存储和使用健康数据在虚拟私有云

介绍

目标受众

本文概述当前的挑战,研究社区卫生保健数据利用科技进步探索个性化医疗和其他信息。这项工作试图解决一个适当的网络和系统架构支持符合健康保险流通与责任法案(HIPAA)规定在美国在研究环境。本文的目标读者是计算机科学家,网络管理员,主要调查人员和经理们利用的研究项目,或想利用,保护健康信息(φ)在他们的研究项目。读者应该熟悉基本计算机科学原则和条款,如子网,防火墙,路由器,虚拟局域网(VLAN)、访问控制列表和事件日志记录。此外,读者应该有一个基本的了解计算机系统配置和网络架构。在适当情况下,引用材料,可能有利于读者获得深入的知识的概念,但我们试图解释必要的知识来理解。

背景

越来越多的采用电子健康记录为数据挖掘提供了丰富的来源,以识别模式和趋势在卫生保健数据。许多社区在美国已经或正在形成健康信息交流(赶快)。健康信息交流作为一种常见的数据交换中心。这些组织使卫生保健组织传输数据通过联系一个共同的中心,快走,而不是与众多同行组织保持联系。研究人员健康信息交流也可以提供数据。我们预计这一趋势会因为大学(和其他研究机构)可以达到与HIE进行数据交换,而不是法律协议谈判与众多的组织。使这些数据合作伙伴的基本挑战是提供一个安全的环境数据共享和坚持HIPAA,作为必要的。很少讨论,但有关方面在研究社区创建“安全的环境”是能够定义网络和系统架构来满足相关的要求。机构,如医院和大型医学研究中心,可能架构整个信息技术基础设施,以支持受保护的健康信息。

然而,总体上研究环境或企业环境中,信息技术系统被设计用来支持几个利益相关者团体,他们的重新配置不是轻视(在我们的经验)。研究型大学通常至少有两种类型的工作站和其他计算客户的网络安全区域:区域来支持金融系统,学生信息系统和通用业务功能和区域来支持研究系统,通常是限制较少使用(和偶尔打开外部党派)。工作站往往是放在一个区域中。服务器和其他集中服务通常放置在一系列的私人区域在一个数据中心网络,允许适当的访问其他区域,例如,员工访问金融数据库,为学生和老师提供的访问文件存储在中央服务器上。

服务器支持敏感的健康数据不符合这个模型,因为它既不是一个企业计算系统,如金融数据库,也不应该访问的研究系统内部和外部各方。的数据挖掘系统,以支持健康信息应该是一个私人服务器访问授权个人,只有少数与适当的支持来实现审计和其他HIPAA合规要求。频繁,配置新的服务器在数据中心是一个缓慢的过程,因为需要协调和配置新网络的物理安装硬件。亚马逊的虚拟私有云(VPC)服务提供允许研究人员迅速提供网络和服务器。亚马逊VPC云服务的特性允许网络架构师来构建复杂的网络,就像在一个物理环境。最终,大学和其他组织可能会迅速建立私有云,允许研究人员提供网络和服务器,满足各种各样的需求。然而,概念和评论在很大程度上是适用不管研究者利用私有云或公开发行,如亚马逊。

即使数据是匿名/鉴定,重要的是要实现相关的隐私,访问和安全保障信息安全的最佳实践。在本文中,我们提出我们的经验建立亚马逊的“虚拟私有云提供”(1),Amazon EC2的一部分,卫生数据交换。我们提供了一个服务器与欢笑连接(2),一个开源的工具,它可以连接到卫生信息系统(见附录1)。我们曾经欢笑连接用健康交换做试运行提供美国匿名和擦洗数据对病人使用HL7消息格式(3,4通过SSL连接(见附录2)。我们可以使用欢乐连接集成实时健康数据。显然,安全和隐私是至关重要,我们想要探索创造HIPAA兼容环境的可行性,以便其他机构、研究人员和从业人员可能使用受保护的健康信息(φ)。本文的目标是展示必要的步骤建立一个欢乐连接服务器(尽管其他健康数据交换工具可以使用)在亚马逊VPC环境,解决HIPAA法规遵循必要的地方。我们应该注意,三组学生从医疗分析课程在圣母大学的成功将欢笑连接框架小组项目。学生们成功地完成了有关人体培训作为课程的一部分。而健康交换向学生提供模拟数据,我们认为,基础设施允许匿名的患者数据。

