El cumplimiento de Amazon HIPAA requiere que los clientes se ejecuten en hardware dedicado ( enlace ).
Pienso que el aislamiento del sistema operativo y el cifrado de los datos en reposo y los datos en tránsito serían suficientes.
¿Cuáles son los riesgos de compartir hardware con otras máquinas virtuales cliente? Estoy tratando de entender las razones detrás de su decisión para esta restricción.
No usar hardware dedicado puede provocar una fuga de información debido a cachés compartidos , hipervisores comprometidos (debido a varios canales laterales basados en el tiempo y otros problemas debido a mantener la estabilidad del rendimiento .
El cifrado de los datos en reposo y en tránsito no es suficiente, ya que varios de estos ataques han demostrado pruebas de conceptos que roban claves de los vecinos. En general, las regulaciones de cumplimiento tienden a errar por el lado de la precaución hasta que la tecnología está madura.
Aunque puede ser correcto con respecto a su evaluación de las garantías técnicas que describe como adecuadas (aunque confío en que los administradores de riesgos de AWS y otras respuestas demuestren algunas posibles inquietudes técnicas), es en gran medida irrelevante.
En virtud de HIPAA, debe cumplir los Acuerdos de Asociados Comerciales con cualquier proveedor de tecnología con el que comparta PHI o utilice sus plataformas para transmitir, almacenar o procesar PHI.
AWS solo firmará un BAA con una empresa si utiliza hardware dedicado, por lo que si desea cumplir con el mandato BAA de HIPAA y utiliza AWS, debe seguir sus directrices.