AWS HIPAAには、単一の顧客専用のハードウェアが必要です
Amazon HIPAAコンプライアンスでは、お客様は専用ハードウェアで実行する必要があります( https://aws.Amazon.com/compliance/hipaa-compliance/ )。
オペレーティングシステムを分離し、保存データと転送中のデータを暗号化するだけで十分だと思います。
他のクライアント仮想マシンとハードウェアを共有することのリスクは何ですか?私は、この制限に対する彼らの決定の背後にある理由を理解しようとしています。
専用ハードウェアを使用しないと、 共有キャッシュ 、 ハイパーバイザーの侵害 (さまざまなタイミングベースのサイドチャネル、および 不確実)によるその他の問題により、情報漏えいが発生する可能性があります。パフォーマンスの安定性 。
これらの攻撃のいくつかは、隣人から鍵を盗むという概念実証を示しているため、保存中および転送中のデータの暗号化は十分ではありません。一般に、コンプライアンス規制は、テクノロジーが成熟するまで注意を怠る傾向があります。
あなたが適切であると説明する技術的保護手段の評価に関しては正しいかもしれませんが(AWSリスクマネージャーや他の回答がいくつかの考えられる技術的懸念を示していると私は信じますが)、それはほとんど無関係です。
HIPAAの下では、PHIを共有する、またはそのプラットフォームを使用してPHIを送信、保存、または処理するテクノロジーベンダーとのビジネスアソシエイト契約を保護する必要があります。
AWSは、専用ハードウェアを使用している場合にのみ企業とBAAに署名するため、HIPAAのBAAマンデートに準拠し、AWSを使用する場合は、企業のガイドラインに従う必要があります。