HIPAA需求

一般来说,HIPAA(1996)要求美国卫生和人类服务部为卫生保健交易采用国家标准和代码集,独特的健康标识符、隐私和安全(5]。事务和代码设置标准为各种类型的交易讨论的内容和格式包括索赔文件、索赔状态,付款的建议,和其他类型的电子数据的事务发生特定类型的健康提供者之间,健康计划,和数据清算所。管理事务和代码规则集是由医疗保险和医疗补助服务中心(6]。这些规则主要关注软件供应商,数据清算所和健康计划和应用无论计算环境。本文假设组织格式事务数据根据数据交换的标准,因为这些事务中创建应用程序和它们的实现独立于服务器和网络架构。这项工作不讨论各种数据交换格式,因为作者没有开发数据交换软件或提出替代数据交换标准。这项工作主要集中在隐私和安全规则,作为他们的实现取决于计算环境,利用主机服务器和网络。隐私保护规则和安全规则强制标准数据和相应的监控和审计,以确保充分保护的功能。遵守隐私规则和安全规则成为强制性的在2003年和2005年,分别对小型健康计划一年扩展。

隐私规则概述

隐私规则的目的是确保病人的隐私是受人尊敬的电子交易在许多组织越来越多地共享数据。隐私规则(7组件的HIPAA广泛担忧单独识别健康信息的使用,这是经常被称为“受保护的健康信息”(φ)。法律的目的是确保消费者的φ是适当地处理卫生组织内,只有共享与外部实体根据法律允许的使用。隐私规则主要侧重于组织和法律问题,如要求披露会计,容许φ披露和其他周围的φ的隐私和信息披露问题。本文在研究环境中,假定组织有权数据和不需要交换数据与其他实体。本文并不关注周围的组织和法律要求数据披露给第三方。值得注意的是,隐私规则和安全规则要求一个组织任命一个隐私官和一名安全官员。此外,组织必须保持政策符合HIPAA(和任何国家和地方的法律)。适用的隐私规则和安全规则要求无论组织维护自己的云计算基础设施或利用。然而,论述了更有趣的信息技术方面实现HIPAA法规遵循在云计算研究解决措施在安全规则的挑战。

安全规则概述

服务器的安全取决于服务器的物理安全,网络运营商和用户的服务器的配置和管理应用程序,操作系统和网络。检查这个从HIPAA法规遵循的角度来看,有几个我们地址部分的安全规则,包括“风险分析和管理”、“行政保障”,“物理安全措施”,“技术措施”。

用例

几个用例用来强调利用企业的障碍和研究计算环境。

研究健康数据

假设研究组织O₁想要从组织获得φO₂一个研究项目,想合作的项目合作者C₁和合作者C₂在组织啊₂和O₃,分别。还假设共享可用的φ是必要的许可。它是由信息安全部门人员的组织,φ应该存储在加密的文件服务器与服务器访问授予研究员和合作者C₁和C₂。人员啊₁可以创建账户啊₂和O₃,但所有远程用户(通过虚拟专用网V₁阿)₁有网络访问所有系统O₁默认网络N₁。理想的解决方案是创建一个新的网络N₂和一个新的远程用户组,V₂和只允许用户在V₂,一个单独的VPN(虚拟专用网络)集团访问N₂。在许多组织中,而这些变化可能会要求各部门人员的合作,手动更改,因为创建这个架构的能力不是暴露于研究者。利用云解决方案,研究人员可以建立一个网络N₂在亚马逊和一篇VPN V₂3用户研究员,C₁C₂。这个设置应该提供快速、轻松地删除项目时完成。

