Devo criptografar o disco do SO com o BitLocker para conformidade com HIPAA?

11

Estou procurando hospedar um aplicativo Web compatível com HIPAA nas VMs do Azure. Para o banco de dados, neste momento, estou inclinado a usar uma VM com o SQL 2014 Standard Edition.

Como o TDE não está disponível no Standard Edition, vou usar o BitLocker para criptografar todo o disco. De acordo com o que li, no entanto, não é possível criptografar a unidade do sistema operacional em uma VM do Azure sem usar algum tipo de serviço de terceiros (como CloudLink ).

Este artigo da MSDN indica que é possível, no entanto, usar o BitLocker para criptografar a unidade de dados. Portanto, acho que minha pergunta é dupla:

1) É possível criptografar a unidade de dados com o BitLocker em uma VM do Azure?

2) Se eu obtiver uma VM do Azure com o SQL Standard, será necessário criptografar a unidade do SO para permanecer compatível com HIPAA?

    
por blizz 01.01.2015 / 19:27

2 respostas

13

Aviso: Eu não sou advogado.

Primeiro, algumas leituras obrigatórias:

Centro de Confiança do Microsoft Azure

HIPAA Business Associate Agreement (BAA)

HIPAA and the HITECH Act are United States laws that apply to healthcare entities with access to patient information (called Protected Health Information, or PHI). In many circumstances, for a covered healthcare company to use a cloud service like Azure, the service provider must agree in a written agreement to adhere to certain security and privacy provisions set forth in HIPAA and the HITECH Act. To help customers comply with HIPAA and the HITECH Act, Microsoft offers a BAA to customers as a contract addendum.

Microsoft currently offers the BAA to customers who have a Volume Licensing / Enterprise Agreement (EA), or an Azure only EA enrollment in place with Microsoft for in-scope services. The Azure only EA does not depend on seat size, rather on an annual monetary commitment to Azure that allows a customer to obtain a discount over pay as you go pricing.

Prior to signing the BAA, customers should read the Azure HIPAA Implementation Guidance. This document was developed to assist customers who are interested in HIPAA and the HITECH Act to understand the relevant capabilities of Azure. The intended audience includes privacy officers, security officers, compliance officers, and others in customer organizations responsible for HIPAA and HITECH Act implementation and compliance. The document covers some of the best practices for building HIPAA compliant applications, and details Azure provisions for handling security breaches. While Azure includes features to help enable customer's privacy and security compliance, customers are responsible for ensuring their particular use of Azure complies with HIPAA, the HITECH Act, and other applicable laws and regulations, and should consult with their own legal counsel.

Customers should contact their Microsoft account representative to sign the agreement.

Você pode ser solicitado a assinar um BAA com seu provedor de nuvem (Azure). Pergunte ao (s) seu (s) representante (s) de conformidade.

Aqui está o Orientação de Implementação do HIPAA do Azure .

It is possible to use Azure in a way that complies with HIPAA and HITECH Act requirements.

VMs do Azure, SQL do Azure e instâncias do SQL Server em execução nas VMs do Azure estão no escopo e são suportadas aqui.

O Bitlocker é suficiente para a criptografia de dados em repouso. Ele usa criptografia AES de uma forma que satisfaz os requisitos HIPAA (bem como os requisitos de outras organizações semelhantes) para criptografia de dados em repouso.

Além disso, o SQL Server não armazenará dados confidenciais não criptografados na unidade do sistema operacional , a menos que configure o SQL para fazer isso ... por exemplo, configurando o TempDB para estar na unidade do SO ou algo assim. / p>

A encriptação de células / campos / colunas dentro de bases de dados individuais não é estritamente necessária assumindo que já satisfez os requisitos para a encriptação de dados em repouso de outras formas, por ex. TDE ou Bitlocker.

Como você escolhe para gerenciar a chave de criptografia do Bitlocker pode surgir, uma vez que não vai viver dentro de um chip TPM ou em uma unidade USB removível desde que você não tem acesso à máquina física. (Considere ter um sysadmin inserindo uma senha manualmente para desbloquear a unidade de dados toda vez que o servidor for reinicializado.) Essa é uma espécie de atração principal para serviços como o CloudLink, pois eles gerenciam essa chave de criptografia sagrada para você.

    
por 02.01.2015 / 00:36
7

Respondendo seu comentário: Se você instalar o SQL Server em D: e o Windows for executado em C :, os dados SQL residirão: nos arquivos MDF e LDF (em D :), no TempDB (em D :) e na Memória . É possível, em um estado grave de pouca memória, que os dados sejam trocados para o arquivo de paginação, que pode estar em C :. Bloquear páginas na memória pode ajudar. O SQL 2014 deve suportar isso. Consulte o link .

    
por 02.01.2015 / 03:46