Sollte ich die Betriebssystemfestplatte mit BitLocker verschlüsseln, um die HIPAA-Konformität zu gewährleisten?

11

Ich möchte eine HIPAA-kompatible Webanwendung auf Azure-VMs hosten. Für die Datenbank neige ich derzeit dazu, eine VM mit SQL 2014 Standard Edition zu verwenden.

Da TDE mit der Standard Edition nicht verfügbar ist, verwende ich nur BitLocker, um das gesamte Laufwerk zu verschlüsseln. Nach meinen Informationen ist es jedoch nicht möglich, das Betriebssystemlaufwerk auf einer Azure-VM zu verschlüsseln, ohne einen Dienst eines Drittanbieters (wie CloudLink ) zu verwenden.

Dieser Artikel von MSDN impliziert, dass es jedoch möglich ist, BitLocker zum Verschlüsseln des Datenlaufwerks zu verwenden. Daher denke ich, meine Frage ist zweifach:

1) Ist es möglich, das Datenlaufwerk mit BitLocker auf einer Azure-VM zu verschlüsseln?

2) Wenn ich eine Azure-VM mit SQL Standard erhalte, muss das Betriebssystemlaufwerk verschlüsselt werden, um HIPAA-kompatibel zu bleiben?

Blizz
quelle
Wenn es jemandem bei der Beantwortung hilft, muss alles, was geschützte Gesundheitsinformationen berührt, verschlüsselt werden. Wenn ich SQL Server auf Laufwerk D: \ installiere und Windows auf Laufwerk C: \ ausgeführt wird, werden sich Daten, die SQL Server-Prozesse verarbeiten, jemals auf C: \ befinden, auch nur vorübergehend?
Blizz

Antworten:

13

Haftungsausschluss: Ich bin kein Anwalt.

Zunächst einige Lektüre erforderlich:

Microsoft Azure Trust Center

HIPAA Business Associate Agreement (BAA)

HIPAA und HITECH Act sind US-amerikanische Gesetze, die für Einrichtungen des Gesundheitswesens gelten, die Zugang zu Patienteninformationen haben (Protected Health Information oder PHI). In vielen Fällen muss der Dienstanbieter in einer schriftlichen Vereinbarung die Einhaltung bestimmter Sicherheits- und Datenschutzbestimmungen in HIPAA und HITECH Act vereinbaren, damit ein versichertes Gesundheitsunternehmen einen Cloud-Dienst wie Azure nutzen kann. Um Kunden bei der Einhaltung von HIPAA und HITECH Act zu unterstützen, bietet Microsoft Kunden einen BAA als Vertragszusatz an.

Microsoft bietet die BAA derzeit Kunden an, die über eine Volumenlizenz- / Unternehmensvereinbarung (EA) oder eine reine Azure-EA-Registrierung bei Microsoft für In-Scope-Dienste verfügen. Der Azure only EA hängt nicht von der Sitzgröße ab, sondern von einer jährlichen finanziellen Verpflichtung gegenüber Azure, die es einem Kunden ermöglicht, einen Rabatt auf die Bezahlung zu erhalten, wenn Sie die Preise festlegen.

Vor der Unterzeichnung des BAA sollten Kunden die Azure HIPAA-Implementierungsanleitung lesen. Dieses Dokument wurde entwickelt, um Kunden, die an HIPAA und dem HITECH Act interessiert sind, dabei zu helfen, die relevanten Funktionen von Azure zu verstehen. Zu den Zielgruppen gehören Datenschutzbeauftragte, Sicherheitsbeauftragte, Compliance-Beauftragte und andere in Kundenorganisationen, die für die Implementierung und Einhaltung von HIPAA- und HITECH-Gesetzen verantwortlich sind. Das Dokument enthält einige der Best Practices zum Erstellen von HIPAA-kompatiblen Anwendungen sowie Einzelheiten zu Azure-Bestimmungen für die Behandlung von Sicherheitsverletzungen. Während Azure Funktionen enthält, die die Einhaltung der Datenschutz- und Sicherheitsbestimmungen des Kunden ermöglichen, sind Kunden dafür verantwortlich, dass ihre besondere Verwendung von Azure der HIPAA, dem HITECH Act und anderen geltenden Gesetzen und Vorschriften entspricht.

Kunden sollten sich an ihren Microsoft-Kundenbetreuer wenden, um die Vereinbarung zu unterzeichnen.

Möglicherweise müssen Sie einen BAA bei Ihrem Cloud-Anbieter (Azure) unterzeichnen. Fragen Sie Ihren Compliance-Vertreter.