健康数据类项目

假设研究员想要建立一个系统,使一个类的20名学生在团队中工作的4在微型数据挖掘项目中,利用电子医疗记录(EHR),虽然鉴定。每组被允许访问电子病历系统而不是所有的一些元素,和不允许访问整个EHR集团。确保组织不要试图访问其他组的数据和代码,并确保实现“最小特权原则”,五个独立网络,名为N₁通过N₅将被创建,和五个单独的将创建vpn, V命名₁通过V₅。网络N₁将只能通过VPN V₁和网络N₂将只能通过VPN V₂等等,因为用户分配给网络N₂不需要访问N₁。在竞争的结论,网络和vpn将被删除。购买一个学期的物理服务器是一个昂贵的命题(假设5个虚拟机使用,因此只有一个物理服务器是必需的)。要求五网络和VPN组的配置,以及相关的配置,对于一个学期可能被认为是大请求,由于系统不是一个永久的企业制度。利用云计算,这个任务可以提供迅速,甚至脚本重复使用(即,下次课程提供)。租用虚拟机需要的具体时间,而现场解决方案需要提前购买一个物理服务器。

为什么使用云?

虽然可以在私有数据中心,建立类似的架构支持“研究”活动所需的交货时间在企业数据中心可以意义重大,因为企业的资源和政策目的是支持企业应用程序,比如会计,人力资源,等等。通常,研究计算环境,如校园集群配置在一个较低的安全设置(因为它们是优化以实现最佳性能和快速故障排除),不支持所需的物理安全标准HIPAA因为各种个人可能被允许访问数据中心和服务器。研究计算数据中心空间通常是优化的快速故障排除和高性能,有很多身体上的锁架由不同的个人访问。严格的物理安全标准可能会要求敏感的系统放置在锁架,独立于主数据中心的空间,以便对敏感系统的物理访问审计。此外,研究计算环境通常不允许研究人员提供私人网络,配置为他们的需要,在几天内。从技术角度来看,研究计算中心,和可能会提供一个中间件软件解决方案,最终将使研究人员能够创建自己的定制的网络和虚拟服务器(私有云)。然而,这种类型的解决方案不是目前在许多机构。私有云可在研究机构后,讨论了这项工作应该援助人员在决定如果他们组织的解决方案是适合举办HIPAA规范的数据。

如果没有一个私有云计算研究中心,研究人员被迫获得物理服务器,假设可以安排适当的物理安全。然而,获得物理服务器所需的时间和协调他们的安装范围可以从几天到一个月以上(包括必要的时间安排会议和计划连接)。在这种情况下,研究人员只剩下的选择要求在企业数据中心空间或试图增加研究计算环境的安全状况。作者通常有追求前者选项,增加安全态势的研究计算环境是一个重大的投资资源,只有很少的用户服务。

企业数据中心研究机构通常有许多内部网络为了企业广域网分割成许多私人网络为特定目的。例如,支付处理系统通常有他们自己的网络。此外,内部数据库(即金融数据库)和其他类型的后台服务器通常是分段面临从web服务器和公共系统。路由器和防火墙的访问控制列表控制各种私人之间的交通网络。能够动态地提供网络可能暴露人员作为私有云的一部分,但将需要广泛的访问控制中间件,以防止恶意用户干扰关键任务网络的配置和服务。鉴于企业网络和服务的目的,这种系统的经理有强烈的动机,以不让研究人员管理界面和其他最终用户启用“私有云”利用相同的行政系统。在未来,可能是健壮的行政系统,通常称为中间件,将开发并行的功能最复杂的云提供商。当复杂的中间件是可用的和研究机构采用它,“私有云”将用于研究人员在他们自己的机构或区域联盟,假设它是成本有效的。

复杂的中间件在很大程度上是专有尽管开源云计算平台,比如OpenStack,确实存在。然而,由于许多组织已经利用企业虚拟化平台,比如VMware,使私有云研究的任务是比看起来要复杂得多。几个问题,可能被认为是:

• 组织应该建立一个二级私有云平台研究工作负载或利用一个平台为企业和研究工作负载?
• 如果选择一个平台,这个平台应该专有平台或一个开源的平台?
• 平台是否支持一个可扩展的接口使终端用户能够配置网络和虚拟机?
• 有多少物理服务器应该致力于利用每个平台如果两个平台吗?
• 私有云平台和数据中心将审计标准如SAS 70 II型或ISO 27001吗?

