Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi
Apigee Edge ile HIPAA Uyumluluğu
Müşterilerimizin verilerini güvende tutmak ve verilerine her zaman ulaşabilmelerini sağlamak en önemli önceliklerimizden biridir. Google, sektörün güvenlik standartlarına uygunluğunu belgelemek için ISO 27001 sertifikası, SOC 2 ve SOC 3 Tür II denetimleri gibi güvenlik sertifikalarına başvurmuş ve bunları almıştır. Apigee Edge, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'nın (HIPAA) şartlarına tabi olan müşteriler için HIPAA uyumluluğunu da destekleyebilir.
HIPAA kapsamında, bir kişinin sağlığı veya sağlık hizmetleri hakkında belirli bilgiler Korunan Sağlık Bilgileri (PHI) olarak sınıflandırılır. HIPAA'ya tabi olan ve Apigee Edge'i PHI ile birlikte kullanmak isteyen Apigee Edge müşterilerinin Google ile bir Ticari Ortaklık Sözleşmesi (BAA) imzalaması gerekir.
HIPAA gereksinimlerine tabi olunup olunmadığının ve Google hizmetlerinin PHI ile bağlantılı olarak kullanılıp kullanılmayacağının veya bunun amaçlanıp amaçlanmadığının belirlenmesi konusundaki sorumluluk Apigee Edge müşterilerine aittir. Google ile bir BAA imzalamayan müşteriler, Google hizmetlerini PHI ile bağlantılı olarak kullanmamalıdır.
Yöneticiler, Google hizmetlerini PHI ile birlikte kullanmadan önce bir BAA'yı inceleyip kabul etmelidir.
Müşterilerin, PHI ile çalışırken Google hizmetlerindeki verilerin nasıl organize edileceğini anlamalarına yardımcı olmak için Apigee HIPAA Yapılandırma Kılavuzu'nu bu konuda yayınladık. Bu kılavuz, HIPAA uygulaması ve Apigee Edge'e uygunluktan sorumlu olan kuruluşlardaki çalışanlar için hazırlanmıştır.
Edge Herkese Açık Bulut İçin HIPAA Yapılandırma Kılavuzu
Bu kılavuz yalnızca bilgilendirme amaçlıdır. Apigee, bu kılavuzdaki bilgilerin veya önerilerin yasal tavsiye niteliği taşımaz. Her müşteri, yasal uygunluk yükümlülüklerini desteklemek için hizmetleri kendi özel kullanımını uygun şekilde bağımsız olarak değerlendirmekten sorumludur.
Aşağıdaki öğeler, HIPAA uygunluk paketini satın almış olan ve Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası'na (Health Information Technology for Economic and Clinical Health - HITECH Yasası tarafından değiştirilmiş şekliyle HIPAA olarak bilinir) tabi müşteriler tarafından incelenmelidir. Bu öğeler Edge'de self servistir ve müşteri kuruluşunun (kuruluş) HIPAA uygunluk yükümlülüklerini yerine getirmesine yardımcı olabilir. Temel kavram, "Platformun güvenliğini Google, müşteri verilerinin güvenliğini sağlar" ifadesidir.
| HIPAA Şartları | Bölümler |
|---|---|
| HIPAA uygunluğu: Güvenlik - Erişim Denetimi | Kullanım/Yetkilendirmeler |
| HIPAA uygunluğu: Güvenlik Yönetimi Süreci - Bilgi Sistemi Etkinlik İncelemesi | Denetim takibi |
| HIPAA uygunluğu: Güvenlik Şifresi Yönetimi | Karmaşık Şifre gereksinimleri veya SAML |
| HIPAA uygunluğu: Güvenlik - Güvenlik Yönetimi Süreci | Uç nokta taraması |
| HIPAA uygunluğu: Güvenlik - İletim | TLS yapılandırması |
İzleme / Hata Ayıklama
İzleme/Hata Ayıklama, kullanıcının Apigee Mesaj İşleyicisi aracılığıyla işlenen bir API çağrısının durumunu ve içeriğini görüntülemesine olanak tanıyan bir sorun giderme aracıdır. İzleme ve Hata Ayıklama, aynı hizmetin iki adıdır ancak bunlara farklı mekanizmalar üzerinden erişilebilir. Trace, Edge kullanıcı arayüzünün içindeki bu hizmetin adıdır. Hata ayıklama, API çağrıları aracılığıyla kullanıldığında aynı hizmetin adıdır. Bu belgede Trace teriminin kullanımı hem İzleme hem de Hata Ayıklama için geçerlidir.
İzleme oturumu sırasında, müşteri tarafından etkinleştirilir ve yapılandırılırsa "Veri Maskeleme" zorunlu kılınır. Bu araç, verilerin bir Trace sırasında görüntülenmesini engelleyebilir. Aşağıdaki Veri Maskeleme bölümüne bakın.
