La conformità Amazon HIPAA richiede che i clienti eseguano su hardware dedicato ( link ).
Penserei che l'isolamento del sistema operativo e la crittografia dei dati a riposo e dei dati in transito sarebbero sufficienti.
Quali sono i rischi della condivisione dell'hardware con altre macchine virtuali client? Sto cercando di capire le ragioni dietro la loro decisione per questa restrizione.
Non utilizzare hardware dedicato può causare perdite di informazioni a causa di cache condivise , hypervisor compromessi (a causa di vari canali laterali basati sui tempi e altri problemi dovuti a uncertain stability stability .
La crittografia dei dati a riposo e in transito non è sufficiente in quanto molti di questi attacchi hanno dimostrato la dimostrazione di concetti che rubano le chiavi ai vicini. In generale, i regolamenti di conformità tendono ad essere errati dal lato della cautela fino a quando una tecnologia non è matura.
Sebbene tu possa essere corretto rispetto alla tua valutazione delle garanzie tecniche che descrivi come adeguate (anche se mi fiderei che i gestori del rischio di AWS e altre risposte dimostrino alcuni possibili problemi tecnici), è in gran parte irrilevante.
Ai sensi di HIPAA, è necessario garantire accordi di Business Associate con qualsiasi fornitore di tecnologia con cui condividi PHI o utilizzare le proprie piattaforme per trasmettere, archiviare o elaborare PHI.
AWS firmerà un BAA con un'azienda solo se utilizza hardware dedicato, quindi se vuoi rispettare il mandato BAA di HIPAA e utilizzare AWS devi seguire le loro linee guida.