Azure HIPPA基础结构更新

Question

似乎Azure每个月左右平均会进行滚动平台更新。对于符合HIPPA标准的应用程序，这可能是一个问题，因为对底层基础架构的安全性等的更改可能需要重新认证应用程序。我知道这是一个很长的镜头，但在PAAS（网络/工作者角色）中，当前的平台配置是否可以冻结？我知道在IAAS中我完全可以控制，但我的想法是没有办法锁定底层基础设施，我是否正确？有没有办法与MS协调？

Answer 1

您可以specify使用PaOS的GuestOS并避免周二更新补丁。但是，由于HIPAA是关于操作流程的，因此我认为没有人认为微软（或其他任何人）需要重新认证此类更新后的所有内容。

Answer 2

只要您有办法记录和捕获更改，特别是在更新或更改安全模型或策略时，Microsoft对Azure平台的更新不会影响对HIPPA和HITECH的遵从性。以下是关于Amazon Cloud的HIPPA和HITECH合规性的好讲座，这也适用于Azure。

简而言之，这就是您要成为HIPPA / HITECH标准的目的：

• 为云提供商提供的所有VPC系统帐户使用最高安全标准（用户名和密码不够）
• 传输过程中所有数据的加密
• 静止时加密所有数据（加密数据库）
• 加密所有日志，如果它们包含PHI（如果需要，加密文件系统）
• 获取并使用云提供商提供的HIPPA / HITECH批准服务列表（即AWS MySQL没问题，当时MSSQL不在列表中）
• 确保甚至在负载均衡器和应用程序（VPC内部）之间的传输协议得到批准（即终止TCP是好的，命名管道不是 - 不要问我原因）
• 确保您在专用实例中运行（看起来很明显，但不要将VPC用于其他任何事情）
• 记录并保留所有系统更新（如果Azure更新使HIPPA合规性失效，则回答您的第一个问题...如果您记录并查看它们并在ISO政策中说明，则不予回答）
• 记录并保留所有应用程序访问权限（当用户登录时）
• 记录并保留所有系统访问权限（当您和团队更新应用程序或设置时）
• 在制定日志保留标准，质量和流程改进时采用ISO standard。这将采取一些“你应该”的任务形式;例如，您应将所有系统日志保留365天，您应加密并压缩和存档早于365天的日志，您应每30天审核用户访问日志以进行入侵检测，您应每30小时审核所有系统访问日志以进行入侵检测天。
• 确保您的员工了解ISO政策以及在哪里可以找到它。信不信由你，这是大多数ISO政策的一部分，员工知道ISO政策到位以及在哪里可以找到。