3

我希望获得有关存储 HIPAA 合规性以及 Amazon S3 文件存储安全性的数据库加密密钥的最佳方式的建议。我一直在搜索stackoverflow和谷歌搜索,但我无法完全掌握我具体做的事情是否足够。我不希望我做的事情与规定的方法不同,以使我的应用程序不安全。

目前,我有一个 Rails 应用程序,它使用 gem attr_encrypted 来加密数据库中敏感的患者识别数据,如姓名、ssn、地址等。我还将签名图像和患者图片等内容存储在 Amazon S3 中使用服务器端加密。我知道我不应该在应用程序或任何可能受到版本控制的文件中对数据库加密密钥进行硬编码,但我可以将它保存在 heroku 的 env 配置变量中吗?这些是如何保护的?它们与数据库有多分离(例如,如果有人进入 heroku 并窃取了数据库的副本,那么 ENV 变量是否也容易受到攻击?)?我目前将 AWS 密钥保存在 heroku 环境变量中,这安全吗?另外,用于加密的最佳密码是什么?我目前正在使用我拥有的书中随机页面中的 2 个句子。

如果我对我概述的任何程序非常天真,请告诉我,如果我提出天真的问题,我提前道歉。我想符合 HIPAA,但此外,我想知道我已经超出了 HIPAA 的要求,因为据我了解,HIPAA 合规性并不总是 = 实际上是安全的。

感谢大家!

4

1 回答 1

0

(这更像是一个评论,但它太长了,无法添加为评论):

@Eli:HIPAA 实际上并不强制要求任何特定技术。这很好,因为它是一条法律,而不是像不断变化的技术那样易变。

@OP:这是一份关于在 AWS 上构建 HIPAA 投诉应用程序的白皮书。它应该给你一些好主意。但 Eli 是正确的,因为您需要联系 Heroku 以获取他们的合规信息。或者,此时您最好从 Heroku 迁移出去。以我的经验,它是一个很好的原型设计平台,但是在处理生产环境时很容易(而且很昂贵)开始遇到它的限制。

/dev/random@FrederickCheung:如果熵不足,直接读取会阻塞。/dev/urandom如果伪随机不够好,通常建议使用或实际的加密库。

于 2012-12-14T17:18:58.520 回答