DynamoDB 加密以实现 hipaa 合规性

Posted 2023-03-26

【中文标题】DynamoDB 加密以实现 hipaa 合规性

【英文标题】：DynamoDB encryption for hipaa compliance

【发布时间】：2018-08-08 17:54:09

【问题描述】：

我们基于 AWS 开发了一个需要 hipaa 合规性的 PWA。在本文中写道 AWS AWS Architecture Whitepaper 当 PHI 存储在 DynamoDB 中时需要在存储到 DynamoDB 之前进行加密。现在 AWS 在一些 DynamoDB 区域发布了 Enryiption at Rest。当我在 DynamoDB 级别启用加密以符合 hipaa 标准时，是否需要加密 PHI？

【问题讨论】：

我认为该要求与 DynamoDB 在 DynamoDB 原生重置加密之前有关。请注意，新的加密功能目前在部分地区可用，但并非所有地区。

是的，我也这么认为

【参考方案1】：

使用 DynamoDB 的服务器端加密选项就足够了。在将数据发送到 DynamoDB 进行加密之前，您无需对数据进行预加密。当然，数据在传输到 DynamoDB 的过程中也需要加密。

请注意，虽然 HIPAA 本身需要静态加密，但 AWS另外要求您将数据存储在 AWS HIPAA-eligible service（DynamoDB 是）中。

您必须另外执行 AWS BAA，然后您可以在指定为 HIPAA 账户的账户中使用任何 AWS 服务（即使是那些不在 HIPAA 合格列表中的服务），但是您只能使用符合 HIPAA 要求的服务处理、存储和传输 PHI 数据。

2018 年 11 月更新：all DynamoDB tables are encrypted at rest。

【讨论】：

感谢您的回答。 DynamoDB 的加密很容易使用 https 或需要这个比 ssl/tls 更多？

TLS 1.0 或更高版本，支持密码，是我的理解。见luxsci.com/blog/level-ssl-tls-required-hipaa.html

# 默认加密。 * DynamoDB 在将所有表写入磁盘时透明地对其进行加密和解密。没有选项可以禁用静态加密。 * 见docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/…

注意事项：“符合 AWS HIPAA 要求的服务”仅表示该服务允许客户应用自己的 HIPAA 合规性控制。服务本身不可能提供 HIPAA 控制，因此“符合 HIPAA 要求”。

将此逻辑应用于责任共担模型。 AWS 的责任以它们开始和结束，在大多数情况下允许客户添加自己的安全控制，AWS 通常默认不提供，但它们可供客户使用，因此客户必须承担任务以确保您是“合规”，因为 AWS 不会按原样将服务（任何服务）作为合规服务提供给您