[번역] AWS_HIPAA_Compliance_Whitepaper

내맘대로 번역할 글.

원본 : https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
파일 첨부하였음.

AWS_HIPAA_Compliance_Whitepaper.pdf

1~6장까지는 법/의료와 관련된 내용이라서.
번역을 해도 무슨말인지 잘 모르겠어서, 그냥 넘어감
https://aws.amazon.com/ko/compliance/hipaa-compliance/
이 페이지의 내용과 대부분 유사함

* 6장 중간부터 번역 시작
* Architecting for HIPAA Security and Compliance on Amazon Web Services
* HIPAA 보안과 준수를 위한 아마존웹서비스 설계

- Amazon EC2
Amazon EC2 is a scalable, user-configurable compute service that supports multiple methods for encrypting data at rest. For example, customers might elect to perform application- or field-level encryption of PHI as it is processed within an application or database platform hosted in an Amazon EC2 instance. Approaches range from encrypting data using standard libraries in an application framework such as Java or .NET; leveraging Transparent Data Encryption features in Microsoft SQL or Oracle; or by integrating other third-party and software as a service (SaaS)-based solutions into their applications. Customers can choose to integrate their applications running in Amazon EC2 with AWS KMS SDKs, simplifying the process of key management and storage. Customers can also implement encryption of data at rest using file-level or full disk encryption (FDE) by utilizing third-party software from AWS Marketplace Partners or native file system encryption tools (such as dm-crypt, LUKS, etc.).
Amazon EC2는 확장가능하고, 저장되는 데이타를 암호화할수 있는 다양한 방법을 지원하고, 사용자가 설정할수도 있다.
예를들어, 사용자는 어플리케이션이나 Amazon EC2 인스턴스에서 제공하는 데이타베이스안에 있는 PHI의 어플리케이션 또는 필드레벨 암호화를 실행할수 있다.
자바나 .NET같은 어플리케이션 프레임워크안의 표준 라이브러리를 이용하는 데이타 암호화.
Microsoft SQL 또는 Oracle안의 데이타암호화 특징을 이용하는것.
다른 써드파티와 소프트웨어서비스 기반으로 어플리케이션에 통합하는것.
사용자는 AWS KMS SDKs와 Amazon EC2 안에서 실행되는 그들의 어플리케이션을 통합하는것을 선택할수 있다.
사용자는 AWS Marketplace Partners에서 써드파티 유틸리티를 이용하거나 파일시스템의 암호화툴을 이용해서
저장데이타를 필드레벨암호화 또는 전체디스크 암호화(FDE)를 구현할수 있다.

Network traffic containing PHI must encrypt data in transit. For traffic between external sources (such as the Internet or a traditional IT environment) and Amazon EC2, customers should use industry-standard transport encryption

mechanisms such as TLS or IPsec virtual private networks (VPNs), consistent with the Guidance. Internal to an Amazon Virtual Private Cloud (VPC) for data traveling between Amazon EC2 instances, network traffic containing PHI must also be encrypted; most applications support TLS or other protocols providing in- transit encryption that can be configured to be consistent with the Guidance. For applications and protocols that do not support encryption, sessions transmitting PHI can be sent through encrypted tunnels using IPsec or similar implementations between instances.

PHI를 포함하는 네트웍트래픽은 반드시 암호화되어야 한다.

Amazon EC2와 외부자원(인터넷 또는 IT환경)간의 트래픽에, 사용자는 산업표준전송암호화 메카니즘을 사용해야 한다 (TLS 또는 VPN)

Amazon EC2 인스턴스들간의 PHI를 포함한 데이타의 이동을 위한 내부 Amazon Virtual Private Cloud (VPC) 네트웍 트래픽도 암호화 되어야 한다.

대부분의 어플리케이션은 지침과 일치하는 설정가능한 암호화를 제공하는 TLS 또는 다른 프로토콜을 제공한다.

암호화를 제공하지 않는 어플리케이션이나 프로토콜을 위해, PHI전송 세션들은 IPsec 또는 비슷하게 구현된 암호화된 터널로 보내질수 있다.