Şifrelenmiş Anahtar/Değer Haritaları (KVM'ler), HIPAA uygunluğunu gerektiren müşteriler için kullanılır. Şifrelenmiş bir KVM kullanılırken Trace kullanılabilir ancak bazı değişkenler Trace ekran ekranında görünmez. Trace sırasında bu değişkenleri görüntülemek için ek adımlar da uygulanabilir.
Trace'in kullanımıyla ilgili ayrıntılı talimatları İzleme aracını kullanma başlıklı makalede bulabilirsiniz.
Şifrelenmiş KVM'ler dahil olmak üzere KVM'lerle ilgili ayrıntılara Anahtar/değer eşlemeleriyle çalışma başlıklı makaleden ulaşabilirsiniz.
Kullanım/Yetkilendirmeler
Trace'e erişim, Edge'deki kullanıcı hesapları için RBAC (Rol Tabanlı Erişim Denetimi) sistemi (HIPAA uyumluluğu: Güvenlik - Erişim Denetimi) üzerinden yönetilir. İzleme ayrıcalıkları vermek ve bu ayrıcalıkları iptal etmek için RBAC sistemini kullanmayla ilgili ayrıntılı talimatları Rol atama ve Kullanıcı arayüzünde özel roller oluşturma başlıklı makalelerde bulabilirsiniz. İzleme izinleri, kullanıcının İzleme başlatmasına, İzlemeyi durdurmasına ve İzleme oturumundaki çıkışa erişmesine olanak tanır.
Trace, API çağrılarının yüküne (eski adıyla "İleti Gövdesi" olarak anılır) erişebildiğinden Trace'i çalıştırmak için kimlerin erişiminin olduğunu göz önünde bulundurmak önemlidir. Kullanıcı yönetimi bir müşteri sorumluluğu olduğundan Trace izinlerinin verilmesi de müşterinin sorumluluğundadır. Platform sahibi olarak Apigee, müşteri kuruluşuna kullanıcı ekleme ve ayrıcalık atama yetkisine sahiptir. Bu özellik yalnızca müşteri hizmetlerinin başarısız olduğu ve Trace oturumunun incelenmesinin temel neden hakkında en iyi bilgileri sağladığına inanılan durumlarda müşterinin destek isteğinde bulunması durumunda kullanılır.
Veri Maskeleme
Veri maskeleme, hem Trace (Edge kullanıcı arayüzü) hem de Debug (Edge API) tarafından arka uçta gerçekleşen hassas verilerin yalnızca İzleme/Hata Ayıklama oturumu sırasında görüntülenmesini önler. Maskelemenin nasıl ayarlanacağıyla ilgili ayrıntıları Veri maskeleme ve gizleme bölümünde bulabilirsiniz.
Veri maskeleme, verilerin günlük dosyalarında, önbellekte, analizlerde vb. görünmesini ENGELLEMEZ. Günlüklerde veri maskeleme konusunda yardım almak için logback.xml dosyasına bir normal ifade kalıbı ekleyebilirsiniz. Hassas veriler, genellikle güçlü bir iş gerekçesi olmadan ve güvenlik ve hukuk ekipleriniz tarafından incelenmeden önbelleğe veya analize yazılmamalıdır.
L1 ve L2 önbellek
L1 önbelleği kullanımı, otomatik olarak L2 önbelleği de kullanır. L1 önbellek "yalnızca bellek"tir. L2 önbellek ise birden fazla L1 önbelleğinde senkronize etmek için verileri diske yazar. L2 önbelleği, birden fazla Mesaj İşleyiciyi bir bölge içinde ve küresel olarak senkronize durumda tutar. Arkasında bir L2 önbelleği olmadan L1 önbelleğini etkinleştirmek şu anda mümkün değildir. L2 önbelleği, verileri diske yazar. Böylece bu veriler, müşteri kuruluşunun diğer mesaj işlemcileriyle senkronize edilebilir. Önbelleğin kullanımıyla ilgili ayrıntılı talimatları Önbelleğe alma ve kalıcılık ekleme sayfasında bulabilirsiniz.
Denetim takibi
Müşteriler, Trace kullanımı da dahil olmak üzere, müşterinin kuruluşunda gerçekleştirilen tüm idari etkinliklerin (HIPAA uyumluluğu: Güvenlik Yönetim Süreci - Bilgi Sistemi Etkinlik İncelemesi) Denetim takibini inceleyebilir. Ayrıntılı talimatlara buradan ve İzleme aracını kullanma bölümünden ulaşabilirsiniz.
Karmaşık şifre gereksinimleri veya SAML
HIPAA müşterileri için kullanıcı şifreleri; uzunluk, karmaşıklık ve kullanım ömrü gibi ileri düzey gereksinimleri karşılayacak şekilde yapılandırılır. (HIPAA uygunluğu: Güvenlik Şifresi Yönetimi)
Edge, kimlik doğrulama kontrollerine alternatif olarak Apigee hesabınız için iki faktörlü kimlik doğrulamayı etkinleştirme ve Edge için SAML Kimlik Doğrulamasını Etkinleştirme başlıklı makalelerde açıklanan çok öğeli kimlik doğrulamasından da yararlanabilir.
