Jak obejść fakt, że AWS SQS nie jest zgodny z HIPAA?

21

Mam przypadek użycia, w którym dane z S3 są umieszczane w kolejce do AWS SQS, który z kolei jest połączony z CloudWatch, którego parametry będą wyzwalać AWS Lambda.

Chcę jednak, aby architektura była zgodna z HIPAA . Więc wpadłem na ten pomysł:

  1. Gdy mój segment S3 otrzyma plik,
  2. Uruchom funkcję Lambda, która dokonuje mieszania / mieszania nazw plików i kopiuje do innego segmentu S3 (via aws cp)
  3. Połącz segment z hashowanymi / zakodowanymi nazwami do kolejki SQS

Czy to dobra i bezpieczna praktyka? Czy jest lepsze obejście? (Byłbym bardziej niż szczęśliwy, gdybym mógł wysłać zaszyfrowane klucze S3 do SQS. Ale nie jestem pewien, czy mogę i czy jest to możliwe)

amazon-web-services amazon-s3 amazon-sqs Dawny33
źródło

Odpowiedzi:

19

Według Amazon AWS

Klienci mogą korzystać z dowolnej usługi AWS na koncie oznaczonym jako konto HIPAA, ale powinni przetwarzać, przechowywać i przekazywać PHI w ramach usług kwalifikujących się do HIPAA określonych w BAA. Obecnie dostępnych jest dziesięć usług kwalifikujących się do HIPAA, w tym AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Oracle i tylko silniki PostgreSQL], Amazon Aurora [tylko edycja zgodna z MySQL], Amazon Redshift i Amazon S3.

źródło: https://aws.amazon.com/compliance/hipaa-compliance/

Oznacza to, że dopóki nie przechowujesz ani nie przesyłasz PHI w SQS, tylko informacje o miejscu przechowywania tego PHI - prawdopodobnie możesz przekazać rejestr audytu. Zgodność z HIPAA.

W opisanej architekturze kolejka SQS nie musi zawierać żadnej zawartości PHI. Dzięki temu byłby zgodny z powyższym stwierdzeniem.

Więcej informacji na temat zgodności HIPAA z AWS znajduje się w tym oficjalnym dokumencie od stycznia 2017 r. - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

W szczególności SQS jest wspomniany i wyjaśniony w HIPAA FAQ - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .

aktualizacja : Od 1 maja 2017 r. SQS jest teraz zgodny z HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eliable-service/

Jewgienij
źródło