Amazon EC2 instances that customers use to process, store, or transmit PHI are required to run on Dedicated Instances or Dedicated Hosts. These are instances that run in an Amazon VPC on hardware dedicated to a single customer. Dedicated Instances and/or Dedicated Hosts are physically isolated at the host hardware level from instances that are not Dedicated Instances/Dedicated Hosts and from instances that belong to other AWS accounts.
For more information on Dedicated Instances,
see http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/dedicated- instance.html.
For more information on Dedicated Hosts, see:
https://aws.amazon.com/ec2/dedicated-hosts/
PHI데이타를 처리하고, 저장하고, 전송하는 아마존인스턴스는 전용인스턴스 또는 전용호스트에서 실행되어야 한다.
이러한 인스턴스들은 단일사용자 전용의 하드웨어 위에 아마존VPC 에서 동작하는 인스턴스이다.
전용인스턴스/전용호스트는
다른 공용인스턴스/공용호스트들과,
다른 아마존계정에 속한 인스턴스들과 물리적으로 (고립)분리되어 있다
전용인스턴스에 대한 더많은 정보는 이걸봐라
전용호스트에 대한 더많은 정보는 이걸봐라

Customers can launch Amazon EC2 Dedicated Instances in several ways:
   * Set the tenancy attribute of an Amazon VPC to “dedicated” so that all instances launched into the Amazon VPC will run as Dedicated Instances
   * Set the placement tenancy attribute of an Auto-Scaling Launch Configuration for instances launched into an Amazon VPC
   * Set the tenancy attribute of an instance launched into an Amazon VPC
Customers can also use Dedicated Hosts for systems that process, store, or transmit PHI. For more information about Dedicated Hosts, see https://aws.amazon.com/ec2/dedicated-hosts/
고객은 Amazon EC2 전용인스턴스를 여러가지 방법으로 실행할수 있다.
   * 아마존VPC의 tenancy 속성을 "Dedicated"로 설정해서,
     아마존VPC에서 실행되는 모든 인스턴스들이 전용인스턴스로서 실행되도록 한다.
   * 아마존VPC에서 실행되는 인스턴스들의 Auto-Scaling 실행설정의 placement tenancy 속성을 설정하라.
   * 아마존VPC에서 실행되는 인스턴스의 tenancy attribute 속성을 설정해라
  (셋다 같은말 아님???)
PHI를 처리하고, 저장하고, 전송하는 시스템을 휘새 전용호스트를 사용할수도 있다.
전용호스트에 대한 더많은 정보는 여기를 봐라

Amazon Virtual Private Cloud offers a set of network security features well- aligned to architecting for HIPAA compliance. Features such as stateless network access control lists and dynamic reassignment of instances into stateful security groups afford flexibility in protecting the instances from unauthorized network access. Amazon VPC also allows customers to extend their own network address space into AWS, as well as providing a number of ways to connect their data centers to AWS. VPC Flow Logs provide an audit trail of accepted and rejected connections to instances processing, transmitting or storing PHI. For more information on Amazon VPC, see http://aws.amazon.com/vpc/.
아마존VPC는 HIPAA준수를 위한 잘정리는 네트웍보안 기능들을 제공한다.
비상태네트웍접근컨트롤목록과 stateful그룹안에 있는 인스턴스의 동적재할당은 권한없는 네트웍접근으로부터 인스턴스를 보호하는 유연성을 제공한다.
아마존VPC는 AWS안에서 고객이 자신의 네트웍주소공간을 확장할수 있도록 허용한다.
게다가 고객의 데이타센터를 AWS에 연결하는 여러방법을 제공한다.
VPC Flow Logs는 PHI를 다루는 인스턴스에 허용되거나 거절된 연결의 감사를 제공한다.
VPC에 대한 더많은 정보는 여기를 봐라.

