Azure VMでHIPAA準拠のWebアプリケーションをホストすることを検討しています。データベースの場合、今はSQL 2014 Standard EditionでVMを使用することに傾いています。
TDEはStandard Editionでは利用できないため、BitLockerを使用してドライブ全体を暗号化します。しかし、私が読んだことによると、AzureのOSドライブを暗号化することは不可能ですVM CloudLink のようなサードパーティのサービスを使用しないと) 。
この記事 MSDNは、BitLockerを使用してデータドライブを暗号化することが可能であることを示唆しています。したがって、私の質問は2つあると思います。
1)Azure VMでBitLockerを使用してデータドライブを暗号化することは可能ですか?
2)Azureを取得した場合VM SQL標準で、HIPAA準拠を維持するためにOSドライブを暗号化する必要がありますか?
免責事項:私は弁護士ではありません。
最初に、いくつかの必読:
HIPAA Business Associate Agreement(BAA)
HIPAAおよびHITECH法は、患者情報(保護された健康情報、またはPHIと呼ばれる)にアクセスできる医療機関に適用される米国の法律です。多くの状況で、対象となる医療会社がAzureなどのクラウドサービスを使用するには、サービスプロバイダーは、HIPAAおよびHITECH法に規定されている特定のセキュリティとプライバシーの規定に従うことに同意する必要があります。顧客がHIPAAおよびHITECH法に準拠するのを支援するために、マイクロソフトは契約の補遺として顧客にBAAを提供します。
マイクロソフトは現在、ボリュームライセンス/エンタープライズアグリーメント(EA)を持っているお客様、またはMicrosoftに範囲内のサービスのAzureのみのEA登録を行っているお客様にBAAを提供しています。 AzureのみのEAは、シートサイズに依存せず、Azureへの年間の金銭的コミットメントに依存します。これにより、顧客は、価格設定に応じて有料で割引を受けることができます。
BAAに署名する前に、お客様はAzure HIPAA実装ガイダンスをお読みください。このドキュメントは、HIPAAおよびHITECH法に関心のあるお客様がAzureの関連機能を理解できるように作成されました。対象読者には、プライバシー担当者、セキュリティ担当者、コンプライアンス担当者、およびHIPAAおよびHITECH法の実装とコンプライアンスを担当する顧客組織のその他の者が含まれます。このドキュメントでは、HIPAA準拠のアプリケーションを構築するためのいくつかのベストプラクティスについて説明し、セキュリティ違反を処理するためのAzureのプロビジョニングについて詳しく説明します。 Azureにはお客様のプライバシーとセキュリティのコンプライアンスを実現するための機能が含まれていますが、お客様は、Azureの特定の使用がHIPAA、HITECH法、およびその他の適用される法律と規制に準拠していることを確認する責任があり、独自の弁護士に相談する必要があります。
お客様は、契約に署名するためにMicrosoftアカウント担当者に連絡する必要があります。
クラウドプロバイダー(Azure)でBAAに署名する必要がある場合があります。コンプライアンス担当者に問い合わせてください。
これが Azure HIPAA実装ガイダンス です。
HIPAAおよびHITECH法の要件に準拠した方法でAzureを使用することが可能です。
ここでは、Azure VM、Azure SQL、およびAzure VM内で実行されるSQL Serverインスタンスがすべてスコープ内にあり、サポートされています。
保存中のデータの暗号化には、Bitlockerで十分です。保存されているデータの暗号化に関するHIPAA要件(および他の同様の組織の要件)を満たす方法でAES暗号化を使用します。
さらに、SQL Serverは暗号化されていない機密データをOSドライブに保存しませんSQLを構成しない限りたとえば、TempDBを構成してOSドライブなどに置くようにします。
個々のデータベース内のセル/フィールド/列の暗号化は厳密には必要ありません他の方法での保管中のデータの暗号化に関する要件をすでに満たしていると想定している TDEまたはBitlocker。
Bitlocker暗号化キーの管理方法は、物理マシンにアクセスできないため、TPMチップ内またはリムーバブルUSBドライブ上に存在しないため、どのように管理するかが考えられます。 (sysadminが手動でパスワードを入力して、サーバーが再起動するたびにデータドライブのロックを解除することを検討してください。)これは、CloudLinkなどのサービスがその神聖な暗号化キーを管理するため、一種の主な魅力です。
コメントに答える:SQL ServerをD:にインストールし、WindowsをC:で実行する場合、SQLデータは次の場所に存在します:MDFおよびLDFファイル(D :)、TempDB(D :)、およびメモリ内。メモリが非常に少ない状態では、データがページファイルにスワップされる可能性があり、C:に存在する可能性があります。メモリ内のページをロックすると役立つ場合があります。SQL2014はこれをサポートするはずです。参照 http://support.Microsoft.com/kb/91848 。