AWSセキュリティグループは、インスタンス間の通信を認証するのに十分ですか? (HIPAA)
REST APIを介して機密情報(PHI)を公開するプライベートサービスがあり、他の1つのサービスからのアクセスのみを許可したいとします。
これらのサービスを異なるセキュリティグループに分割し、着信トラフィックを呼び出し元のサービスのみに制限するだけで十分ですか?このタイプの認証はHIPAAに準拠しますか?
複数のAPIキーを持つことができます。それは基本的なサービスの提供にあります。 IPやその他の要因を発信することで、それらの使用状況を監査し、制限することができます。
https://d36cz9buwru1tt.cloudfront.net/pdf/AWS_Security_Whitepaper.pdf
AWSID製品を使用する必要があるかもしれません。 http://aws.Amazon.com/iam/
Amazonは、AWSのHIPAAおよびHITECH対策に関するホワイトペーパーを公開しました
https://d36cz9buwru1tt.cloudfront.net/AWS_HIPAA_Whitepaper_Final.pdf
HIPAAの状態:「プライバシールールでは、対象となるエンティティが、HIPAAの要件に違反する意図的または意図的でない使用または開示からPHIを合理的に保護する必要があります」主な目標は次のとおりです。転送中のデータと保存中のデータを保護します。暗号化はあなたのためにこれのほとんどをカバーするので、あなたの質問を見てみましょう:
"REST APIを介して機密情報(PHI)を公開するプライベートサービスがあり、他の1つのサービスからのみアクセスを許可したい」
SERVICE (API) ---> connection ---> ONE OTHER SERVICE
ラウンド1:最初の懸念事項は REST API を最大限に確保するあなたの能力(意図的または非意図的な使用または開示からPHIを合理的に保護する対象エンティティ)。
SERVICE (API) [ROUND 1] ---> connection ---> ONE OTHER SERVICE
2番目の懸念事項は、転送中のPHIを最小化、削除、暗号化(可能な場合)することです。誰かがワイヤーを盗聴してデータを見ることができるようにしたり、あらゆる種類の推論攻撃を作成したりできるようにしたくはありません。 HIPAAの暗号標準/ガイドラインを検索できるため、文字通り、何が受け入れられ、何が受け入れられないかがわかります。
SERVICE (API) [ROUND 1] ---> [encrypted/tunneled] connection [encrypted/tunneled] ---> ONE OTHER SERVICE
最後に、「もう1つのサービス」マシンでは、同じルールが適用されます。可能な限り暗号化、最小限の(知る必要がある)アクセス。