- Amazon Elastic Block Store

Amazon EBS encryption at rest is consistent with the Guidance that is in effect at the time of publication of this whitepaper. Because the Guidance might be updated, customers should continue to evaluate and determine whether Amazon EBS encryption satisfies their compliance and regulatory requirements. With Amazon EBS encryption, a unique volume encryption key is generated for each EBS volume; customers have the flexibility to choose which master key from the AWS Key Management Service is used to encrypt each volume key. For more information, see http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html.

아마존EBS는 이 문서의 발행시점에서 유효한, 저장된데이타의 암호화는 지침과일치한다.

지침은 업데이트될수 있기때문에, 아마존EBS 암호화가 요구사항을 준수하고 만족하는지 고객은 계속 평가하고 결정해야 한다.

아마존EBS 각각의 EBS볼륨에 대해 유일한 암호화키를 생성할수 있다.

AWS Key Management Service로 부터 어떤 마스터키를 각 볼륨키를 암호화하는데 사용했는지 결정할 유연성이 있다.

더많은 정보는 여기를 봐라.

- Amazon Redshift

Amazon Redshift provides database encryption for its clusters to help protect data at rest. When customers enable encryption for a cluster, Amazon Redshift encrypts all data, including backups, by using hardware-accelerated Advanced Encryption Standard (AES)-256 symmetric keys. Amazon Redshift uses a four- tier, key-based architecture for encryption. These keys consist of data encryption keys, a database key, a cluster key, and a master key. The cluster key encrypts the database key for the Amazon Redshift cluster. Customers can use either AWS KMS or an AWS CloudHSM (Hardware Security Module) to manage the cluster key. Amazon Redshift encryption at rest is consistent with the Guidance that is in effect at the time of publication of this whitepaper. Because the Guidance might be updated, customers should continue to evaluate and determine whether Amazon Redshift encryption satisfies their compliance and regulatory requirements. For more information see http://docs.aws.amazon.com/redshift/latest/mgmt/working-with-db- encryption.html.

Connections to Amazon Redshift containing PHI must use transport encryption and customers should evaluate the configuration for consistency with the Guidance. For more information, see http://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl- support.html.

Amazon Redshift는 데이타베이스 암호화를 제공해서 저장된데이타를 보호하는데 도움을 준다.

사용자가 클러스트에 암호화를 활성화하면 Amazon Redshift는 모든 데이타를 암호화한다.

(백업도 포함해서 하드웨어가속 강화된암호표준(AES256 대칭키)를 이용해서)

Amazon Redshift는 4계층, 키기반 암호화 구조를 사용한다.

키들은 데이타암호화키들, 데이타베이스키, 클러스트키, 마스터키로 구성되어 있다.

클러스트키는 데이타베이스키를 암호화한다.

고객은 클러스트키를 관리하기 위해서 AWS KMS 또는 AWS CloudHSM 을 선택할수 있다.

Amazon Redshift는 이 문서의 발행시점에서 유효한, 저장된데이타의 암호화는 지침과일치한다.

지침은 업데이트될수 있기때문에, Amazon Redshift 암호화가 요구사항을 준수하고 만족하는지 고객은 계속 평가하고 결정해야 한다.

(아마존EBS 하고 같은 말인데...)

더많은 정보는 여기를 봐라.

PHI정보를 포함한 Amazon Redshift 연결은 반드시 전송암호화 해야 하고

고객은 검증할수 있다

- Amazon S3

Customers have several options for encryption of data at rest when using Amazon S3, including both server-side and client-side encryption and several methods of managing keys. For more information see http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html.

Connections to Amazon S3 containing PHI must use endpoints that accept encrypted transport (HTTPS). For a list of regional endpoints, see http://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region.

Customers should not use PHI in bucket names, object names, or metadata because this data is not encrypted using S3 server-side encryption and is not generally encrypted in client-side encryption architectures.

고객은 Amazon S3를 이용해서 저장된 데이타를 암호화하는데 여러가지 방법이 있다.

서버사이드, 클라이언트사이드 둘다 포함한 암호화, 키를 관리하는 여러가지 방법.

더많은 정보는 여기를 봐라.

