AWS SSH 密钥是不是符合 HIPAA 或 Sox 标准?

Posted

技术标签:

【中文标题】AWS SSH 密钥是不是符合 HIPAA 或 Sox 标准?【英文标题】:Are AWS SSH keys HIPAA or Sox compliant?AWS SSH 密钥是否符合 HIPAA 或 Sox 标准? 【发布时间】:2021-03-04 20:29:43 【问题描述】:

AWS 通常使用在创建实例时分配的 SSH 密钥来促进通过 ssh 访问 EC2 实例。然后,这些密钥通常会在管理团队之间共享以维护实例。为数千个 EC2 实例管理这些密钥本身就很困难,因为密钥轮换很繁重,而且对谁可以使用密钥没有任何限制。

因此,在团队成员之间共享 EC2 ssh 密钥是否符合 HIPAA 和/或 Sox 标准?

我知道 Instance Connect 通过使用 IAM 在控制 ssh 访问方面做得更好,但令人惊讶的是,我还没有看到很多公司使用 Instance Connect。即使在需要 HIPAA 或 Sox 合规性的公司中,共享 ssh 密钥似乎也很普遍。

【问题讨论】:

【参考方案1】:

AWS 通常使用在创建实例时分配的 SSH 密钥来促进通过 ssh 访问 EC2 实例。然后这些密钥通常会在管理团队之间共享...

没有。

创建时使用的密钥通常应在第一次连接后立即替换为您自己的新生成且值得信赖的生成密钥。它不是共享的。只有菜鸟共享密钥。多个用户 = 多个键。

共享密钥以访问敏感数据甚至不完全符合 GDPR,因此它 100% 不符合 HIPAA。

免责声明:我不是律师。

【讨论】:

以上是关于AWS SSH 密钥是不是符合 HIPAA 或 Sox 标准?的主要内容,如果未能解决你的问题,请参考以下文章

如何从无服务器应用程序安全地连接到 AWS DynamoDB 或其他 aws 数据库

确定平台 + Firestore REST 客户端是不是符合 HIPAA 要求?

将用户应用程序数据保存在 SQLite/Android 中是不是符合 HIPAA 标准?

使用符合 HIPAA 的 GCP 数据库或 Firestore

有没有人明确知道 API Gateway 和 cognito 在使用 lambda 时是不是符合 hipaa 标准?

与云 sql 一起使用时,App Maker hipaa 是不是兼容