Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. info
Apigee Edge ile HIPAA Uyumluluğu
Müşterilerimizin verilerini güvende tutmak ve verilerine her zaman ulaşabilmelerini sağlamak en önemli önceliklerimizden biridir. Google, sektörün güvenlik standartlarına uygunluğunu belgelemek için ISO 27001 sertifikası, SOC 2 ve SOC 3 Tür II denetimleri gibi güvenlik sertifikalarına başvurmuş ve bunları almıştır. Apigee Edge, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'nın (HIPAA) şartlarına tabi olan müşteriler için HIPAA uygunluğunu da destekleyebilir.
HIPAA kapsamında, bir kişinin sağlığı veya sağlık hizmetleri hakkındaki belirli bilgiler Korunan Sağlık Bilgileri (PHI) olarak sınıflandırılır. HIPAA'ya tabi olan ve Apigee Edge'i PHI ile birlikte kullanmak isteyen Apigee Edge müşterilerinin Google ile bir Ticari Ortaklık Sözleşmesi (BAA) imzalaması gerekir.
HIPAA şartlarına tabi olunup olunmadığının ve Google hizmetlerinin PHI ile bağlantılı olarak kullanılıp kullanılmayacağının veya bunun amaçlanıp amaçlanmadığının belirlenmesi konusundaki sorumluluk Apigee Edge müşterilerine aittir. Google ile bir BAA imzalamayan müşteriler, Google hizmetlerini PHI ile bağlantılı olarak kullanmamalıdır.
Yöneticiler, Google hizmetlerini PHI ile birlikte kullanmadan önce BAA'yı inceleyip kabul etmelidir.
Müşterilerin PHI ile çalışırken Google hizmetlerindeki verilerin nasıl organize edileceği konusunda yardımcı olması amacıyla bu konuda Apigee HIPAA Yapılandırma Kılavuzumuzu yayınladık. Bu kılavuz, Apigee Edge'de HIPAA uygulaması ve uygunluğundan sorumlu kuruluş çalışanları için hazırlanmıştır.
Edge Public Cloud için HIPAA Yapılandırma Kılavuzu
Bu kılavuz yalnızca bilgilendirme amaçlıdır. Apigee'nin bu kılavuzda sunduğu bilgiler veya öneriler, yasal tavsiye niteliği taşımaz. Her müşteri, yasal uygunluk yükümlülüklerini desteklemek için hizmetlerin kendi özel kullanımını bağımsız olarak değerlendirmekten sorumludur.
Aşağıdaki öğeler, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'na (Health Information Technology for Economic and Clinical Health (HITECH) Yasası tarafından değiştirilen haliyle HIPAA olarak da bilinir) tabi olan ve HIPAA uyumluluk paketini satın almış müşteriler tarafından incelenmelidir. Bu öğeler Edge'de self servistir ve müşteri kuruluşunun (org) HIPAA uygunluk yükümlülüklerini karşılamasına yardımcı olabilir. "Google platformun güvenliğini sağlar, müşteri ise verilerinin güvenliğini sağlar."
| HIPAA Şartları | Bölümler |
|---|---|
| HIPAA uygunluğu: Güvenlik - Erişim Denetimi | Kullanım/Yetkilendirmeler |
| HIPAA uygunluğu: Güvenlik Yönetimi Süreci - Bilgi Sistemi Etkinliği İncelemesi | Denetim takibi |
| HIPAA uygunluğu: Güvenlik Şifre Yönetimi | Karmaşık şifre koşulları veya SAML |
| HIPAA uygunluğu: Güvenlik - Güvenlik Yönetimi Süreci | Uç nokta taraması |
| HIPAA uygunluğu: Güvenlik - İletim | TLS yapılandırması |
İzleme / Hata ayıklama
İzleme/Hata Ayıklama, kullanıcının Apigee Mesaj İşlemcisi üzerinden işlenirken bir API çağrısının durumunu ve içeriğini görüntülemesine olanak tanıyan bir sorun giderme aracıdır. İzleme ve hata ayıklama, aynı hizmet için kullanılan ancak farklı mekanizmalar aracılığıyla erişilen iki addır. Trace, Edge kullanıcı arayüzündeki bu hizmetin adıdır. Hata ayıklama, API çağrıları üzerinden kullanıldığında aynı hizmetin adıdır. Bu dokümanda izleme terimi hem izleme hem de hata ayıklama için geçerlidir.
Müşteri tarafından etkinleştirilip yapılandırılmışsa izleme oturumu sırasında "Veri Maskeleme" uygulanır. Bu araç, izleme sırasında verilerin gösterilmesini engelleyebilir. Aşağıdaki Veri Maskeleme bölümüne bakın.
Şifrelenmiş Anahtar/Değer Haritaları (KVM'ler), HIPAA uygunluğu gerektiren müşteriler için kullanılır. Şifrelenmiş bir KVM kullanılırken izleme özelliği yine kullanılabilir ancak bazı değişkenler izleme ekranında görünmez. Bu değişkenleri izleme sırasında da görüntülemek için ek adımlar atabilirsiniz.