大多数这些问题似乎没有解决在许多研究机构作为云平台软件仍在发展和迁移现有系统是一项昂贵的命题。当平台软件的成熟,私有云可能是构造研究组织,或研究组织可能选择利用区域云供应商或供应商如亚马逊,根据成本和工作量。

商业云提供商提供另一个物理服务器在本地数据中心通过利用援助组织的架构帮助设计,以确保它满足组织的政策。有利地,系统放在一个合适的环境,独立于组织的企业IT系统和计算系统的研究。

环境

几个主要的公共云计算环境中存在,如Rackspace, Amazon的EC2服务,和Verizon。这些供应商,和许多较小的,允许客户运行一个操作系统的选择和维护完全控制他们的操作系统和网络环境。这些类型的供应商大致可以分为基础设施即服务(IaaS)供应商(8]。平台如微软Azure,通常称为平台即服务(PaaS) [8),提供一个应用程序托管环境,系统管理员没有直接控制操作系统或网络。维护操作系统的完全控制允许租用计算环境的系统管理员配置一个基于主机的防火墙,建立事件日志记录,执行任何其他定制的典型环境和威胁模型。本文并不试图争辩说,是不可能实现的HIPAA遵守平台即服务提供者。我们只是注意保持完全控制一个操作系统和网络允许系统管理员设置服务器在一个环境,类似于他们的内部网络和数据中心。例如,如果一个健康组织通常使用软件加密保护整个目录服务器上,加密的特定目录也可以设置操作系统由IaaS提供商,自组织保持完全控制。

虽然有可能实现HIPAA合规使用PaaS提供商时,如果供应商促进适当的日志功能和服务器隔离,我们认为这是简单的演示HIPAA遵守组织的传统模式控制他们自己的服务器和网络。此外,法律和监管环境更熟悉的概念组织保持完全控制他们的操作系统和网络与新模式,顾客只是维护应用程序层的控制。信息安全指导通常集中在一个“纵深防御”战略来保护数据,包括网络、操作系统和应用程序上运行的操作系统。鉴于目前的监管环境,相似性IaaS和组织拥有私有数据中心,我们选择使用Amazon的EC2“虚拟私有云”(VPC)作为我们的平台。亚马逊的VPC有几个重要的特性,是引人注目的,从安全的角度来看:

• 亚马逊的私人子网环境nonroutable互联网协议(IP)地址
• 选择公共IP地址分配给服务器
• 能力创建一个虚拟专用网(VPN)连接到亚马逊服务器合并到一个组织的广域网
• 结合公共IP地址和VPN创建多层服务
• 入站和出站状态数据包检测防火墙规则为每个服务器组
• 能够建立一个基于主机的防火墙(如果支持操作系统)
• 网络访问控制列表(ACL)控制传入和传出的交通在子网级
• 多个网络接口为每个服务器构建复杂的网络体系结构

这些特性,结合时,启用系统架构师创建灵活的网络,可以支持一系列的安全需求。如果正确实现并伴随着适当的计划和监控,我们认为,这些特性允许系统地址隐私和安全规则规定HIPAA电子个人健康信息(e-PHI)。显然,HIPAA是一组复杂的法律、法律解释和技术保障的实现,因此涉及到复杂的风险分析。作者不是律师,建议读者寻求适当的法律顾问。”所需的步骤确保机密性、完整性和可用性的e-PHI他们创建、接收、维持或传输”,HIPAA的一部分安全规则(9]因为电脑医生订单输入(CPOE)系统拥有1000用户,是一个重大的任务。确保机密性、完整性和可用性的研究数据库5用户包含有限的子集e-PHI数据从一个催促可能远比设计简单,支持1000 -用户CPOE的环境。例如,20分钟的计划外停机时间可以被认为是一个可接受的风险研究数据库。然而,20分钟的计划外停机时间CPOE可能带来灾难性的结果对于大型医疗中心。提供一个可伸缩的设计,和安全系统在云中CPOE支持1000个用户超出了本文的范围。本文的目的是分析使用Amazon的EC2平台作为研究数据和应用程序的托管环境10),可能包含e-PHI,引用美国卫生和人类服务部文档(7,9在适当的地方)。其他几个供应商,如Rackspace [11),也支持私人网络和安全集团。VPC的概念,提出了研究人员(12)之前,亚马逊发布了他们的“虚拟私有云”作为公共产品。

