我正在考虑在Azure VM上托pipe符合HIPAA的Web应用程序。 对于数据库,现在我倾向于使用SQL 2014标准版的虚拟机。
由于TDE在Standard Edition中不可用,因此我将仅使用BitLocker来encryption整个驱动器。 根据我所读到的,然而,不能使用某种第三方服务(如CloudLink )来encryptionAzure虚拟机上的操作系统驱动器。
从MSDN的这篇文章意味着它是可能的,但是,使用BitLocker来encryption数据驱动器。 因此,我想我的问题是双重的:
1)是否可以使用Azure虚拟机上的BitLockerencryption数据驱动器?
2)如果我得到一个SQL标准的Azure虚拟机,是否有必要encryption操作系统驱动器,以保持HIPAA兼容?
免责声明:我不是律师。
首先,一些需要阅读:
微软Azure信任中心
HIPAA商业伙伴协议(BAA)
HIPAA和HITECH法案是美国的法律,适用于有权访问患者信息(称为受保护的健康信息或PHI)的医疗机构。 在许多情况下,对于有保险的医疗保健公司使用Azure等云服务,服务提供商必须在书面协议中达成一致,以遵守HIPAA和HITECH法案中规定的某些安全和隐私条款。 为帮助客户遵守HIPAA和HITECH法案,Microsoft向客户提供了BAA作为合同附录。
微软目前向拥有批量许可/企业协议(EA)的客户提供BAA,或者向微软提供适用于范围内服务的Azure唯一EA注册。 Azure唯一的EA不依赖于座位大小,而是依赖于Azure的年度货币承诺,允许客户在定价时获得薪酬折扣。
在签署BAA之前,客户应阅读Azure HIPAA实施指南。 本文档旨在帮助对HIPAA和HITECH法案感兴趣的客户了解Azure的相关function。 目标受众包括负责HIPAA和HITECH法案实施和合规的客户组织中的隐私官员,安全官员,合规官员和其他人员。 该文档涵盖了构build符合HIPAA标准的应用程序的一些最佳实践,并详细介绍了处理安全漏洞的Azure规定。 尽pipeAzure包含有助于实现客户隐私和安全合规的function,但客户有责任确保他们对Azure的特定使用符合HIPAA,HITECH法案以及其他适用的法律和法规,并应咨询其自己的法律顾问。
客户应联系他们的Microsoft客户代表签署协议。
您可能需要与您的云提供商(Azure)签署BAA。请咨询您的合规代表。
这是Azure HIPAA实施指南 。
可以使用符合HIPAA和HITECH Act要求的方式使用Azure。
Azure虚拟机和Azure SQL以及在Azure虚拟机中运行的SQL Server实例都在范围之内,并在此处受支持。
Bitlocker足够用于静态数据的encryption。 它使用AESencryption方式,以满足HIPAA要求(以及其他类似组织的要求)对静态数据进行encryption。
此外,SQL Server不会在操作系统驱动器上存储未encryption的敏感数据, 除非您configurationSQL来执行此操作…例如将TempDBconfiguration为在OS驱动器上运行等等。
如果您已经满足了以其他方式(例如TDE或Bitlocker)静止数据encryption的要求,那么对个体数据库中的单元格/字段/列的encryption并不是严格要求的。
如何selectpipe理BitLockerencryption密钥可能会出现,因为它不会存在于TPM芯片或可移动USB驱动器中,因为您无权访问物理机器。 (考虑每次服务器重新启动时,系统pipe理员手动input一个密码来解锁数据驱动器。)这是服务(如CloudLink)的主要function,因为他们为您pipe理这个神圣的encryption密钥。
回答您的意见:如果您在D:上安装SQL Server,而Windows在C:上运行,则SQL数据将位于:MDF和LDF文件(在D :),TempDB(在D :)和内存中。 在严重的低内存状态下,可能会将数据交换到可能位于C:上的页面文件。 在内存中locking页面可能会有帮助。 SQL 2014应该支持这个。 请参阅http://support.microsoft.com/kb/918483 。