Uç Nokta Güvenliği
Uç nokta taraması
Edge Cloud müşterileri, Edge'deki API uç noktalarının (bazen "çalışma zamanı bileşenleri" olarak da adlandırılır) taranması ve test edilmesinden ( HIPAA uyumluluğu: Güvenlik - Güvenlik Yönetimi Süreci) sorumludur. Müşteri testleri, Edge'de barındırılan ve API trafiğinin işlenmeden önce Edge'e gönderildiği ve ardından müşteri veri merkezine teslim edildiği gerçek API proxy hizmetlerini kapsamalıdır. Yönetim portalı kullanıcı arayüzü gibi paylaşılan kaynakların test edilmesi, bireysel müşteriler için onaylanmaz (Gizlilik sözleşmesi kapsamında ve talep üzerine müşterilere, paylaşılan hizmetlerin test edilmesini kapsayan bir 3. taraf raporu sunulur).
Müşteriler, API uç noktalarını test etmelidir ve bunu yapmaya teşvik edilir. Apigee ile yaptığınız sözleşme, API uç noktalarınızın test edilmesini yasaklamaz ancak paylaşılan yönetim kullanıcı arayüzünü test etmemenizi talep eder. Ek açıklama gerekirse lütfen planlanan testinizi referans gösteren bir destek kaydı açın. Test trafiğinden haberdar olabilmemiz için bu bilgileri Apigee'ye önceden bildirmeniz bizim için çok önemlidir.
Uç noktalarını test eden müşteriler; API'ye özgü sorunları ve Apigee hizmetleriyle ilgili sorunları araştırmalı, ayrıca TLS ve diğer yapılandırılabilir öğeleri de kontrol etmelidir. Apigee hizmetleriyle ilgili bulunan ve bulunan tüm öğeler bir destek bileti aracılığıyla Apigee'ye iletilmelidir.
Uç noktayla ilgili öğelerin çoğu müşteri self servis öğeleridir ve Edge belgelerini inceleyerek düzeltilebilir. Nasıl düzeltileceği net olmayan öğeler varsa lütfen destek isteği gönderin.
TLS Yapılandırması
Müşteriler, API proxy'leri için kendi TLS uç noktalarını tanımlamaktan ve yapılandırmaktan sorumludur. Bu, Edge'deki self servis bir özelliktir. Şifreleme, protokol ve algoritma seçimleriyle ilgili müşteri gereksinimleri büyük ölçüde değişkendir ve bireysel kullanım alanlarına özeldir. Apigee, her müşterinin API tasarımının ve veri yüklerinin ayrıntılarını bilmediğinden, geçiş hâlindeki veriler için uygun şifrelemeyi belirlemekten müşteriler sorumludur ( HIPAA uyumluluğu: Güvenlik - İletim).
TLS yapılandırmasıyla ilgili ayrıntılı talimatlara TLS/SSL adresinden ulaşabilirsiniz.
Veri Depolama
Edge'in düzgün çalışması için Edge'de verilerin depolanması gerekmez. Bununla birlikte, Edge'de veri depolama için kullanılabilecek hizmetler de vardır. Müşteriler, veri depolamak için önbelleği veya analizleri kullanmayı tercih edebilir. Edge'de veri depolama hizmetlerinin yanlışlıkla veya kötü amaçla uyumlu olmayan bir şekilde kullanılmasını önlemek için yapılandırma, politika ve dağıtımların müşteri yöneticileri tarafından incelenmesi önerilir.
Yükün veri şifrelemesi
Veri şifreleme araçları, Edge'de kullanılmak üzere müşterilere sunulmaz. Bununla birlikte müşteriler, verileri Edge'e göndermeden önce şifreleyebilir. Yükteki (veya mesaj gövdesindeki) şifrelenmiş veriler Edge'in çalışmasını engellemez. Bazı Edge politikaları, veriler müşteri tarafından şifrelenmişse verilerle etkileşime geçemeyebilir. Örneğin, Edge'in değiştirebileceği verinin kendisi için dönüştürme işlemi yapılamaz. Ancak diğer politikalar ve müşteri tarafından oluşturulan politikalar ile paketler, veri yükü şifrelenmiş olsa bile çalışır.
URI'larda kimliği tanımlayabilecek bilgiler (PII)
Apigee'nin birleşik analiz platformu (UAP), Apigee Edge'e yapılan bir API çağrısının tek tip kaynak tanımlayıcısında (URI) bulunan tüm PHI veya diğer hassas veriler dahil analiz verilerini yakalar ve bu verileri 13 ay boyunca saklar. URI'daki PHI, Fast Healthcare Birlikte Çalışabilirlik Kaynakları (FHIR) standartları tarafından desteklenir ve bu nedenle Apigee tarafından desteklenir. UAP'deki analiz verileri varsayılan olarak şifrelenir.
Apigee şu anda aşağıdakileri desteklememektedir:
- UAP'ye veri maskeleme
- Saklama döngüsünü değiştirme
- UAP kapsamı dışında kalmayı seçme
- URI'yı UAP veri toplama alanından çıkarma