Wie kann ich die Tatsache umgehen, dass AWS SQS nicht HIPAA-kompatibel ist?

21

Ich habe einen Anwendungsfall, in dem Daten aus S3 in AWS SQS eingereiht werden, das wiederum mit CloudWatch verbunden ist, dessen Metriken AWS Lambda auslösen.

Ich möchte jedoch, dass die Architektur HIPAA- kompatibel ist. Also habe ich mir diese Idee ausgedacht:

  1. Sobald mein S3-Bucket eine Datei erhält,
  2. Starten Sie eine Lambda-Funktion, die das Hashing / Name-Scrambling der Dateien durchführt und in einen anderen S3-Bucket kopiert (via aws cp).
  3. Verbinden Sie den Bucket mit den gehashten / verschlüsselten Namen mit der SQS-Warteschlange

Ist das eine gute und sichere Praxis? Oder gibt es eine bessere Problemumgehung? (Wäre mehr als glücklich, wenn ich verschlüsselte S3-Schlüssel an SQS senden kann. Aber nicht sicher, ob ich kann oder ob es möglich ist.)

Dawny33
quelle

Antworten:

19

Laut Amazon AWS

Kunden können jeden AWS-Service in einem Konto verwenden, das als HIPAA-Konto ausgewiesen ist. Sie sollten PHI jedoch nur in den HIPAA-fähigen Diensten verarbeiten, speichern und übertragen, die in der BAA definiert sind. Derzeit gibt es zehn HIPAA-fähige Dienste, darunter AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier und Amazon Relational Database Service (RDS) [MySQL, Nur Oracle- und PostgreSQL-Engines, Amazon Aurora (nur MySQL-kompatible Edition), Amazon Redshift und Amazon S3.

Quelle: https://aws.amazon.com/compliance/hipaa-compliance/

Dies bedeutet, dass Sie, solange Sie keine PHI in SQS speichern oder übertragen, nur die Informationen darüber, wo diese PHI gespeichert wird, wahrscheinlich eine Prüfregistrierung übergeben können. HIPAA-Konformität.

In der von Ihnen beschriebenen Architektur muss die SQS-Warteschlange keinen PHI-Inhalt enthalten. Dies würde dazu führen, dass es der obigen Aussage entspricht.

Weitere Informationen zur HIPAA-Konformität für AWS finden Sie in diesem Whitepaper ab Januar 2017 - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Speziell SQS wird in den HIPAA-FAQ erwähnt und erklärt - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-aws-cloud-part-two/ .

Update : Ab dem 1. Mai 2017 ist SQS jetzt HIPAA-konform. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/

Evgeny
quelle