¿Son suficientes los grupos de seguridad de AWS para autenticar la comunicación entre instancias? (HIPAA)

Puedes tener múltiples claves API. Está en la oferta de servicios básicos. Puede auditar su uso y restringir mediante IP de origen y otros factores.

enlace

Puede ser que necesite usar el producto de identidad de AWS; enlace

Amazon ha publicado un informe técnico sobre las medidas de HIPAA y HITECH para AWS

enlace

Los estados de HIPAA: " la regla de privacidad requiere que una entidad cubierta resguarde razonablemente la PHI de cualquier uso o divulgación intencional o no intencional que infrinja los requisitos de HIPAA " Su principal objetivo es proteger los datos En tránsito, y los datos en reposo. El cifrado cubre la mayor parte de esto por usted, así que echemos un vistazo a su pregunta:

  

" Tengo un servicio privado que expone información confidencial (PHI)   a través de una API REST, y que quiero permitir el acceso desde solo una   otro servicio "

SERVICE (API) ---> connection ---> ONE OTHER SERVICE

RONDA 1: Sus primeras preocupaciones deben ser asegurar el REST API lo mejor que pueda ( una entidad cubierta para salvaguardar razonablemente la PHI de cualquier uso o divulgación intencional o no intencional ).

SERVICE (API) [ROUND 1] ---> connection ---> ONE OTHER SERVICE

Sus segundas preocupaciones serían minimizar, eliminar, cifrar (si es posible) la PHI durante el tránsito. No desea que nadie sea capaz de oler el cable y ver datos, o ser capaz de crear cualquier tipo de ataques de inferencia. Se pueden buscar normas / directrices criptográficas sobre HIPAA, por lo que literalmente te dicen qué es y qué no es aceptable.

SERVICE (API) [ROUND 1] ---> [encrypted/tunneled] connection [encrypted/tunneled] ---> ONE OTHER SERVICE

Por último, en la máquina de "otro servicio", se aplicarán las mismas reglas. Cifrado siempre que sea posible, acceso minimalista (necesidad de saber).