方法

解决安全规则

风险分析和管理

风险分析和管理的影响时,必须权衡选择适当的安全措施。首先,评估潜在风险的可能性和影响e-PHI需要执行。例如,外部团体可能只获得一份e-PHI催促的数据,和原始e-PHI不是修改的风险。第二,风险补救措施需要实现。第三,风险分析和管理计划应该记录随着环境的变化和更新。应该熟悉信息安全风险分析和管理部门,应遵循类似的分析过程,无论虚拟服务器的位置(无论是基础设施作为服务提供者,例如亚马逊利用或一个组织的私有云)。

管理保障措施

的行政保障措施遵循上面的“风险分析和管理”部分。组织与e-PHI e-PHI必须识别和分析风险和实施安全措施来减轻风险。此外,该组织应指定一名安全官员,负责开发和实施安全策略。一个信息访问管理政策应确保满足隐私规则标准执行必要的最低信息披露来支持任务。此外,访问e-PHI数据应该允许基于用户或接受者的角色。安全规则还要求组织必须提供适当的授权和监督员工访问e-PHI成员,培训所有成员访问e-PHI(根据组织的政策和程序),并应用适当的制裁成员违反政策。HIPAA要求定期组织评估他们的政策和程序的有效性。

物理安全措施

物理安全措施是由两大项目——“设备访问和控制”和“工作站和设备安全”。“设备访问和控制”是指“限制对其设备的物理访问,同时确保授权允许访问。”

基础设施作为服务提供可接受的设备访问和控制网络(网络,支持虚拟服务器)和虚拟服务器如果组织认为提供者的可接受的标准。Amazon EC2服务已经完成了SAS 70 II型审计,获得ISO 27001认证,和PCI DSS验证级别1级服务提供者。

我们的原型的环境是亚马逊的VPC,一个可配置的基础设施作为服务提供的Amazon EC2服务。VPC使客户建立一个私人多层网络结构,利用可以在EC2实例类型的一个子集。微和集群计算实例类型在VPC目前不可用。这个功能通常不是可用的大多数研究机构研究人员,除非他们有一个高度可配置的云平台与广泛的安全性和审计工具。

工作站和设备安全也是一个重要的组件的安全计划,和它的重要性不能被夸大。如果用户的工作站在无担保领域,没有适当的物理安全,这提供了一个有严重后果的风险。例如,如果利用SSH密钥对(或弱密码)和上没有密码存储在本地文件系统上没有任何加密,一个基本的攻击可以检索私人SSH密钥从工作站用户不存在时,攻击者可以使用偷来的凭证来模拟用户。同样,键盘记录软件可以用来检索用户的私钥密码,或标准SSH密码。一旦模仿用户的凭据,攻击者可以获得e-PHI数据在远程服务器上,可能包括e-PHI数据。如果用户模拟时,决定谁不当e-PHI访问数据的能力。一个可能的技术方案减少凭据盗窃的风险将是实现智能卡。

还有许多其他类型的攻击,可以从一个组织内,超出了本文的范围。风险缓解策略也超出了本文的范围。此外,它是不可能让作者评论读者环境因为各种组织保持不同量的数据,受各种各样的法律显然(当地、州和联邦HIPAA法规要求最低联邦标准)和合同,和体验自己的威胁。然而,这些例子有助于激励工作站和设备安全的重要性。

云计算不移除需要提供一个可信计算环境的工作站和其他设备使用在一个组织。是派拉蒙的访问控制、审计、和完整性控制(下图)为用户提供一个值得信赖的计算环境工作站,这样可以确定用户身份。用户身份验证是至关重要的,这样可以通过适当的授权决策包含e-PHI数据的服务器。组织的信息安全技术部门应该提供一个值得信赖的环境组织的设备和提供必要的风险和缓解策略适用于他们的特定环境。

