[レポート]AWS上のヘルスケア関連法令遵守のためのアーキテクチャ #reinvent #HLC301-i

サーバーレス開発部の阿部です。

セッション"Architecting for Healthcare Compliance on AWS"を聞いてきたのでレポートします。

Description

In this session, learn how to architect for AWS for healthcare compliance. Join Pat Combes, AWS Healthcare Technical Lead, and hear the latest on AWS HIPAA-Eligible Services, European General Data Protection Regulation (GDPR), and ISO 13485. Learn about some general patterns and common architectures that you can use to decouple protected data from processing and orchestration. Understand how to track where data flows though automation, and learn how to have logical boundaries between protected and general workflows

概要

ヘルスケア関連の事業には様々な法令遵守のための取り組みが求められます。AWSではそれらの法令に対してサービスからサポートします。 汎用的なパターンと共通するアーキテクチャについてと、最新の法令に対するサポートに関するセッションです。

メモ

  • PHI(Protected Health Information)
  • BAAの要件
    • 監査とトレースのためにPHI PIIのアクティビティを記録する
    • 必要になるまでデータが暗号化されている
    • 通信中はデータが暗号化されている
  • AWSのshared responsibility model
    • AWS -> Security of the cloud
    • Customer -> Security in the cloud
  • 法令によって定められたSecurity rule
  • アクティビティの追跡
    • CloudTrail
    • AWS Config
    • CloudWatch
    • GuardDuty
    • VPC flow logs
  • ネットワークの共通する課題
    • Elasticityかstatic IPか
    • レガシーな構成要素(ファイヤーウォール,DNS,アプリケーション,セキュリティ)
    • アンチパターンとその解消

アーキテクチャの実例

追跡のための基本的なアーキテクチャ

3層アーキテクチャ

チャットボット

サーバーレスなWebアプリケーション

ネットワークの課題

その他スライド写真

まとめ

全体的にHIPAA適合のサービスはあるので、それを使って素直にクラウドネイティブなアーキテクチャを作ることを推奨されていました。 アクティビティのトレース要件などからLambdaやサーバーレスは避けているのかな、と想像していたので、正直なところサーバーレスの実例が結構あったのには驚きました。

それにしても、まさか30分も巻くとは思いませんでした。おかげで昼食とブログにじっくりと時間が取れました。

セッション資料&動画(追記:2018/12/1 05:22)