PHI를 포함하는 Amazon S3에 대한 연결은 반드시 HTTPS를 사용해야 한다.

bucket명, object명, 메타데이타안에 PHI를 사용하지 말아야 한다.

이러한 데이타들은 서버측이나 클라이언트측에서 암호화되지 않기 때문이다.

- Amazon Glacier

Amazon Glacier automatically encrypts data at rest using AES 256-bit symmetric keys and supports secure transfer of customer data over secure protocols.

Connections to Amazon Glacier containing PHI must use endpoints that accept encrypted transport (HTTPS). For a list of regional endpoints, see http://docs.aws.amazon.com/general/latest/gr/rande.html#glacier_region.

Customers should not use PHI in archive and vault names or metadata because this data is not encrypted using Amazon Glacier server-side encryption and is not generally encrypted in client-side encryption architectures.

Amazon Glacier는 저장된 데이타를 자동으로 AES 256-bit 대칭키를 이용하여 암호화한다.

고객의정보를 보안프로토콜을 통해 보안전송을 제공한다.

PHI를 포함하는 Amazon Glacier에 대한 연결은 반드시 HTTPS를 사용해야 한다.

archive, vault명, 메타데이타안에 PHI를 사용하지 말아야 한다.

이러한 데이타들은 서버측이나 클라이언트측에서 암호화되지 않기 때문이다.

- Amazon RDS for MySQL
Amazon RDS for MySQL allows customers to encrypt MySQL databases using keys that customers manage through AWS KMS. On a database instance running with Amazon RDS encryption, data stored at rest in the underlying storage is encrypted consistent with the Guidance in effect at the time of publication of this whitepaper, as are automated backups, read replicas, and snapshots. Because the Guidance might be updated, customers should continue to evaluate and determine whether Amazon RDS for MySQL encryption satisfies their compliance and regulatory requirements. For more information on encryption at rest using Amazon RDS, see http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encrypti on.html.
Connections to RDS for MySQL containing PHI must use transport encryption. For more information on enabling encrypted connections, see http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SS L.html.
Amazon RDS for MySQL은 AWS KMS를 통해 고객이 관리하는 키를 이용하여 MySQL 데이타베이스를 암호화할수 있다.
Amazon RDS 암호화로 동작하는 데이타베이스 인스턴스에서 저장소에 저장되는 데이타는 암호화된다.
(자동화된 백업, 복제읽기, 스냅샷도)
지침은 업데이트될수 있기때문에, Amazon RDS for MySQL 암호화가 요구사항을 준수하고 만족하는지 고객은 계속 평가하고 결정해야 한다.
PHI를 포함하는 Amazon MySQL에 대한 연결은 반드시 HTTPS를 사용해야 한다.

- Amazon RDS for Oracle

Customers have several options for encrypting PHI at rest using Amazon RDS for Oracle.

Customers can encrypt Oracle databases using keys that customers manage through AWS KMS. On a database instance running with Amazon RDS encryption, data stored at rest in the underlying storage is encrypted consistent with the Guidance in effect at the time of publication of this whitepaper, as are automated backups, read replicas, and snapshots. Because the Guidance might be updated, customers should continue to evaluate and determine whether Amazon RDS for Oracle encryption satisfies their compliance and regulatory requirements. For more information on encryption at-rest using Amazon RDS, see http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encrypti on.html.

Customers can also leverage Oracle Transparent Data Encryption (TDE), and customers should evaluate the configuration for consistency with the Guidance. Oracle TDE is a feature of the Oracle Advanced Security option available in Oracle Enterprise Edition. This feature automatically encrypts data before it is written to storage and automatically decrypts data when the data is read from storage. Customers can also use AWS CloudHSM to store Amazon RDS Oracle TDE keys. For more information, see the following:

   * Amazon RDS for Oracle Transparent Data Encryption: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Or acle.Options.html#Appendix.Oracle.Options.AdvSecurity

   * Using AWS CloudHSM to store Amazon RDS Oracle TDE keys: http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Or acleCloudHSM.html

Connections to Amazon RDS for Oracle containing PHI must use transport encryption and evaluate the configuration for consistency with the Guidance. This is accomplished using Oracle Native Network Encryption and enabled in Amazon RDS for Oracle option groups. For detailed information, see http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Oracle.O ptions.html#Appendix.Oracle.Options.NetworkEncryption.