Trace'in kullanımıyla ilgili ayrıntılı talimatları Trace aracını kullanma başlıklı makalede bulabilirsiniz.
Şifrelenmiş KVM'ler dahil olmak üzere KVM'lerle ilgili ayrıntıları Anahtar/değer eşlemeleriyle çalışma başlıklı makalede bulabilirsiniz.
Kullanım/Yetkilendirmeler
İzlemeye erişim, Edge'deki kullanıcı hesapları için RBAC (Rol Tabanlı Erişim Denetimi) sistemi aracılığıyla yönetilir (HIPAA uygunluğu: Güvenlik - Erişim Denetimi). İzleme ayrıcalıkları vermek ve iptal etmek için RBAC sistemini kullanmayla ilgili ayrıntılı talimatlar Rolleri atama ve Kullanıcı arayüzünde özel roller oluşturma başlıklı makalelerde verilmiştir. İzleme izinleri, kullanıcının izleme başlatmasına, izlemeyi durdurmasına ve izleme oturumundan çıkışa erişmesine olanak tanır.
Trace, API çağrılarının yüküne ("Mesaj Gövdesi" olarak da bilinir) erişebildiğinden, Trace çalıştırma erişiminin kimde olduğunu dikkate almak önemlidir. Kullanıcı yönetimi müşterinin sorumluluğunda olduğundan, izleme izinlerinin verilmesi de müşterinin sorumluluğundadır. Platform sahibi olarak Apigee, müşteri kuruluşuna kullanıcı ekleme ve ayrıcalıklar atama yetkisine sahiptir. Bu özellik yalnızca müşteri hizmetinin başarısız olduğu ve bir izleme oturumunun incelenmesinin temel neden hakkında en iyi bilgileri sağlayacağı düşünülen durumlarda, müşterinin destek istemesi üzerine kullanılır.
Veri Maskeleme
Veri maskeleme, yalnızca bir izleme/hata ayıklama oturumu sırasında hem izlemede (Edge kullanıcı arayüzü) hem de hata ayıklamada (Edge API) arka uçta hassas verilerin görüntülenmesini engeller. Maskelemeyi ayarlamayla ilgili ayrıntıları Verileri maskeleme ve gizleme başlıklı makalede bulabilirsiniz.
Veri maskeleme, verilerin günlük dosyalarında, önbellekte, analizlerde vb. görünmesini ÖNLEMEZ. Günlüklerde veri maskelemeyle ilgili yardım için logback.xml dosyasına normal ifade kalıbı ekleyebilirsiniz. Hassas veriler, genellikle güçlü bir işletme gerekçesi ve güvenlik ile hukuk ekiplerinizin incelemesi olmadan önbelleğe veya analizlere yazılmamalıdır.
L1 ve L2 önbelleği
L1 önbelleği kullanıldığında L2 önbelleği de otomatik olarak kullanılır. L1 önbelleği "yalnızca bellek" iken L2 önbelleği, birden fazla L1 önbelleği arasında senkronizasyon yapmak için verileri diske yazar. L2 önbelleği, birden fazla Mesaj İşleyen'in bir bölgede ve dünya genelinde senkronize kalmasını sağlar. L2 önbelleği olmadan L1 önbelleğini etkinleştirmek şu anda mümkün değildir. L2 önbelleği, müşteri kuruluşunun diğer ileti işleyicileriyle senkronize edilebilmesi için verileri diske yazar. Önbelleği kullanmayla ilgili ayrıntılı talimatlar Önbelleğe alma ve kalıcılık ekleme başlıklı makalede verilmiştir.
Denetim takibi
Müşteriler, izlemenin kullanımı (HIPAA uygunluğu: Güvenlik Yönetimi Süreci - Bilgi Sistemi Etkinliği İncelemesi) dahil olmak üzere müşterinin kuruluşunda gerçekleştirilen tüm idari etkinliklerin denetim izini inceleyebilir. Ayrıntılı talimatları burada ve İzleme aracını kullanma başlıklı makalede bulabilirsiniz.
Karmaşık şifre koşulları veya SAML
HIPAA müşterileri için kullanıcı şifreleri uzunluk, karmaşıklık ve kullanım süresi gibi ileri düzey gereksinimleri karşılayacak şekilde yapılandırılır. (HIPAA uygunluğu: Güvenlik Şifre Yönetimi)
Edge, kimlik doğrulama kontrollerine alternatif olarak Apigee hesabınız için iki faktörlü kimlik doğrulamayı etkinleştirme bölümünde açıklanan çok faktörlü kimlik doğrulamayı ve Edge için SAML kimlik doğrulamasını etkinleştirme bölümünde açıklanan SAML'i de sunar.
