क्या मुझे HIPAA अनुपालन के लिए BitLocker के साथ OS डिस्क को एन्क्रिप्ट करना चाहिए


11

मैं Azure VM के लिए एक HIPAA आज्ञाकारी वेब एप्लिकेशन की मेजबानी कर रहा हूं। डेटाबेस के लिए, अभी मैं SQL 2014 मानक संस्करण के साथ VM का उपयोग करने की ओर झुक रहा हूं।

चूंकि TDE मानक संस्करण के साथ उपलब्ध नहीं है, मैं पूरी ड्राइव को एन्क्रिप्ट करने के लिए सिर्फ BitLocker का उपयोग करने जा रहा हूं। मैंने जो भी पढ़ा है, उसके अनुसार, किसी भी तरह की थर्ड पार्टी सर्विस (जैसे क्लाउडलिंक ) का उपयोग किए बिना एज़्योर वीएम पर ओएस ड्राइव को एन्क्रिप्ट करना संभव नहीं है ।

MSDN का यह लेख बताता है कि डेटा ड्राइव को एन्क्रिप्ट करने के लिए BitLocker का उपयोग करना संभव है। इसलिए, मुझे लगता है कि मेरा सवाल दो गुना है:

1) क्या किसी Azure VM पर BitLocker के साथ डेटा ड्राइव को एन्क्रिप्ट करना संभव है?

2) अगर मुझे एसक्यूएल मानक के साथ एक एज़्योर वीएम मिलता है, तो क्या एचआईपीएए आज्ञाकारी बने रहने के लिए ओएस ड्राइव को एन्क्रिप्ट करना आवश्यक होगा?


अगर यह किसी को जवाब देने में मदद करता है, तो संरक्षित स्वास्थ्य जानकारी को छूने वाली किसी भी चीज़ को एन्क्रिप्ट करने की आवश्यकता है। इसलिए, अगर मैं ड्राइव D: \ पर SQL Server स्थापित करता हूं: और Windows ड्राइव C: \ पर चलता है, तो क्या कोई भी डेटा जो SQL सर्वर प्रक्रिया कभी C: \, यहां तक ​​कि अस्थायी रूप से रहता है?
blizz

जवाबों:


13

डिस्क्लेमर: मैं वकील नहीं हूं।

सबसे पहले, कुछ आवश्यक पढ़ना:

Microsoft Azure ट्रस्ट केंद्र

HIPAA बिजनेस एसोसिएट एग्रीमेंट (BAA)

HIPAA और HITECH अधिनियम संयुक्त राज्य अमेरिका के कानून हैं जो रोगी जानकारी (संरक्षित स्वास्थ्य सूचना, या PHH) कहा जाता है। कई परिस्थितियों में, एज़्योर जैसी क्लाउड सेवा का उपयोग करने के लिए एक कवर हेल्थकेयर कंपनी के लिए, सेवा प्रदाता को HIPAA और HITECH अधिनियम में निर्धारित कुछ सुरक्षा और गोपनीयता प्रावधानों का पालन करने के लिए एक लिखित समझौते में सहमत होना चाहिए। ग्राहकों को HIPAA और HITECH अधिनियम का अनुपालन करने में मदद करने के लिए, Microsoft अनुबंध परिशिष्ट के रूप में ग्राहकों को BAA प्रदान करता है।

Microsoft वर्तमान में उन ग्राहकों को BAA प्रदान करता है जिनके पास वॉल्यूम लाइसेंसिंग / एंटरप्राइज़ एग्रीमेंट (EA) है, या इन-स्कोप सेवाओं के लिए Microsoft के साथ एक Azure केवल EA नामांकन है। एज़्योर केवल ईए सीट के आकार पर निर्भर नहीं करता है, बल्कि एज़्योर के लिए वार्षिक मौद्रिक प्रतिबद्धता पर है जो ग्राहक को मूल्य निर्धारण पर छूट प्राप्त करने की अनुमति देता है क्योंकि आप मूल्य निर्धारण पर जाते हैं।

BAA पर हस्ताक्षर करने से पहले, ग्राहकों को Azure HIPAA कार्यान्वयन मार्गदर्शन पढ़ना चाहिए। यह दस्तावेज़ उन ग्राहकों की सहायता के लिए विकसित किया गया था जो एआईपीआरई की प्रासंगिक क्षमताओं को समझने के लिए HIPAA और HITECH अधिनियम में रुचि रखते हैं। इच्छित दर्शकों में HIPAA और HITECH अधिनियम के कार्यान्वयन और अनुपालन के लिए जिम्मेदार ग्राहक संगठनों में गोपनीयता अधिकारी, सुरक्षा अधिकारी, अनुपालन अधिकारी और अन्य शामिल हैं। दस्तावेज़ HIPAA अनुरूप अनुप्रयोगों के निर्माण के लिए कुछ सर्वोत्तम प्रथाओं को कवर करता है, और सुरक्षा उल्लंघनों से निपटने के लिए Azure प्रावधानों का विवरण देता है। जबकि Azure में ग्राहक की गोपनीयता और सुरक्षा अनुपालन को सक्षम करने में मदद करने के लिए सुविधाएँ शामिल हैं, ग्राहक HIPAA, HITECH अधिनियम और अन्य लागू कानूनों और विनियमों के साथ Azure अनुपालन के अपने विशेष उपयोग को सुनिश्चित करने के लिए जिम्मेदार हैं,

समझौते पर हस्ताक्षर करने के लिए ग्राहकों को अपने Microsoft खाता प्रतिनिधि से संपर्क करना चाहिए।

आपको अपने क्लाउड प्रदाता (Azure।) के साथ BAA साइन करने की आवश्यकता हो सकती है, अपने अनुपालन प्रतिनिधि से पूछें।