나는 오라클 안쓰니까 번역안함

- Elastic Load Balancing
Customers may use Elastic Load Balancing to terminate and process sessions containing PHI. Because all network traffic containing PHI must be encrypted in transit end-to-end, customers have the flexibility to implement two different architectures:
고객은 PHI를 포함하는 세션의 파기/처리에 Elastic Load Balancing를 사용할수 있다.
PHI를 포함하는 모든 네트웍트래픽은 반드시 시작부터 끝까지 암호화되어야 하기때문에,
고객은 구조를 2가지 다른방법으로 구현할수 있는 유연성을 가지고 있다.

Customers can terminate HTTPS or SSL/TLS on Elastic Load Balancing by creating a load balancer that uses an encrypted protocol for connections. This feature enables traffic encryption between the customer’s load balancer and the clients that initiate HTTPS or SSL/TLS sessions, and for connections between the load balancer and customer back-end instances. Sessions containing PHI must encrypt both front-end and back-end listeners for transport encryption. Customers should evaluate their certificates and session negotiation policies and maintain them consistent to the Guidance. For more information, see http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb- https-load-balancers.html.
고객이 연결에 암호화 프로토콜을 사용하는 로드발란서를 만들면 Elastic Load Balancing에서 HTTPS 또는 SSL/TLS를 종료할수 있다.
이 기능은 HTTPS 또는 SSL/TLS로 생성된 고객의 로드발란서와 클라이언트간 그리고 로드발란서와 고객의 백앤드인스턴스간의 암호화트래픽을 가능하게 한다
PHI를 포함하는 세션은 반드시 front-end 와 back-end 암호화통신을 위해 둘다 암호화 되어야 한다.
고객은 자신의 인증서와 세션협상정책을 평가해야 하고, 지침과일치하도록 관리해야 한다.

Alternatively, customers can configure Amazon ELB in basic TCP-mode and pass-through encrypted sessions to back-end instances where the encrypted session is terminated. In this architecture, customers manage their own certificates and TLS negotiation policies in applications running in their own instances. For more information, see
http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb- listener-config.html.
대안으로, 고객은 Amazon ELB를 기본 TCP모드로 설정하고, 암호화된 세션이 종료된 back-end인스턴스에 암호화된 세션을 보낼수 있다.
고객은 자신의 인증서를 관리하고, 고객의 instance에서 동작하는 어플리케이션의 TLS협상정책을 관리한다.

- Amazon EMR

Amazon EMR deploys and manages a cluster of Amazon EC2 instances into a customer’s account. All Amazon EC2 instances that process, store, or transmit PHI must be Dedicated Instances. In order to meet this requirement, EMR clusters must be created in a VPC with tenancy attribute of “dedicated.” This ensures that all cluster nodes (instances) launched into the VPC will run as Dedicated Instances.

Amazon EMR은 고객계정의 Amazon EC2의 클러스트를 관리하고 배포한다. PHI를 처리/저장/전송하는 모든 Amazon EC2 인스턴스들은 반드시 전용인스턴스 이어야 한다. 이 요구사항을 준수하려면, EMR 클러스터는 반드시 enancy속성이 "dedicated"(전용) 으로 설정된 VPC안에 만들어져야 한다.이것은 VPC에서 동작하는 모든 클러스트 노드(인스턴스)들은 전용인스턴스로서 동작하는것을 보장한다.

- Amazon DynamoDB

Connections to Amazon DynamoDB containing PHI must use endpoints that accept encrypted transport (HTTPS). For a list of regional endpoints, see http://docs.aws.amazon.com/general/latest/gr/rande.html#ddb_region .

