Devo criptografar o disco do SO com o BitLocker para conformidade com HIPAA

11

Estou pensando em hospedar um aplicativo Web compatível com HIPAA nas VMs do Azure. Para o banco de dados, agora estou inclinado a usar uma VM com o SQL 2014 Standard Edition.

Como o TDE não está disponível no Standard Edition, vou usar o BitLocker para criptografar a unidade inteira. De acordo com o que li, no entanto, não é possível criptografar a unidade do SO em uma VM do Azure sem usar algum tipo de serviço de terceiros (como o CloudLink ).

Este artigo do MSDN implica que, no entanto, é possível usar o BitLocker para criptografar a unidade de dados. Portanto, acho que minha pergunta é dupla:

1) É possível criptografar a unidade de dados com o BitLocker em uma VM do Azure?

2) Se eu receber uma VM do Azure com SQL Standard, será necessário criptografar a unidade do SO para permanecer compatível com HIPAA?

sql-server azure encryption hipaa nevasca
fonte
Se isso ajudar alguém a responder, qualquer coisa que toque em informações de saúde protegidas precisa ser criptografada. Portanto, se eu instalar o SQL Server na unidade D: \ e o Windows for executado na unidade C: \, algum dado processado pelo SQL Server residirá em C: \ mesmo temporariamente?
blizz

Respostas:

13

Disclaimer: Eu não sou um advogado.

Primeiro, algumas leituras obrigatórias:

Central de Confiabilidade do Microsoft Azure

Contrato de Associado de Negócios HIPAA (BAA)

HIPAA e HITECH Act são leis dos Estados Unidos que se aplicam a entidades de saúde com acesso a informações do paciente (chamadas Informações de Saúde Protegidas ou PHI). Em muitas circunstâncias, para que uma empresa de assistência médica coberta use um serviço em nuvem como o Azure, o provedor de serviços deve concordar em um contrato por escrito para aderir a determinadas disposições de segurança e privacidade estabelecidas na HIPAA e na Lei HITECH. Para ajudar os clientes a cumprir o HIPAA e a Lei HITECH, a Microsoft oferece um BAA aos clientes como adendo de contrato.

Atualmente, a Microsoft oferece o BAA a clientes que possuem um EA (Licenciamento por Volume / Enterprise Agreement), ou um registro apenas do EA do Azure em vigor na Microsoft para serviços no escopo. O EA somente do Azure não depende do tamanho do assento, mas de um compromisso monetário anual com o Azure que permite que um cliente obtenha um desconto sobre o pagamento conforme o preço.

Antes de assinar o BAA, os clientes devem ler as Diretrizes de implementação do Azure HIPAA. Este documento foi desenvolvido para ajudar os clientes interessados ​​no HIPAA e no HITECH Act a entender os recursos relevantes do Azure. O público-alvo inclui agentes de privacidade, agentes de segurança, agentes de conformidade e outros em organizações de clientes responsáveis ​​pela implementação e conformidade da Lei HIPAA e HITECH. O documento aborda algumas das práticas recomendadas para a criação de aplicativos compatíveis com HIPAA e detalha as disposições do Azure para lidar com violações de segurança. Embora o Azure inclua recursos para ajudar a habilitar a privacidade e a conformidade de segurança do cliente, os clientes são responsáveis ​​por garantir que seu uso específico do Azure esteja em conformidade com o HIPAA, a HITECH Act e outras leis e regulamentos aplicáveis,

Os clientes devem entrar em contato com o representante da conta da Microsoft para assinar o contrato.

Pode ser necessário assinar um BAA com seu provedor de nuvem (Azure). Pergunte ao (s) representante (s) de conformidade.

Aqui está o Guia de Implementação do Azure HIPAA .

É possível usar o Azure de uma maneira que esteja em conformidade com os requisitos HIPAA e HITECH Act.

As VMs do Azure e as instâncias SQL do SQL e SQL Server em execução nas VMs do Azure estão no escopo e são suportadas aqui.

O Bitlocker é suficiente para criptografar os dados em repouso. Ele usa a criptografia AES de uma maneira que satisfaça os requisitos HIPAA (bem como os requisitos de outras organizações similares) para criptografia de dados em repouso.

Além disso, o SQL Server não armazenará dados confidenciais e não criptografados na unidade do SO, a menos que você configure o SQL para fazer isso ... como, por exemplo, configurar o TempDB para viver na unidade do SO ou algo assim.

A criptografia de células / campos / colunas em bancos de dados individuais não é estritamente necessária, desde que você já tenha satisfeito os requisitos de criptografia de dados em repouso de outras maneiras, por exemplo, TDE ou Bitlocker.

A maneira como você escolhe gerenciar a chave de criptografia do Bitlocker pode surgir, pois ela não fica dentro de um chip TPM ou em uma unidade USB removível, pois você não tem acesso à máquina física. (Considere que um administrador de sistemas insira manualmente uma senha para desbloquear a unidade de dados toda vez que o servidor reiniciar.) Esse é um dos principais atrativos para serviços como o CloudLink, pois eles gerenciam essa chave de criptografia sagrada para você.

Ryan Ries
fonte
8
Não há necessidade de criptografar dados em repouso e estar em conformidade com o HIPAA. Os dados precisam ser protegidos, a criptografia é uma maneira de fazer isso, mas não é a única. O requisito de criptografia é mais apropriado para os dados facilmente transportados (em CDs, chaves USB, laptops, etc.). Quando seus dados são aparafusados ​​no centro de dados de primeira classe preso pelo homem, a criptografia se torna muito menos necessária. Em vez disso, você simplesmente precisa ter outros mecanismos para reduzir o risco de exposição de dados (ou seja, proteger os servidores). O TDE não ajuda muito quando eles têm sua senha SSH, não é?
Will Hartung 02/01
6
A regra de segurança HIPAA falha ao mencionar explicitamente muitas coisas. Ela (e todas as outras doutrinas de conformidade semelhantes) são propositadamente vagas na tentativa de transcender a tecnologia. Mas o que diz explicitamente é que você deve implementar uma especificação endereçável, se for razoável e apropriado fazê-lo. Portanto, você precisará convencer seus auditores de que criptografar seus dados é uma atividade irracional e inadequada para você.
Ryan Ries
1
E, de fato, optamos por não criptografar porque a inicialização a frio por luzes apagadas é mais importante (os servidores surgirão por conta própria após o ciclo de energia do prédio). Como você deve saber, qualquer criptografia de disco que permita inicialização a frio por luzes apagadas é inerentemente vulnerável a ataques.
Joshudson
Obrigado, esta resposta é extremamente útil. Por fim, alguém pode confirmar que é possível criptografar o disco de dados em uma VM do Azure?
blizz
7

Respondendo ao seu comentário: Se você instalar o SQL Server em D: e o Windows executar em C:, os dados do SQL permanecerão: os arquivos MDF e LDF (em D :), no TempDB (em D :) e na Memória. É possível, em um estado grave de pouca memória, que os dados sejam trocados para o arquivo de paginação, que pode estar em C :. Bloquear páginas na memória pode ajudar. O SQL 2014 deve suportar isso. Consulte http://support.microsoft.com/kb/918483 .

Katherine Villyard
fonte