אתם צופים במסמכי העזרה של Apigee Edge.
כניסה למסמכי העזרה של Apigee X. info
תאימות ל-HIPAA באמצעות Apigee Edge
אחד מהנושאים החשובים ביותר לנו הוא לוודא שהנתונים של הלקוחות שלנו בטוחים, מאובטחים וזמינים תמיד. כדי להוכיח את התאימות שלנו לתקני האבטחה בתחום, Google ביקשה אישורי אבטחה וקיבלתם, כמו אישור ISO 27001 וביקורות מסוג II של SOC 2 ו-SOC 3. לקוחות כפופים לדרישות של חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA), ו-Apigee Edge יכול לתמוך גם בתאימות ל-HIPAA.
בכפוף ל-HIPAA, מידע מסוים על בריאות האדם או על שירותי הבריאות שלו מסווג כמידע רפואי מוגן (PHI). לקוחות Apigee Edge שכפופים ל-HIPAA ורוצים להשתמש ב-Apigee Edge עם מידע רפואי מוגן (PHI) חייבים לחתום עם Google על הסכם שותפות עסקית (BAA).
לקוחות Apigee Edge אחראים לקבוע אם הם כפופים לדרישות של HIPAA, ואם הם משתמשים בשירותי Google או מתכוונים להשתמש בהם בהקשר של PHI. לקוחות שלא חתמו על הסכם BAA עם Google אסור להם להשתמש בשירותי Google בקשר ל-PHI.
אדמינים חייבים לבדוק ולאשר הסכם BAA לפני שהם משתמשים בשירותי Google עם PHI.
פרסמנו את מדריך ההגדרה של HIPAA בנושא הזה כדי לעזור ללקוחות להבין איך לארגן נתונים בשירותי Google כשהם מטפלים ב-PHI. המדריך הזה מיועד לעובדים בארגונים שאחראים על ההטמעה של HIPAA ועל התאימות ל-Apigee Edge.
מדריך להגדרת HIPAA ב-Edge Public Cloud
המדריך הזה מיועד למטרות מידע בלבד. המידע וההמלצות במדריך הזה לא מהווים ייעוץ משפטי. כל לקוח אחראי להעריך באופן עצמאי את השימוש הספציפי שלו בשירותים, בהתאם לצורך בתמיכה בהתחייבויותיו לצורכי תאימות משפטית.
לקוחות שרלוונטי להם חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA, כפי שתוקן, כולל על ידי חוק Health Information Technology for Economic and Clinical Health – HITECH) שרוכשו את חבילת התאימות ל-HIPAA, צריכים לבדוק את הפריטים הבאים. הפריטים האלה זמינים בשירות עצמי ב-Edge, והם יכולים לעזור לארגון הלקוח לעמוד בהתחייבויותיו לתקנות HIPAA. הרעיון הכללי הוא "Google מאבטחת את הפלטפורמה, הלקוח מאבטח את הנתונים שלו".
| דרישות HIPAA | קטעים |
|---|---|
| תאימות ל-HIPAA: אבטחה – בקרת גישה | שימוש/הרשאות |
| תאימות ל-HIPAA: תהליך ניהול האבטחה – בדיקת הפעילות במערכות מידע | נתיב ביקורת |
| תאימות ל-HIPAA: ניהול סיסמאות אבטחה | דרישות סיסמה מורכבות או SAML |
| תאימות ל-HIPAA: אבטחה – תהליך ניהול האבטחה | סריקה של נקודות קצה |
| תאימות ל-HIPAA: אבטחה – העברה | הגדרת TLS |
מעקב / ניפוי באגים
Trace/Debug הוא כלי לפתרון בעיות שמאפשר למשתמש לראות את הסטטוס והתוכן של קריאה ל-API בזמן שהיא עוברת עיבוד דרך Apigee Message Processor. Trace ו-Debug הם שני שמות לאותו שירות, אבל הגישה אליהם מתבצעת באמצעות מנגנונים שונים. Trace הוא השם של השירות הזה בממשק המשתמש של Edge. Debug הוא השם של אותו שירות כשמשתמשים בו דרך קריאות ל-API. במסמך הזה, המונח Trace מתייחס גם ל-Trace וגם ל-Debug.
במהלך סשן מעקב, המערכת אוכפת את 'הסתרת נתונים' אם הלקוח הפעיל אותה והגדיר אותה. הכלי הזה יכול לחסום את הצגת הנתונים במהלך מעקב. מידע נוסף זמין בקטע אנונימיזציה של נתונים שבהמשך.
מפות מפתחות מוצפנים (KVM) משמשות לקוחות שדורשים תאימות ל-HIPAA. כשמשתמשים ב-KVM מוצפן, עדיין אפשר להשתמש ב-Trace, אבל משתנים מסוימים לא יופיעו במסך התצוגה של Trace. אפשר לבצע שלבים נוספים כדי להציג את המשתנים האלה גם במהלך מעקב (Trace).
