Как мне обойти тот факт, что AWS SQS не соответствует требованиям HIPAA?

21

У меня есть случай использования, когда данные из S3 помещаются в очередь в AWS SQS, который, в свою очередь, подключен к CloudWatch, метрики которого будут вызывать AWS Lambda.

Однако я хочу, чтобы архитектура была HIPAA- совместимой. Итак, я пришел с этой идеей:

  1. Как только мое ведро S3 получит файл,
  2. Запустите функцию Lambda, которая выполняет хеширование / скремблирование имен файлов и копирует их в другое хранилище S3 (через aws cp).
  3. Подключите корзину с хэшированными / зашифрованными именами к очереди SQS

Это хорошая и безопасная практика? Или есть лучший обходной путь? (Будет более чем рад, если я смогу отправить зашифрованные ключи S3 в SQS. Но не уверен, смогу ли я или если это возможно)

Dawny33
источник

Ответы:

19

По данным Amazon AWS

Клиенты могут использовать любую услугу AWS в учетной записи, обозначенной как учетная запись HIPAA, но они должны обрабатывать, хранить и передавать PHI только в соответствующих HIPAA службах, определенных в BAA. Сегодня существует десять услуг, отвечающих требованиям HIPAA, включая AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Oracle и только движки PostgreSQL], Amazon Aurora [только для MySQL-совместимого издания], Amazon Redshift и Amazon S3.

источник: https://aws.amazon.com/compliance/hipaa-compliance/

Это означает, что до тех пор, пока вы не храните и не передаете PHI в SQS, просто информацию о том, где хранится эта PHI, вы, вероятно, можете пройти аудиторскую проверку. Соответствие HIPAA.

В описываемой вами архитектуре очередь SQS не обязательно должна содержать какой-либо контент PHI. Это заставит его соответствовать приведенному выше заявлению.

Более подробная информация о соответствии HIPAA для AWS доступна в этом техническом документе с января 2017 года - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

В частности, SQS упоминается и объясняется в часто задаваемых вопросах HIPAA - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .

обновление : с 1 мая 2017 года SQS теперь соответствует требованиям HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/

Евгений
источник