物理安全的必要性也适用于云管理员,隐私经理、安全经理和其他关键岗位管理控制系统与e-PHI数据。显然,如果云经理是妥协的用户凭证,审计记录的可信度,e-PHI数据和虚拟服务器是令人怀疑的。我们实验室维护一个私人的空间数据处理关键人员,以便使用篡改“重要”工作站需要更高水平的决心和复杂而工作站在公共区域由许多人共享。

工作站和设备安全保护部分还包括要求e-PHI电子媒体。例如,当电子媒体转移的,删除处理,或重用。基于云的块存储,比如亚马逊的弹性块存储(EBS) [13一样),应该把磁或固态磁盘。体积是之前“处理”,删除它从Amazon EC2账户,体积应该使用一个批准的擦拭工具消毒。这个卫生处理过程可以在云中实现:

1. 关机服务器,而不是终止
2. 分离EBS卷,名叫J,从原始服务器实例
3. 将EBS卷J作为额外的体积擦拭实例,W
4. 从内部安装体积,J,擦拭的操作系统实例,W
5. 从内部擦拭EBS卷,J, W使用适当的工具

下一个步骤工作站和设备安全

组织应建立一个健壮的工作站和物理设备安全计划(或重新评估当前程序)。这个程序应该建立各种类的用户为每个用户类和确保一个适当的环境。例如,用户类,行政监督的云计算环境中应该给予适当的关注。

技术保障措施

也许最有趣的技术保障的安全规则保障基础设施作为服务环境。HIPAA环境中的技术保障措施包括四个主要类别:访问控制、审计控制、完整性控制和传输安全。访问控制可以确保只有经过授权的人员可以访问e-PHI数据。这是在我们的环境中实现SSH2 RSA密钥对Unix登录名称链接到实际用户,SSH密码登录可以容易受到攻击时机14]。用户创建一个密钥对密码保护私钥和被训练的私钥存储在安全存储。访问控制是加强通过实现基于主机的防火墙规则(这也使得防火墙的捕捉审计记录审计和监测目的),亚马逊安全组防火墙规则(有状态数据包检测防火墙)应用于单个服务器(见表1和2),和网络访问控制规则(nonstateful ACL规则)来控制交通网络之间的虚拟私有云(见附录3- - - - - -6)。我们的网络配置提出了图1。审计服务器都有自己的私有网络和相应的安全组根据配置表1。分析服务器分割自己的网络和安全组规则了表2。对于那些有兴趣访问SSH通过VPN连接和其他服务,可以构造一个IPsec VPN亚马逊虚拟私有云,SSH和其他交通从一个组织是运行在一个加密的连接。作为一个最糟糕的情况,假设一个漏洞在应用程序层协议标识(比如SSH),和密码可以猜测基于VPN的交通模式(这本身就是基于应用层的流量,如SSH)和密码获得了这个应用程序。恶意的个人将无法使用这些凭证,除非他们可以访问VPN连接VPC,绕过亚马逊的防火墙和网络访问列表(假设所有凭证是用来获得访问资源的虚拟私有云和密码不与任何其他系统外部共享虚拟私有云),或与内部用户合作。

亚马逊提供了三种方法的交互管理界面,用于创建和终止虚拟服务器和管理网络(包括安全组防火墙规则和网络访问控制列表)。这些方法目前Amazon AWS基于web的管理控制台,Amazon API访问密钥和证书。因为获得访问API访问键或x .私有证书通常只需要访问云经理的工作站(除非智能卡用于存储证书),我们选禁用这两种访问方法和专门利用AWS基于web的客户端。基于web的客户端允许使用多因素身份验证,这需要两条信息进行身份验证亚马逊云管理器云管理器的密码(只有他/她知道)和一次性密码令牌从云经理的令牌设备进行一个钥匙链。这种方法优于一条信息来证明身份和可能的云管理器和其他高层人员访问VPC的配置。冒充云经理给攻击者的能力终止服务器或至少妥协他们的完整性通过调整防火墙规则,终止审计服务器,或执行其他灾难性的行为。值得注意的是,可以配置访问列表限制API访问特定IP地址范围和时间的天,复杂攻击使用偷来的API密钥或证书。IP地址限制可用于结合多因素身份验证来限制访问特权帐户。然而,这种复杂建模失败。例如,如果一个服务器被破坏和云经理休假,公司VPN正在经历一场失败,那么云管理器将无法登录到亚马逊和关闭服务器或调整VPC配置(假设API调用只是从组织内部的访问)。