यहाँ Azure HIPAA कार्यान्वयन मार्गदर्शन है

एज़्योर को एक तरह से उपयोग करना संभव है जो कि HIPAA और HITECH अधिनियम की आवश्यकताओं का अनुपालन करता है।

Azure VMs, और Azure SQL, और SQL Server इंस्टेंस Azure VMs के भीतर चल रहे हैं, सभी गुंजाइश में हैं और यहाँ समर्थित हैं।

आराम पर डेटा के एन्क्रिप्शन के लिए बिटलॉकर पर्याप्त है। यह एईएस एन्क्रिप्शन का उपयोग करता है जो एचआईपीएए आवश्यकताओं (साथ ही अन्य समान संगठनों की आवश्यकताओं को पूरा करता है) को आराम पर डेटा के एन्क्रिप्शन के लिए संतुष्ट करता है।

इसके अलावा, SQL सर्वर OS ड्राइव पर अनएन्क्रिप्टेड, संवेदनशील डेटा को तब तक स्टोर नहीं करेगा जब तक आप SQL को ऐसा करने के लिए कॉन्फ़िगर नहीं करते ... जैसे कि OS ड्राइव या कुछ और पर रहने के लिए TempDB को कॉन्फ़िगर करना।

अलग-अलग डेटाबेस के भीतर कोशिकाओं / क्षेत्रों / स्तंभों का एन्क्रिप्शन कड़ाई से आवश्यक नहीं है, यह मानते हुए कि आप पहले से ही बाकी तरीकों से डेटा एन्क्रिप्शन के लिए संतुष्ट हैं, जैसे TDE या Bitlocker।

आप Bitlocker एन्क्रिप्शन कुंजी को प्रबंधित करने का विकल्प कैसे चुन सकते हैं, क्योंकि यह TPM चिप के अंदर या रिमूवेबल USB ड्राइव पर नहीं रहेगा क्योंकि आपके पास भौतिक मशीन तक पहुंच नहीं है। (सर्वर रिबूट होने पर हर बार डेटा ड्राइव को अनलॉक करने के लिए मैन्युअल रूप से एक sysadmin होने पर विचार करें।) यह CloudLink जैसी सेवाओं के लिए मुख्य ड्रॉ की तरह है, क्योंकि वे आपके लिए उस पवित्र एन्क्रिप्शन कुंजी का प्रबंधन करते हैं।


8
बाकी पर डेटा एन्क्रिप्ट करने और HIPAA के तहत शिकायत करने की कोई आवश्यकता नहीं है। डेटा को संरक्षित करने की आवश्यकता है, एन्क्रिप्शन ऐसा करने का एक तरीका है, लेकिन यह एकमात्र तरीका नहीं है। एन्क्रिप्शन की आवश्यकता डेटा को आसानी से ले जाने (सीडी, यूएसबी की, लैपटॉप, आदि पर) के लिए अधिक उपयुक्त है। जब आपका डेटा प्रथम श्रेणी के डेटा सेंटर में फंसे व्यक्ति को फर्श पर ले जाता है, तो एन्क्रिप्शन बहुत कम आवश्यक हो जाता है। बल्कि आपके पास डेटा जोखिम के जोखिम को कम करने के लिए (यानी सर्वरों को सुरक्षित करने के लिए) अन्य तंत्र होना चाहिए। जब वे आपका SSH पासवर्ड रखते हैं तो TDE बहुत मदद नहीं करता है?
हार्टुंग

6
HIPAA सुरक्षा नियम स्पष्ट रूप से बहुत सी चीजों का उल्लेख करने में विफल रहता है । यह (और अन्य सभी समान अनुपालन सिद्धांत) प्रौद्योगिकी को पार करने के प्रयास में जानबूझकर अस्पष्ट हैं। लेकिन यह स्पष्ट रूप से कहता है कि यदि आपको ऐसा करने के लिए उचित और उचित है, तो आपको पता योग्य विनिर्देश लागू करना चाहिए। इसलिए आपको अपने ऑडिटर्स को यह विश्वास दिलाना होगा कि आपके डेटा को एन्क्रिप्ट करना आपके लिए अनुचित और अनुचित गतिविधि है।
रयान रीस

1
और वास्तव में हमने एन्क्रिप्ट नहीं करने का फैसला किया क्योंकि लाइट-आउट कोल्ड बूट अधिक महत्वपूर्ण है (सर्वर बिल्डिंग को साइकिल चलाने के बाद अपने आप ही ऊपर आ जाएगा)। जैसा कि आपको पता होना चाहिए, किसी भी डिस्क एन्क्रिप्शन जो रोशनी-बाहर ठंड बूट की अनुमति देता है स्वाभाविक रूप से हमला करने के लिए असुरक्षित है।
joshudson 4

शुक्रिया यह जवाब बेहद मददगार है। अंत में, क्या कोई पुष्टि कर सकता है कि Azure VM पर डेटा डिस्क को एन्क्रिप्ट करना संभव है?
ब्लिज़

7

अपनी टिप्पणी का उत्तर देते हुए: यदि आप D पर SQL सर्वर स्थापित करते हैं: और Windows C :, SQL डेटा पर चलता है: MDF और LDF फ़ाइलें (D :) पर, TempDB (D :) और मेमोरी में। डेटा को पृष्ठ फ़ाइल में स्वैप करने के लिए गंभीर कम मेमोरी स्थिति में संभव है, जो कि C पर रह सकता है। मेमोरी में पेज लॉक करने से मदद मिल सकती है। एसक्यूएल 2014 को इसका समर्थन करना चाहिए। Http://support.microsoft.com/kb/918483 देखें ।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.