PHI stored in Amazon DynamoDB must be encrypted at-rest consistent with the Guidance. Amazon DynamoDB customers can use the application development framework of their choice to encrypt PHI in applications before storing the data in Amazon DynamoDB. Alternatively, a client-side library for encrypting content is available from the AWS Labs GitHub repository. Customers may evaluate this implementation for consistency with the Guidance. For more information, see https://github.com/awslabs/aws-dynamodb-encryption-java. Careful consideration should be taken when selecting primary keys and when creating indexes such that unsecured PHI is not required for queries and scans in Amazon DynamoDB.

나는 nosql 안쓰니까 번역안함

- Using AWS KMS for Encryption of PHI

Master keys in AWS KMS can be used to encrypt/decrypt data encryption keys used to encrypt PHI in customer applications or in AWS services that are integrated with AWS KMS. AWS KMS can be used in conjunction with a HIPAA account, but PHI may only be processed, stored, or transmitted in HIPAA-eligible services. KMS does not need to be a HIPAA-eligible service so long as it is used to generate and manage keys for applications running in other HIPAA-eligible services. For example, an application processing PHI in Amazon EC2 could use the GenerateDataKey API call to generate data encryption keys for encrypting and decrypting PHI in the application. The data encryption keys would be protected by customer master keys stored in AWS KMS, creating a highly auditable key hierarchy as API calls to AWS KMS are logged in AWS CloudTrail.

AWS KMS안의 마스터키는 고객어플리케이션안의 PHI를 암호화하는데 사용되는 데이타암호화키를 암호화/복호화하는데 사용할수 있다.

...

- Auditing, Back-Ups, and Disaster Recovery

HIPAA’s Security Rule also requires in-depth auditing capabilities, data back-up procedures, and disaster recovery mechanisms. The services in AWS contain many features that help customers address these requirements.

HIPAA의 보안규칙은 감사기능, 데이타백업절차, 재난복구메커니즘을 철저히 요구한다. AWS안의 서비스들은 고객이 이런 요구사항들을 다루는 도움을 주는 많은 기능을 포함한다.

In designing an information system that is consistent with HIPAA and HITECH requirements, customers should putauditing capabilities in place to allow security analysts to examine detailed activity logs or reports to see who had access, IP address entry, what data was accessed, etc. This data should be tracked, logged, and stored in a central location for extended periods of time, in case of an audit. Using Amazon EC2, customers can run activity log files and audits down to the packet layer on their virtual servers, just as they do on traditional hardware. They also can track any IP traffic that reaches their virtual server instance. A customer’s administrators can back up the log files into Amazon S3 for long-term reliable storage.

HIPAA와 HITECH 요구사항에 일치하는 시스템을 구성하는데, 누가 접근을 했고, IP주소를 가졌고, 무엇이 데이타에 접근했는지 등의 자세한 레포트와 활동로그를 조사하는 보안분석을 허용하는곳에 회계감사기능을 넣어야 한다.회계감사인경우 이 데이타들은 추적되어야 하고, 기록되어야 하고, 장기간 중앙위치에 저장되어야 한다. Amazon EC2를 사용함으로써, 고객은 가상서버에서 패킷계층까지 활동로그파일과 감사를 실행할수 있다. 고객의 가상서버인스턴스에 도달하는 어떠한IP 트래픽도 추적할수 있다.고객의 관리자는 장시간신뢰할수 있는 저장을 위하여 로그파일을 Amazon S3안에 백업할수 있다.

Under HIPAA, covered entities must have a contingency plan to protect data in case of an emergency and must create and maintain retrievable exact copies of electronic PHI. To implement a data back-up plan on AWS, Amazon EBS offers persistent storage for Amazon EC2 virtual server instances. These volumes can be exposed as standard block devices, and they offer off-instance storage that persists independently from the life of an instance. To align with HIPAA guidelines, customers can create point-in-time snapshots of Amazon EBS volumes that automatically are stored in Amazon S3 and are replicated across multiple Availability Zones, which are distinct locations engineered to be insulated from failures in other Availability Zones. These snapshots can be accessed at any time and can protect data for long-term durability. Amazon S3 also provides a highly available solution for data storage and automated back- ups. By simply loading a file or image into Amazon S3, multiple redundant copies are automatically created and stored in separate data centers. These files can be accessed at any time, from anywhere (based on permissions), and are stored until intentionally deleted.