הוראות מפורטות לשימוש בכלי Trace זמינות במאמר שימוש בכלי Trace.
פרטים על מפות מפתח/ערך, כולל מפות מפתח/ערך מוצפנות, זמינים במאמר עבודה עם מפות מפתח/ערך.
שימוש/הרשאות
הגישה ל-Trace מנוהלת באמצעות מערכת RBAC (בקרת גישה מבוססת-תפקידים) לחשבונות משתמשים ב-Edge (תאימות ל-HIPAA: אבטחה – בקרת גישה). הוראות מפורטות לשימוש במערכת RBAC כדי להקצות ולבטל הרשאות Trace זמינות במאמרים הקצאת תפקידים ויצירת תפקידים בהתאמה אישית בממשק המשתמש. הרשאות המעקב מאפשרות למשתמש להפעיל מעקב, להפסיק מעקב ולגשת לפלט מסשן מעקב.
ל-Trace יש גישה לעומס התעבורה של קריאות ה-API (שנקרא באופן רשמי 'גוף ההודעה'), ולכן חשוב לשקול למי יש גישה להרצת Trace. ניהול המשתמשים הוא באחריות הלקוח, ולכן גם הענקת ההרשאות למעקב אחר ביצועים היא באחריות הלקוח. ל-Apigee, בתור הבעלים של הפלטפורמה, יש אפשרות להוסיף משתמש לארגון של לקוח ולהקצות לו הרשאות. אנחנו משתמשים ביכולת הזו רק במקרים שבהם הלקוח מבקש תמיכה, נראה ששירות הלקוחות נכשל ואנחנו סבורים שבדיקה של סשן מעקב תספק את המידע הטוב ביותר לגבי שורש הבעיה.
אנונימיזציה של נתונים
התממת נתונים מונעת את הצגת המידע הרגיש במהלך סשן Trace/Debug בלבד, גם ב-Trace (ממשק המשתמש של Edge) וגם בקצה העורפי באמצעות Debug (Edge API). פרטים על הגדרת התממת מידע זמינים במאמר התממת מידע והסתרת נתונים.
אנו ממליצים להוסיף דפוס של ביטוי רגולרי לקובץ logback.xml כדי לעזור לכם לבצע אנונימיזציה של נתונים ביומני המערכת, במטמון, בניתוח נתונים וכו'. בדרך כלל, אסור לכתוב נתונים רגישים במטמון או בניתוח נתונים ללא הצדקה עסקית חזקה ובלי בדיקה של צוותי האבטחה והמשפט.
מטמון L1 ו-L2
שימוש במטמון L1 יגרום לשימוש אוטומטי גם במטמון L2. מטמון L1 הוא 'זיכרון בלבד', ואילו מטמון L2 כותב נתונים בדיסק כדי לסנכרן בין כמה מטמון L1. מטמון L2 הוא זה שמאפשר לסנכרן כמה מעבדי הודעות בתוך אזור וברחבי העולם. בשלב זה אי אפשר להפעיל מטמון L1 בלי מטמון L2 מאחוריו. המטמון ברמה 2 כותב נתונים לדיסק כדי שניתן יהיה לסנכרן אותם עם מעבדי הודעות אחרים בארגון של הלקוח. הוראות מפורטות לשימוש במטמון זמינות במאמר הוספת מטמון וקיבולת אחסון.
נתיב ביקורת
ללקוחות יש אפשרות לבדוק את נתיב הביקורת של כל הפעילויות הניהוליות שבוצעו בארגון של הלקוח, כולל השימוש ב-Trace (תאימות ל-HIPAA: תהליך ניהול האבטחה – בדיקת הפעילות של מערכות המידע). הוראות מפורטות זמינות כאן ובמאמר שימוש בכלי המעקב.
דרישות מורכבות לסיסמה או SAML
אצל לקוחות HIPAA, סיסמאות המשתמשים מוגדרות כך שיתקיימו בהן דרישות מתקדמות כמו אורך, מורכבות ומשך חיים. (תאימות ל-HIPAA: ניהול סיסמאות אבטחה)
ב-Edge יש גם אימות רב-שלבי, שמתואר במאמר הפעלת אימות דו-שלבי בחשבון Apigee, ו-SAML, שמתואר במאמר הפעלת אימות SAML ב-Edge, כחלופות לאמצעי בקרה לאימות.