Uç Nokta Güvenliği
Uç nokta taraması
Edge Cloud müşterileri, Edge'deki API uç noktalarının (bazen "çalışma zamanı bileşenleri" olarak da adlandırılır) taranmasından ve test edilmesinden sorumludur ( HIPAA uygunluğu: Güvenlik - Güvenlik Yönetimi Süreci). Müşteri testi, API trafiğinin işlenmeden önce Edge'e gönderildiği ve ardından müşteri veri merkezine dağıtıldığı Edge'de barındırılan gerçek API proxy hizmetlerini kapsamalıdır. Yönetim portalı kullanıcı arayüzü gibi paylaşılan kaynakların test edilmesi tek tek müşteriler için onaylanmaz (paylaşılan hizmetlerin testini kapsayan bir üçüncü taraf raporu, gizlilik sözleşmesi kapsamında ve istek üzerine müşterilere sunulur).
Müşterilerin API uç noktalarını test etmesi gerekir ve bu işlem teşvik edilir. Apigee ile yaptığınız sözleşme, API uç noktalarınızın test edilmesini yasaklamaz ancak paylaşılan yönetim kullanıcı arayüzünü test etmemenizi ister. Daha fazla açıklamaya ihtiyaç duyarsanız lütfen planladığınız teste atıfta bulunan bir destek kaydı açın. Test trafiğinden haberdar olabilmemiz için Apigee'ye önceden bildirim göndermenizi rica ederiz.
Uç noktalarını test eden müşteriler, API'ye özgü sorunları ve Apigee hizmetleriyle ilgili sorunları kontrol etmeli, ayrıca TLS'yi ve diğer yapılandırılabilir öğeleri de kontrol etmelidir. Apigee hizmetleriyle ilgili olarak bulunan tüm öğeler, bir destek kaydı aracılığıyla Apigee'ye bildirilmelidir.
Uç noktayla ilgili öğelerin çoğu müşteri self servis öğeleridir ve Edge dokümanları incelenerek düzeltilebilir. Nasıl düzeltileceği anlaşılmayan öğeler varsa lütfen bir destek isteği gönderin.
TLS Yapılandırması
API proxy'leri için kendi TLS uç noktalarını tanımlamaktan ve yapılandırmaktan müşteriler sorumludur. Bu, Edge'deki self servis bir özelliktir. Şifreleme, protokol ve algoritma seçimleriyle ilgili müşteri gereksinimleri çok çeşitlidir ve her kullanım alanına özgüdür. Apigee, her müşterinin API tasarımı ve veri yüklerinin ayrıntılarını bilmediği için aktarımdaki veriler için uygun şifrelemeyi belirleme sorumluluğu müşterilere aittir ( HIPAA uyumluluğu: Güvenlik - Aktarım).
TLS yapılandırmasıyla ilgili ayrıntılı talimatlar TLS/SSL sayfasında mevcuttur.
Veri Depolama
Edge'in düzgün çalışması için Edge'de veri depolanması gerekmez. Ancak Edge'de veri depolama için kullanılabilen hizmetler vardır. Müşteriler, veri depolama için önbelleği veya analizleri kullanmayı seçebilir. Edge'deki veri depolama hizmetlerinin uyumlu olmayan bir şekilde yanlışlıkla veya kötüye kullanım amaçlı kullanılmasının önlenmesi için müşteri yöneticilerinin yapılandırma, politikalar ve dağıtımlarla ilgili incelemeler yapması önerilir.
Veri yükünün şifrelenmesi
Veri şifreleme araçları, Edge'de kullanılmak üzere müşterilere sunulmaz. Ancak müşteriler, verileri Edge'e göndermeden önce şifreleyebilir. Yükte (veya mesaj gövdesinde) şifrelenmiş veriler Edge'in çalışmasını engellemez. Müşteri tarafından şifrelenmiş olarak alınan verilerle bazı Edge politikaları etkileşime geçemeyebilir. Örneğin, Edge'in değiştirebileceği veriler yoksa dönüşüm yapılamaz. Ancak veri yükü şifrelenmiş olsa bile diğer politikalar ve müşteri tarafından oluşturulan politikalar ile paketler çalışır.
URI'lerdeki kimliği tanımlayabilecek bilgiler
Apigee'nin birleşik analiz platformu (UAP), bir API çağrısının tekil kaynak tanımlayıcısı (URI) içine dahil edilen tüm PHI'ler veya diğer hassas veriler de dahil olmak üzere analiz verilerini yakalar ve 13 ay boyunca saklar. URI'deki PHI, Hızlı Sağlık Hizmeti Birlikte Çalışabilirlik Kaynakları (FHIR) standartları tarafından desteklenir ve bu nedenle Apigee tarafından desteklenir. UAP'daki Analytics verileri varsayılan olarak kullanımda değilken şifrelenir.
Apigee şu anda aşağıdakileri desteklememektedir:
- UAP'de veri maskeleme
- Saklama döngüsünü değiştirme
- UAP'yi devre dışı bırakma
- URI'yi UAP veri toplama işleminden kaldırma