Amazon RDS para SQL Server - Arquitetando para Segurança HIPAA e Conformidade no Amazon Web Services
Criptografia em repousoCriptografia de transporteAuditoria

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon RDS para SQL Server

O RDS para SQL Server oferece suporte ao armazenamento de PHI para as seguintes combinações de versão e edição:

  • 2008 R2 - Somente edição empresarial

  • 2012, 2014 e 2016 - Edições Web, Standard e Enterprise

Importante: a edição SQL Server Express não é suportada e nunca deve ser usada para o armazenamento de PHI.

Para armazenar PHI, os clientes devem garantir que a instância esteja configurada para criptografar dados em repouso e habilitar a criptografia e a auditoria de transporte, conforme detalhado abaixo.

Criptografia em repouso

Os clientes podem criptografar bancos de dados do SQL Server usando chaves que eles gerenciam AWS KMS. Em uma instância de banco de dados executada com a criptografia do Amazon RDS, os dados armazenados em repouso no armazenamento subjacente são criptografados de acordo com a orientação em vigor no momento da publicação deste whitepaper, assim como backups e snapshots automatizados. Como a orientação pode ser atualizada, os clientes devem continuar avaliando e determinando se a criptografia do Amazon RDS for SQL Server satisfaz seus requisitos regulatórios e de conformidade. Para obter mais informações sobre criptografia em repouso usando o Amazon RDS, consulte Criptografando recursos do Amazon RDS.

Se os clientes usarem o SQL Server Enterprise Edition, eles poderão usar o Server Transparent Data Encryption (TDE) como alternativa. Esse recurso criptografa os dados automaticamente antes de gravá-los no armazenamento e os descriptografa automaticamente quando os são lidos. Para obter mais informações sobre o RDS for SQL Server Transparent Data Encryption, consulte Support for Transparent Data Encryption in SQL Server.

Criptografia de transporte

As conexões com o Amazon RDS for SQL Server contendo PHI devem usar a criptografia de transporte fornecida pelo SQL Server Forced SSL. O SSL forçado é habilitado de dentro do grupo de parâmetros do Amazon RDS SQL Server. Para obter mais informações sobre RDS para SSL forçado do SQL Server, consulte Usando SSL com uma instância de banco de dados Microsoft SQL Server.

Auditoria

As instâncias do RDS para SQL Server que contêm PHI devem ter a auditoria habilitada. A auditoria é habilitada de dentro do grupo de parâmetros do Amazon RDS SQL Server. Para obter mais informações sobre a auditoria do RDS para SQL Server, consulte Compliance Program Support for Microsoft SQL Server DB Instances.