אבטחת נקודות קצה
סריקת נקודות קצה
לקוחות Edge Cloud אחראים על הסריקה והבדיקה של נקודות הקצה של ה-API (שנקראות לפעמים 'רכיבי זמן הריצה') ב-Edge ( תאימות ל-HIPAA: אבטחה – תהליך ניהול האבטחה). בדיקות הלקוח צריכות לכלול את שירותי שרת ה-proxy של ה-API שמתארחים ב-Edge, שבהם תעבורת ה-API נשלחת ל-Edge לפני העיבוד ולאחר מכן נשלחת למרכז הנתונים של הלקוח. בדיקה של משאבים משותפים, כמו ממשק המשתמש של פורטל הניהול, לא מאושרת ללקוחות ספציפיים (דוח של צד שלישי שכולל בדיקה של השירותים המשותפים זמין ללקוחות בכפוף להסכם אי-גילוי סודות ועל פי בקשה).
מומלץ ללקוחות לבדוק את נקודות הקצה של ה-API שלהם. ההסכם שלכם עם Apigee לא אוסר על בדיקה של נקודות הקצה של ה-API, אבל כן מחייב שלא לבדוק את ממשק המשתמש המשותף לניהול. עם זאת, אם דרושה הבהרה נוספת, אפשר לפתוח כרטיס תמיכה עם התייחסות לבדיקה המתוכננת. מומלץ להודיע מראש ל-Apigee כדי שנוכל לדעת על תעבורת הנתונים לצורך הבדיקה.
לקוחות שבודקים את נקודות הקצה שלהם צריכים לחפש בעיות ספציפיות ל-API, בעיות שקשורות לשירותי Apigee וגם לבדוק את TLS ופריטים אחרים שניתנים להגדרה. יש לדווח ל-Apigee על כל פריט שנמצא שקשור לשירותי Apigee באמצעות כרטיס תמיכה.
רוב הפריטים שקשורים לנקודת הקצה הם פריטים בשירות עצמי של הלקוח, ואפשר לתקן אותם על ידי עיון במסמכי העזרה של Edge. אם יש פריטים שלא ברור איך לתקן אותם, תוכלו לפתוח בקשת תמיכה.
תצורת TLS
הלקוחות אחראים להגדיר ולקבוע את נקודות הקצה של ה-TLS שלהם לשרתי proxy ל-API. זוהי תכונה בשירות עצמי ב-Edge. הדרישות של הלקוחות לגבי בחירת הצפנה, פרוטוקול ואלגוריתם משתנות מאוד ותלויות בתרחישי שימוש ספציפיים. מאחר ש-Apigee לא מכירה את הפרטים של תכנון ה-API ועומס הנתונים של כל לקוח, הלקוחות אחראים לקבוע את ההצפנה המתאימה לנתונים במעבר ( תאימות ל-HIPAA: אבטחה – העברה).
הוראות מפורטות להגדרת TLS זמינות במאמר TLS/SSL.
אחסון נתונים
אחסון נתונים ב-Edge לא נדרש כדי ש-Edge יפעל כראוי. עם זאת, יש שירותים זמינים לאחסון נתונים ב-Edge. הלקוחות יכולים לבחור להשתמש במטמון או בניתוח נתונים לאחסון נתונים. מומלץ לאדמינים של הלקוחות לבדוק את ההגדרות, המדיניות והפריסות כדי למנוע שימוש לא תקין בשירותי אחסון הנתונים ב-Edge באופן מקרי או זדוני.
הצפנת נתונים של עומס העבודה
אנחנו לא מציעים ללקוחות כלים להצפנת נתונים לשימוש ב-Edge. עם זאת, הלקוחות יכולים להצפין את הנתונים לפני השליחה אל Edge. נתונים מוצפנים בעומס העבודה (או בגוף ההודעה) לא מונעים את הפעולה של Edge. יכול להיות שחלק מהמדיניות של Edge לא תהיה מסוגלת לבצע אינטראקציה עם הנתונים אם הם מתקבלים מוצפנים על ידי הלקוח. לדוגמה, אי אפשר לבצע טרנספורמציה אם הנתונים עצמם לא זמינים ל-Edge כדי לשנות אותם. עם זאת, כללי מדיניות אחרים, חבילות וכללי מדיניות שנוצרו על ידי הלקוח יפעלו גם אם עומס הנתונים מוצפן.
פרטים אישיים מזהים במזהי URI
פלטפורמת הניתוח המאוחדת (UAP) של Apigee מתעדת נתוני ניתוח, כולל מידע אישי רגיש (PHI) או מידע רגיש אחר שכלול במזהה המשאב האחיד (URI) של קריאה ל-API ב-Apigee Edge, ושומרת אותם למשך 13 חודשים. פרטי PHI ב-URI נתמכים בתקני Fast Healthcare Interoperability Resources (FHIR), ולכן הם נתמכים ב-Apigee. נתוני Analytics ב-UAP מוצפנים במנוחה כברירת מחדל.
בשלב הזה, ב-Apigee אין תמיכה באפשרויות הבאות:
- הסוואת נתונים ל-UAP
- שינוי מחזור השמירה
- ביטול ההסכמה ל-UAP
- הסרת ה-URI מאיסוף הנתונים של UAP