似乎 Azure 平均每个月左右都会进行滚动平台更新。对于符合 HIPPA 的应用程序,这可能是一个问题,因为对底层基础设施的安全性等进行更改可能需要重新认证应用程序。我知道这是一个长镜头,但在 PAAS(网络/工作者角色)中,当前的平台配置可以被冻结吗?我知道在 IAAS 我有完全的控制权,但我的想法是没有办法锁定底层基础设施,对吗?有什么办法可以和MS协调吗?
问问题
79 次
2 回答
2
您可以为 PaaS指定GuestOS 并避免周二更新补丁。但是,由于 HIPAA 是关于操作流程的,我认为没有人认为 Microsoft(或其他任何人)需要在此类更新之后重新认证所有内容。
于 2013-10-03T16:04:54.233 回答
0
只要您有办法记录和捕获更改,尤其是当它们更新或更改安全模型或策略时,Microsoft 对 Azure 平台的更新就不会影响对 HIPPA 和 HITECH 的合规性。这是关于Amazon Cloud上 HIPPA 和 HITECH 合规性的精彩讲座,这也适用于 Azure。
简而言之,这就是您要符合 HIPPA/HITECH 标准需要做的事情:
- 对您的云提供商提供的所有 VPC 系统帐户使用最高安全标准(用户名和密码还不够)
- 在传输过程中对所有数据进行加密
- 静态时对所有数据进行加密(加密数据库)
- 加密所有包含 PHI 的日志(如果需要,加密文件系统)
- 仅从您的云提供商处获取并使用 HIPPA/HITECH 批准的服务列表(即 AWS MySQL 可以,MSSQL 当时不在列表中)
- 确保负载均衡器和应用程序(在 VPC 内部)之间的传输协议得到批准(即终止 TCP 是可以的,命名管道不是 - 不要问我为什么)
- 确保您在专用实例中运行(看起来很明显,但不要将 VPC 用于其他任何事情)
- 记录并保留所有系统更新(回答您的第一个问题,如果 Azure 更新使 HIPPA 合规性无效......如果您记录并查看它们并在您的 ISO 政策中说明,则不是)
- 记录并保留所有应用程序访问(当用户登录时)
- 记录并保留所有系统访问权限(当您和团队更新应用程序或设置时)
- 在制定日志保留标准以及质量和流程改进时采用ISO 标准。这将采取一些“你应该”命令的形式;例如,您应保留所有系统日志 365 天,您应加密、压缩和归档超过 365 天的日志,您应每 30 天审核一次用户访问日志以进行入侵检测,您应每 30 天审核所有系统访问日志以进行入侵检测天。
- 确保您的员工知道有 ISO 政策以及在哪里可以找到它。信不信由你,这是大多数 ISO 政策的一部分,员工都知道有 ISO 政策以及在哪里可以找到它。
于 2016-07-14T16:58:50.873 回答