Hier finden Sie die Azure HIPAA-Implementierungsanleitung .

Es ist möglich, Azure so zu verwenden, dass es den Anforderungen von HIPAA und HITECH Act entspricht.

Azure-VMs, Azure SQL- und SQL Server-Instanzen, die in Azure-VMs ausgeführt werden, sind alle im Umfang enthalten und werden hier unterstützt.

Bitlocker reicht für die Verschlüsselung ruhender Daten aus. Es verwendet die AES-Verschlüsselung auf eine Weise, die die HIPAA-Anforderungen (sowie die Anforderungen anderer ähnlicher Organisationen) für die Verschlüsselung ruhender Daten erfüllt.

Darüber hinaus speichert SQL Server keine unverschlüsselten, vertraulichen Daten auf dem Betriebssystemlaufwerk, es sei denn, Sie konfigurieren SQL dafür ... wie zum Beispiel die Konfiguration von TempDB für das Betriebssystemlaufwerk oder ähnliches.

Die Verschlüsselung von Zellen / Feldern / Spalten in einzelnen Datenbanken ist nicht unbedingt erforderlich, vorausgesetzt, Sie haben bereits die Anforderungen für die Verschlüsselung ruhender Daten auf andere Weise erfüllt, z. B. TDE oder Bitlocker.

Möglicherweise entscheiden Sie, wie Sie den Bitlocker-Verschlüsselungsschlüssel verwalten, da er sich nicht in einem TPM-Chip oder auf einem austauschbaren USB-Laufwerk befindet, da Sie keinen Zugriff auf den physischen Computer haben. (Lassen Sie einen Systemadministrator bei jedem Neustart des Servers manuell ein Kennwort eingeben, um das Datenlaufwerk zu entsperren.) Dies ist eine Art Hauptattraktion für Dienste wie CloudLink, da diese diesen heiligen Verschlüsselungsschlüssel für Sie verwalten.

Ryan Ries
quelle
8
Es ist nicht erforderlich, Daten in Ruhe zu verschlüsseln und gemäß HIPAA konform zu sein. Die Daten müssen geschützt werden. Verschlüsselung ist eine Möglichkeit, dies zu tun, aber nicht die einzige. Die Verschlüsselungsanforderung ist besser für Daten geeignet, die leicht transportiert werden können (auf CDs, USB-Sticks, Laptops usw.). Wenn Ihre Daten in einem erstklassigen Rechenzentrum auf dem Boden verschraubt sind, ist die Verschlüsselung viel weniger erforderlich. Vielmehr müssen Sie lediglich über andere Mechanismen verfügen, um das Risiko einer Datenexposition zu verringern (dh die Server zu sichern). TDE hilft nicht viel, wenn sie Ihr SSH-Passwort haben, oder?
Will Hartung
6
In der HIPAA-Sicherheitsregel werden viele Dinge nicht explizit erwähnt . Es (und alle anderen ähnlichen Compliance-Doktrinen) sind absichtlich vage, um die Technologie zu überwinden. Es wird jedoch ausdrücklich darauf hingewiesen, dass Sie eine adressierbare Spezifikation implementieren müssen, wenn dies angemessen und angemessen ist. Sie müssen Ihre Prüfer daher davon überzeugen, dass das Verschlüsseln Ihrer Daten für Sie eine unangemessene und unangemessene Aktivität ist.
Ryan Ries
1
In der Tat haben wir uns entschieden, nicht zu verschlüsseln, da ein Kaltstart ohne Licht wichtiger ist (die Server werden nach dem Aus- und Einschalten des Gebäudes von selbst hochgefahren). Wie Sie wissen sollten, ist jede Festplattenverschlüsselung, die einen Kaltstart ohne Licht ermöglicht, von Natur aus anfällig für Angriffe.
Joshudson
Vielen Dank, diese Antwort ist sehr hilfreich. Kann jemand bestätigen, dass es möglich ist, die Datenfestplatte auf einer Azure-VM zu verschlüsseln?
Blizz
7

Beantwortung Ihres Kommentars: Wenn Sie SQL Server unter D: installieren und Windows unter C: ausgeführt wird, befinden sich SQL-Daten in: den MDF- und LDF-Dateien (auf D :), in TempDB (auf D :) und im Speicher. In einem Zustand mit sehr geringem Arbeitsspeicher können die Daten in die Auslagerungsdatei übertragen werden, die möglicherweise auf C: ausgeführt wird. Das Sperren von Seiten im Speicher kann hilfreich sein. SQL 2014 sollte dies unterstützen. Siehe http://support.microsoft.com/kb/918483 .

Katherine Villyard
quelle