我是否應該使用 BitLocker 加密作業系統磁碟以符合 HIPAA
我正在研究在 Azure VM 上託管符合 HIPAA 的 Web 應用程序。對於數據庫,現在我傾向於使用帶有 SQL 2014 標準版的 VM。
由於標準版不提供 TDE,因此我將僅使用 BitLocker 加密整個驅動器。但是,根據我所讀到的內容,如果不使用某種第三方服務(如CloudLink),就不可能在 Azure VM 上加密作業系統驅動器。
但是,MSDN 中的這篇文章暗示可以使用 BitLocker 來加密數據驅動器。因此,我想我的問題有兩個:
是否可以在 Azure VM 上使用 BitLocker 加密數據驅動器?
如果我獲得了帶有 SQL 標準的 Azure VM,是否需要加密作業系統驅動器才能保持 HIPAA 兼容?
免責聲明:我不是律師。
首先,一些必讀:
HIPAA 商業夥伴協議 (BAA)
HIPAA 和 HITECH 法案是適用於有權訪問患者資訊(稱為受保護的健康資訊或 PHI)的醫療保健實體的美國法律。在許多情況下,對於使用 Azure 等雲服務的承保醫療保健公司,服務提供商必須以書面協議的形式同意遵守 HIPAA 和 HITECH 法案中規定的某些安全和隱私條款。為幫助客戶遵守 HIPAA 和 HITECH 法案,Microsoft 向客戶提供 BAA 作為契約附錄。
Microsoft 目前向擁有批量許可/企業協議 (EA) 或與 Microsoft 簽訂了僅 Azure EA 註冊以提供範圍內服務的客戶提供 BAA。僅限 Azure 的 EA 不依賴於席位大小,而是依賴於對 Azure 的年度貨幣承諾,該承諾允許客戶獲得比隨用隨付定價的折扣。
在簽署 BAA 之前,客戶應閱讀 Azure HIPAA 實施指南。本文件旨在幫助對 HIPAA 和 HITECH 法案感興趣的客戶了解 Azure 的相關功能。目標受眾包括隱私官、安全官、合規官以及客戶組織中負責 HIPAA 和 HITECH 法案實施和合規的其他人員。該文件涵蓋了建構符合 HIPAA 的應用程序的一些最佳實踐,並詳細介紹了 Azure 處理安全漏洞的規定。雖然 Azure 包含有助於實現客戶隱私和安全合規性的功能,但客戶有責任確保其對 Azure 的特定使用符合 HIPAA、HITECH 法案和其他適用法律法規,
客戶應聯繫其 Microsoft 客戶代表以簽署協議。
您可能需要與您的雲提供商 (Azure) 簽署 BAA。請諮詢您的合規代表。
可以以符合 HIPAA 和 HITECH 法案要求的方式使用 Azure。
Azure VM、Azure SQL 和在 Azure VM 中執行的 SQL Server 實例都在範圍內並在此處受支持。
Bitlocker 足以加密靜態數據。它以滿足 HIPAA 要求(以及其他類似組織的要求)的方式使用 AES 加密來加密靜態數據。
此外,SQL Server 不會將未加密的敏感數據儲存在 OS 驅動器上,除非您配置 SQL 來執行此操作……例如將 TempDB 配置為存在於 OS 驅動器上等等。
假設您已經滿足以其他方式(例如 TDE 或 Bitlocker)加密靜態數據的要求,則並不嚴格要求對單個數據庫中的單元格/欄位/列進行加密。
您可能會選擇如何管理 Bitlocker 加密密鑰,因為它不會存在於 TPM 晶片或可移動 USB 驅動器中,因為您無權訪問物理機。(考慮讓系統管理員在每次伺服器重新啟動時手動輸入密碼以解鎖數據驅動器。)這是 CloudLink 等服務的主要吸引力,因為它們為您管理神聖的加密密鑰。