker 加密整个驱动器。但是,根据我所读到的内容,如果不使用某种第三方服务(例如云联)。

本文但是,MSDN 暗示可以使用 BitLocker 加密数据驱动器。因此,我想我的问题是双重的:

1)是否可以在 Azure VM 上使用 BitLocker 加密数据驱动器?

2) 如果我获得具有 SQL Standard 的 Azure VM,是否需要加密操作系统驱动器以保持符合 HIPAA 标准?

答案1

免责声明:我不是律师。

首先,一些必读内容:

Microsoft Azure 信任中心

HIPAA 业务伙伴协议 (BAA)

HIPAA 和 HITECH 法案是美国法律,适用于有权访问患者信息(称为受保护的健康信息,即 PHI)的医疗保健实体。在许多情况下,对于受保医疗保健公司来说,要使用 Azure 等云服务,服务提供商必须在书面协议中同意遵守 HIPAA 和 HITECH 法案中规定的某些安全和隐私条款。为了帮助客户遵守 HIPAA 和 HITECH 法案,Microsoft 向客户提供 BAA 作为合同附录。

目前,Microsoft 为已与 Microsoft 签订批量许可/企业协议 (EA) 或 Azure 专属 EA 注册的客户提供 BAA,以获得范围内的服务。Azure 专属 EA 不依赖于席位大小,而是依赖于对 Azure 的年度资金承诺,这使客户能够获得比按使用量付费定价更低的折扣。

在签署 BAA 之前,客户应阅读 Azure HIPAA 实施指南。本文档旨在帮助对 HIPAA 和 HITECH 法案感兴趣的客户了解 Azure 的相关功能。目标受众包括隐私官、安全官、合规官以及客户组织中负责 HIPAA 和 HITECH 法案实施和合规的其他人员。本文档介绍了构建符合 HIPAA 要求的应用程序的一些最佳实践,并详细介绍了 Azure 处理安全漏洞的规定。虽然 Azure 包含有助于实现客户隐私和安全合规性的功能,但客户有责任确保他们对 Azure 的特定使用符合 HIPAA、HITECH 法案和其他适用法律法规,并应咨询自己的法律顾问。

客户应联系其 Microsoft 客户代表签署协议。

您可能需要与您的云提供商(Azure)签署 BAA。询问您的合规代表。

这里是Azure HIPAA 实施指南

可以以符合 HIPAA 和 HITECH 法案要求的方式使用 Azure。

Azure VM、Azure SQL 以及在 Azure VM 中运行的 SQL Server 实例均在此范围内并受到支持。

Bitlocker 足以加密静态数据。它使用 AES 加密,其方式满足 HIPAA 要求(以及其他类似组织的要求),用于加密静态数据。

此外,SQL Server 不会在操作系统驱动器上存储未加密的敏感数据除非您可以配置 SQL 来执行此操作...例如将 TempDB 配置为位于 OS 驱动器上或类似的东西上。

单个数据库内的单元格/字段/列的加密并非严格要求假设您已经满足以其他方式加密静态数据的要求,例如 TDE 或 Bitlocker。

您如何选择管理 Bitlocker 加密密钥可能会出现,因为由于您无法访问物理机器,因此它不会存在于 TPM 芯片或可移动 USB 驱动器中。(考虑让系统管理员在每次服务器重新启动时手动输入密码来解锁数据驱动器。)这可以说是 CloudLink 等服务的主要吸引力,因为它们会为您管理神圣的加密密钥。

答案2

回答您的评论:如果您在 D: 上安装 SQL Server,而 Windows 在 C: 上运行,则 SQL 数据将位于:MDF 和 LDF 文件(在 D: 上)、TempDB(在 D: 上)和内存中。在严重的内存不足状态下,数据可能会交换到页面文件,而页面文件可能位于 C: 上。将页面锁定在内存中可能会有所帮助。SQL 2014 应该支持这一点。请参阅http://support.microsoft.com/kb/918483

相关内容