‎ 把这个图

下一步进行身份验证和授权

亚马逊提供了很多选项验证EC2管理控制台,如身份访问和管理服务。这些服务允许组织利用自己的身份验证系统授权访问Amazon的EC2资源通过联合身份验证EC2经理。组织应确定个人的角色需要访问Amazon EC2管理控制台和服务器本身。很可能组织可以很容易地利用自己的身份验证和授权系统服务器和数据库登录如果他们配置私有云在亚马逊作为一个扩展自己的网络。整合内部与EC2用户帐号管理界面可能会需要定制软件的开发,可能是不必要的,如果只有有限数量的用户需要访问管理控制台的VPC管理。

审计控制过程和系统,收集包含e-PHI访问和活动的信息系统。我们的原型实现中央syslog服务器用于收集和监视事件从项目服务器。SSH登录和防火墙活动(从基于主机的防火墙)记录到syslog服务器。我们的原型系统,包含鉴定的健康信息,根据记录审计事件表3。Splunk [15),日志管理和监视工具,日志服务器上安装监控审计事件记录。数据库存储e-PHI可能包含日志功能通过存储过程或使用数据库引擎的本地日志记录功能(如果它存在的话)并将这些审计消息发送到中央日志服务器。例如,如果e-PHI访问、删除或修改,审计记录可以生成并发送到中央日志服务器。审计的粒度应该选择适当的风险管理的咨询和法律人员。

下一步的审计

事件应该定义根据法律和组织的业务需求。一旦定义了这些事件,审计和报警软件时应提醒配置适当的个人有趣的事件被检测到。

软件配置

Linux服务器的形象是建立与亚马逊AMI 2011.09 [16),然后我们开始安装欢笑连接服务器(使用命令行安装程序)、Apache、PHP和MySQL,离开这些服务在chkconfig关掉。服务器的形象只是一个服务器没有用户帐户或其他个性化的信息很容易克隆来创建任意数量的服务器。这些工具被安装后,我们关闭图像机和创建了一个S3快照的机器,这样我们可以根据这个映像启动实例(没有一个共同的MySQL密码或SSL证书)。实例被创建后,开始从形象,我们配置的每个实例创建一个独特的MySQL和Apache SSL证书密码和用户帐户。

下一步的软件配置

个人或团队负责创建服务器应获得必要的软件和验证其真实性。如果多个服务器将使用相同的任务可以克隆服务器创建一个S3的形象。

讨论

摘要教程如何复制我们的环境在Amazon的EC2“虚拟私有云”获得数据从一个催促。我们相信这个环境可以HIPAA兼容如果遵循最佳实践,为亚马逊提供了许多特性(不一定是默认配置),可以设置,以适应不同的安全需求。信息安全的引用(17]讨论了HIPAA法规遵循了一段时间,和他们的方法也可以应用到新环境,比如云。

亚马逊的文档,我们所知,没有澄清私人网络是如何实现的。例如,他们使用802.1 q的树干,实现一个专有的覆盖网络,或完全不同的东西吗?实现的选择可能包括之间的权衡分析性能,安全性,可扩展性,成本,亚马逊可能感兴趣的其他指标。这种权衡决定是感兴趣的系统管理员,以便确定亚马逊的安全模型是一个适当的适合他们的项目。

可以作出一些改进VPC服务相关的互动“安全组”和服务利用亚马逊Linux服务器。我们经历了一个明显的问题是更新的动态特性反映补丁亚马逊使用Linux。在理想的情况下,会有少量的服务器,与亚马逊IP地址,提供一个列表,以便系统管理员可以轻松实现外向交通过滤安全组和允许更新服务器流量。目前,因为几个镜子,识别的过程用于更新的IP地址可能是偶然的,需要手动试验和错误的系统管理员,或者所有流量的豁免注定要在更新间隔80端口。当试图使用国家结核控制规划服务器也存在类似的问题,因为公众国家结核控制规划服务器池通常亚马逊之外,和一个给定的DNS主机名的国家结核控制规划可以解决许多地址池。总的来说,“安全组”的功能VPC是优秀的,因为它允许入站和出站过滤和其有效性将增强是否纠正这些问题。

