¿Debo encriptar el disco del sistema operativo con BitLocker para cumplir con HIPAA?

11

Estoy buscando alojar una aplicación web compatible con HIPAA en máquinas virtuales de Azure. Para la base de datos, en este momento me estoy inclinando hacia el uso de una VM con SQL 2014 Standard Edition.

Como TDE no está disponible con Standard Edition, solo voy a usar BitLocker para cifrar todo el disco. Sin embargo, según lo que he leído, no es posible cifrar la unidad del sistema operativo en una máquina virtual de Azure sin utilizar algún tipo de servicio de terceros (como CloudLink ).

Este artículo de MSDN implica que, sin embargo, es posible usar BitLocker para cifrar la unidad de datos. Por lo tanto, supongo que mi pregunta es doble:

1) ¿Es posible cifrar la unidad de datos con BitLocker en una máquina virtual de Azure?

2) Si obtengo una máquina virtual de Azure con SQL Standard, ¿será necesario cifrar la unidad del sistema operativo para mantener la conformidad con HIPAA?

ventisca
fuente
Si ayuda a alguien a responder, cualquier cosa que toque información de salud protegida debe ser encriptada. Por lo tanto, si instalo SQL Server en la unidad D: \ y Windows se ejecuta en la unidad C: \, ¿algún dato que procese SQL Server alguna vez residirá en C: \, incluso temporalmente?
tormenta de nieve el

Respuestas:

13

Descargo de responsabilidad: no soy abogado.

Primero, algunas lecturas requeridas:

Centro de confianza de Microsoft Azure

Acuerdo de Asociado Comercial de HIPAA (BAA)

HIPAA y la Ley HITECH son leyes de los Estados Unidos que se aplican a las entidades de atención médica con acceso a la información del paciente (denominada Información de salud protegida o PHI). En muchas circunstancias, para que una compañía de atención médica cubierta use un servicio en la nube como Azure, el proveedor del servicio debe aceptar en un acuerdo por escrito cumplir con ciertas disposiciones de seguridad y privacidad establecidas en HIPAA y la Ley HITECH. Para ayudar a los clientes a cumplir con HIPAA y la Ley HITECH, Microsoft ofrece un BAA a los clientes como un anexo al contrato.

Actualmente, Microsoft ofrece el BAA a los clientes que tienen un Contrato de licencia por volumen / Enterprise (EA) o una inscripción de EA solo en Azure con Microsoft para los servicios dentro del alcance. El EA solo de Azure no depende del tamaño del asiento, sino de un compromiso monetario anual con Azure que le permite a un cliente obtener un descuento sobre los precios de pago a medida que avanza.

Antes de firmar el BAA, los clientes deben leer la Guía de implementación de Azure HIPAA. Este documento fue desarrollado para ayudar a los clientes interesados ​​en HIPAA y la Ley HITECH a comprender las capacidades relevantes de Azure. La audiencia prevista incluye oficiales de privacidad, oficiales de seguridad, oficiales de cumplimiento y otros en organizaciones de clientes responsables de la implementación y cumplimiento de HIPAA y HITECH Act. El documento cubre algunas de las mejores prácticas para crear aplicaciones compatibles con HIPAA y detalla las disposiciones de Azure para manejar las infracciones de seguridad. Si bien Azure incluye características para ayudar a permitir el cumplimiento de la privacidad y la seguridad del cliente, los clientes son responsables de garantizar que su uso particular de Azure cumpla con HIPAA, la Ley HITECH y otras leyes y regulaciones aplicables,

Los clientes deben comunicarse con su representante de cuenta de Microsoft para firmar el acuerdo.

Es posible que deba firmar un BAA con su proveedor de la nube (Azure). Pregunte a su (s) representante (s) de cumplimiento.

Aquí está la guía de implementación de Azure HIPAA .

Es posible usar Azure de una manera que cumpla con los requisitos de HIPAA y HITECH Act.

Las máquinas virtuales de Azure y las instancias de Azure SQL y SQL Server que se ejecutan dentro de las máquinas virtuales de Azure están aquí dentro del alcance y son compatibles.

Bitlocker es suficiente para el cifrado de datos en reposo. Utiliza el cifrado AES de una manera que satisface los requisitos de HIPAA (así como los requisitos de otras organizaciones similares) para el cifrado de datos en reposo.

Además, SQL Server no almacenará datos confidenciales sin cifrar en la unidad del sistema operativo a menos que configure SQL para hacerlo ... como, por ejemplo, configurar TempDB para que viva en la unidad del sistema operativo o algo así.

El cifrado de celdas / campos / columnas dentro de bases de datos individuales no es estrictamente obligatorio, suponiendo que ya haya satisfecho los requisitos para el cifrado de datos en reposo de otras maneras, por ejemplo, TDE o Bitlocker.

Puede surgir la forma en que elige administrar la clave de cifrado de Bitlocker, ya que no vivirá dentro de un chip TPM o en una unidad USB extraíble, ya que no tiene acceso a la máquina física. (Considere que un administrador del sistema ingrese manualmente una contraseña para desbloquear la unidad de datos cada vez que se reinicia el servidor). Este es el principal atractivo para servicios como CloudLink, ya que administran esa clave de cifrado sagrada para usted.

Ryan Ries
fuente
8
No hay ningún requisito para cifrar datos en reposo y cumplir con HIPAA. Los datos deben protegerse, el cifrado es una forma de hacerlo, pero no es la única. El requisito de cifrado es más apropiado para los datos fácilmente transportados (en CD, llaves USB, computadoras portátiles, etc.). Cuando sus datos se atornillan al piso en un centro de datos de primera clase atrapado por un hombre, el cifrado se vuelve mucho menos necesario. En cambio, simplemente debe tener otros mecanismos para mitigar el riesgo de exposición de datos (es decir, proteger los servidores). TDE no ayuda mucho cuando tienen su contraseña SSH, ¿verdad?
Will Hartung
66
La regla de seguridad de HIPAA no menciona explícitamente muchas cosas. Esta (y todas las demás doctrinas de cumplimiento similares) son deliberadamente vagas en un intento de trascender la tecnología. Pero lo que dice explícitamente es que debe implementar una especificación direccionable si es razonable y apropiado hacerlo. Por lo tanto, deberá convencer a sus auditores de que cifrar sus datos es una actividad irrazonable e inapropiada para usted.
Ryan Ries
1
Y, de hecho, elegimos no cifrar porque el arranque en frío apagado es más importante (los servidores se activarán por sí solos después de apagar y encender el edificio). Como debe saber, cualquier cifrado de disco que permita el arranque en frío sin luz es inherentemente vulnerable a los ataques.
joshudson
Gracias, esta respuesta es extremadamente útil. Por último, ¿alguien puede confirmar que es posible cifrar el disco de datos en una máquina virtual de Azure?
tormenta de nieve
7

Respondiendo su comentario: Si instala SQL Server en D: y Windows se ejecuta en C :, los datos de SQL vivirán en: los archivos MDF y LDF (en D :), en TempDB (en D :) y en la Memoria. Es posible en un estado severo de poca memoria que los datos se intercambien al archivo de página, que puede vivir en C :. Bloquear páginas en la memoria puede ayudar. SQL 2014 debería admitir esto. Consulte http://support.microsoft.com/kb/918483 .

Katherine Villyard
fuente