根據(jù) HIPAA 合規(guī)性指南，每個涵蓋的實體都必須遵守 HIPAA 安全規(guī)則。AWS 服務經(jīng)過認證，可確保符合 HIPAA 標準。

1996年健康保險流通與責任法案（HIPAA）是美國頒布的一項法律，旨在保護患者醫(yī)療記錄和患者提供的健康相關信息（也稱為PHI（個人健康信息））的隱私。HIPAA 合規(guī)性旨在通過定義電子記錄傳輸中的標準來降低醫(yī)療保健的管理成本。HIPAA旨在幫助打擊保險和醫(yī)療保健服務中的濫用，浪費和欺詐行為。在云中管理 HIPAA 合規(guī)性更具挑戰(zhàn)性，但 AWS 提供了設計和實施高負載系統(tǒng)的服務，以使用 HIPAA 處理大量 ePHI。

簽署 AWS 業(yè)務伙伴協(xié)議 （BAA）

根據(jù) HIPAA 合規(guī)性指南，每個涵蓋的實體都必須遵守 HIPAA 安全規(guī)則。AWS 服務經(jīng)過認證，可確保符合 HIPAA 標準。AWS 與客戶簽署 BAA 協(xié)議，包括法律責任，并在物理基礎設施發(fā)生任何違規(guī)行為時通知他們。

HIPAA 合規(guī)性責任在于“涵蓋的實體”，而不是針對 AWS

AWS 負責破壞物理基礎設施，這意味著應用程序級安全性是開發(fā)應用程序的涵蓋實體的責任。AWS 在共同承擔責任的情況下運營。AWS 負責某些安全性和合規(guī)性，以保護 AWS 上的基礎設施，如計算、存儲、數(shù)據(jù)庫、網(wǎng)絡、區(qū)域和可用區(qū)以及邊緣站點。
AWS 客戶負責他們用于創(chuàng)建解決方案的服務，例如平臺、操作系統(tǒng)、應用程序、客戶端-服務器端加密、IAM、網(wǎng)絡流量保護、客戶數(shù)據(jù)。

加密和保護電子應用

HIPAA 安全規(guī)則解決了 PHI 在云中的傳輸（傳輸中）和存儲（靜態(tài)）中的數(shù)據(jù)保護和加密問題。AWS 提供了一組功能和服務，可提供 PHI 的密鑰管理和加密。

審核、備份和災難恢復

審計和監(jiān)控是必須在云架構中解決的技術保障措施。這意味著ePHI信息的任何存儲，處理或傳輸都應記錄在系統(tǒng)中，以跟蹤數(shù)據(jù)的使用情況。該架構應包含有關 ePHI 上任何未經(jīng)授權的訪問和威脅的通知。

該解決方案必須具有應急計劃，以便在發(fā)生災難時保護 ePHI 信息，以避免丟失患者信息。它應該通過恢復過程計劃收集，存儲和使用的ePHI信息的備份，以便在丟失任何信息時恢復信息。

身份驗證和授權

符合 HIPAA 標準的系統(tǒng)必須記錄系統(tǒng)安全計劃中的身份驗證和授權機制，以及所有角色和職責，以及所有更改請求的配置控制過程、批準和過程。

以下是使用 AWS 進行架構時需要考慮的幾點

IAM 服務，用于提供對特定服務的訪問

啟用 MFA 以訪問 AWS 賬戶

授予最小權限

定期輪換憑據(jù)

架構策略

不應假定默認情況下所有符合 HIPAA 條件的 AWS 服務都受到保護，但它需要多個設置才能使解決方案 HIPAA 符合條件。以下是一些應用于 HIPAA 應用程序的策略

分離訪問/處理受保護的PHI數(shù)據(jù)的基礎設施，數(shù)據(jù)庫和應用程序，這可以通過以下方式實現(xiàn)：

關閉所有公有訪問，避免使用訪問私有密鑰，并將 IAM 與自定義角色和策略結合使用，并附加身份以訪問服務

為存儲服務啟用加密

跟蹤數(shù)據(jù)流并設置自動監(jiān)控和警報

保持受保護工作流和常規(guī)工作流之間的界限。隔離網(wǎng)絡，使用多可用區(qū)架構創(chuàng)建外部 VPC，該架構將子網(wǎng)分隔為不同的應用程序層，將私有子網(wǎng)與后端應用程序和數(shù)據(jù)庫層分開

海帕設計示例

圖： 希帕架構

上圖是針對符合 HIPAA 條件的解決方案的 3 層醫(yī)療保健應用程序：

Route53使用內部負載均衡器連接到WAF（Web應用程序防火墻），通過避免使用此公共網(wǎng)絡，使用ACM（私有安全機構）使用HTTPS加密REST中的數(shù)據(jù)

VPC（虛擬私有云）是在 Web、后端和數(shù)據(jù)庫層的不同可用區(qū)中使用六個私有子網(wǎng)創(chuàng)建的

2 個內部 ELB（彈性負載均衡 - 1 個用于 Web，1 個用于后端），具有自動擴展組，用于處理和分配多個實例之間的流量，并指示在負載較高時啟動新實例

MySQL 和彈性緩存在多個可用區(qū)中啟動，具有 HSM（硬件安全模塊）來加密數(shù)據(jù)

云監(jiān)控配置為監(jiān)控、設置警報和應用程序日志

云跟蹤、配置和可信顧問用于審核 AWS 資源。IAM 用于限制對 AWS 資源和管理控制臺的訪問

清單用于獲取 EC2 實例的可見性

使用 AWS 平臺，任何組織都可以設計安全、強大、可靠且高效的 HIPAA 標準解決方案。它可以幫助驗證現(xiàn)有解決方案，以識別系統(tǒng)中的風險、安全措施和漏洞，從而滿足任何醫(yī)療保健解決方案的 HIPAA 合規(guī)性要求。