HIPAA에서, 보장되는단체는 반드시 비상사태에 데이타를 보호하는 비상계획을 가지고 있어야 하고, 복구할수있는 전자PHI의 정확한 복사본을 만들고 관리해야 한다. AWS에서 데이타백업계획을 구현하기위해 Amazon EC2 가상서버 인스턴스를 위한 지속적인 저장소인 Amazon EBS를 제안한다. 이 볼륨들은 표준블록장치로 알려져있고, 인스턴스의 생명으로부터 독립적이고 지속적인 off-instance storage(인스턴스와 분리된 저장소)를 제안한다. HIPAA가이드라인을 지키려면, 고객은 Amazon EBS볼륨의 특정한때 스냅샷을 만들수 있어야 하고, 자동으로 Amazon S3에 저장되어야 하고, 다양한 존에 중복으로 복제되어야 한다 (다른존의 장애로부터 안전한) 이 스냅샷들은 언제든지 접근가능하고, 장기간 데이타를 보호할수 있다. Amazon S3는 데이타저장과 자동백업을 위한 고가용 솔류션을 제공한다 단순히 Amazon S3에 파일이나 이미지를 로딩함으로써, 다수의 중복복사본이 자동으로 분리된 데이타센터들에 생성된다.이러한 파일들은 언제든지, 어디서든 접근할수 있고, 일부러 삭제할때까지 저장된다.

Disaster recovery, the process of protecting an organization’s data and IT infrastructure in times of disaster, is typicallyone of the more expensive HIPAA requirements to comply with. This involves maintaining highly available systems, keeping both the data and system replicated off-site, and enabling continuous access to both. AWS inherently offers avariety of disaster recovery mechanisms.

재해시에 조직의 데이타와 IT인프라를 보호하는 처리, 재난복수는 HIPAA요구사항을 준수하기 위한 비싼것중 하나이다. 이것은 고가용시스템 유지와 연관되어 있고, 분리된 지역에 데이타와 시스템을 복제해야 하고, 데이타와 시스템에 언제든지 접근할수 있어야 한다. AWS는 선천적으로 다양한 재난복구 메카니즘을 해줄수있다.

With Amazon EC2, administrators can start server instances very quickly andcan use an Elastic IP address (a static IP address for the cloud computing environment) for graceful failover from one machine to another. Amazon EC2 also offers Availability Zones. Administrators can launch Amazon EC2 instances in multiple Availability Zones to create geographically diverse, fault tolerant systems that are highly resilient in the event of network failures, natural disasters, and most other probable sources of downtime. Using Amazon S3, a customer’s data is replicated and automatically stored in separate data centers to provide reliable data storage designed to provide 99.99% availability. For more information on disaster recovery, see the AWS Disaster Recovery whitepaper available at http://aws.amazon.com/disaster-recovery/.

Amazon EC2로 관리자는 서버인스턴스를 매우 빠르게 시작시킬수 있고, Elastic IP address(클라우드환경에서 고정IP)를 사용해서 하나의 머신에서 다른머신으로 멋지게 시스템을 대체할수 있다. Amazon EC2 역시 사용가능한 존(지역)들을 제공한다. 관리자는 Amazon EC2 인스턴스를 지리적으로 다양한 여러 사용가능한 존에서 실행시킬수 있고, 네트웍 장애의 경우 매우 탄력적인 고장 허용 시스템 (??? 무슨말인지...), 자연재해, 시스템정지시간을 만들어낼수있는 가능성있는 원인의 대부분. Amazon S3를 이용해서, 고객의 데이타는 복제되고 자동으로 분리된 데이타센터에 저장되서, 99.99% 사용성을 제공하도록 만들어진 믿을수있는 데이타저장을 제공한다.

- 끝 -