另一个问题,对审计和合同合规有更严重的影响,在我们看来,是不能为客户保存或者访问事件所否认的“安全组”或“网络访问控制列表”。这些信息可能是有价值的信息安全专业人员试图确定流量的体积和/或来源是针对他们的网络。例如,端口扫描或其他基本的活动可能是一个迹象等待攻击或恶意用户对网络的兴趣。而基于主机的防火墙规则可以用于信号可疑行为的内部用户,增加审计记录的“安全组”或“网络acl”可以证实系统级事件对内部用户在任何法律行动。

HIPAA不授权的具体审计清单的设置服务器和网络,而国家安全应该是适合的风险。HIPAA指南将更有用的系统管理员如果关于最低标准提供了额外的指导。例如,什么类型的数据应该满足审计的要求“考察访问和其他活动信息系统含有或使用e-PHI”(9]?如果这些需求更明确提出,那么很可能云提供商能够比较容易接受的最低要求,这样他们的客户可以为HIPAA合规使用他们的服务。缺乏清晰的HIPAA标准是瓦法在法律评论》上的一篇文章中所指出的18]。

有几种广泛的安全考虑,应该提到当讨论迁移到云计算。首先,云计算提供商通常利用虚拟化提供隔离(19]。如果底层物理服务器为多个客户主机的计算资源,使用几种类型的边信道攻击是可能的(20.]。亚马逊提供一个选项来主机虚拟化计算服务器硬件上专用的(非共享)对于一个给定的客户资源的额外成本。同样重要的是要注意,边信道存在的漏洞,因为虚拟化软件(通常称为hypervisor)也可能存在于私有数据中心和私有集群,假设“攻击”服务器(通常是共享相同的物理硬件上作为目标)能够访问内部个人要从目标服务器。

组织的网络连接的可靠性是另一个重要的问题,如果基于云服务器主要是访问的组织。基于我们的经验在我们的校园,我们的广域网(和连接到本地数据中心)比我们更可靠连接到互联网商品。组织应进行适当的投资冗余设备和网络连接如果他们决定利用云计算作为关键任务服务。亚马逊最近推出了(21]专用连接(1-10Gbps)客户在特定的地理区域,这将减少对大宗商品的依赖互联网,因为可以直接连接的专用连接组织的广域网。其他供应商可能会发布类似产品或者至少试图解决这个问题。

系统架构师必须确定的风险和成本产生的事件,应边信道攻击发生在大麦哲伦星云,考虑到系统的接触。例如,一个可能基本风险决定是否服务器连接到公共网络或只能通过VPN服务器提供服务的数量和类型。例如,假设有人能够证明,开展边信道攻击获得RSA密钥服务器登录,如果只能从一个VPN系统,其他组织将无法轻易利用偷来的钥匙,除非他们也可以获得组织的网络和VPN。

结论

最终,系统架构师必须试图回答下列问题。首先,是他们在云计算基础设施安全提供者或在自己的数据中心?第二,什么是预算分配给“更安全”的环境中,假设的基本环境HIPAA兼容吗?如果组织的私有数据中心经常停电或仅保持简单的备份磁带与服务器相同的设施,系统架构师可能决定云计算带来的好处(可论证的物理安全、可伸缩的和简单的备份驻留在多个位置,最新的修补程序的代码)远远大于缺点(远程复杂的边信道攻击的可能性)。我们怀疑这些安全问题的争论才刚刚开始,并将继续下去。

在我们的经验中,云计算能够支持快速配置的资源可以配置以适应不同的安全需求。亚马逊的虚拟私有云提供一种可能性来快速提供敏感数据网络为研究目的。相信我们的原型HIPAA兼容的方式可以实现(研究目的),本文将提供一个列表的讨论建议的改进和注意事项应读者希望探索的实现关键任务HIPAA工作负载在云中。