drjseifu3003/hipaa-stack

# HIPAA Stack (AWS) **一个生产就绪、合规优先的基础设施库，专为安全的数字医疗系统打造。** `hipaa-stack` 提供了模块化、安全加固的基础设施即代码 蓝图，专门设计用于满足 Amazon Web Services (AWS) 上的 HIPAA / HITECH 技术安全防护要求。它专为在临床、数字医疗和医疗 AI 领域进行构建的创始人和工程团队而设计。 ## 架构蓝图 此库中的模块协同工作，为临床工作负载创建了一个安全的、多层的环境： ``` graph TD classDef main fill:#f8f9facc,stroke:#343a40,stroke-width:2px,color:#212529; classDef shield fill:#e0f2fecc,stroke:#0284c7,stroke-width:2px,color:#0369a1; classDef key fill:#fef9c3cc,stroke:#ca8a04,stroke-width:2px,color:#854d0e; Internet((Internet)) --> ALB["Application Load Balancer"]:::shield ALB --> WAF["AWS WAF v2 Shield"]:::shield subgraph VPC ["AWS VPC Security Envelope"] WAF --> AppCompute["ECS Fargate Tasks (Private Subnet)"]:::main VPN["AWS Client VPN"]:::shield --> AppCompute AppCompute --> PrivateLink["VPC PrivateLink Endpoint"]:::shield PrivateLink --> KMS["AWS KMS CMK (Key Rotation)"]:::key PrivateLink --> RDS["RDS PostgreSQL (Multi-AZ)"]:::key PrivateLink --> S3["S3 PHI Storage"]:::key end ``` ## 加固的 AWS 服务蓝图 | 模块化服务 | 合规性覆盖范围 | 已配置的安全功能 | | :--- | :--- | :--- | | 🛡️ **[services/vpc](./services/vpc)** | 网络隔离 | 私有子网、VPC Flow Logs 和 Interface Endpoints | | 🔑 **[services/kms](./services/kms)** | 加密控制 | 客户管理密钥 (CMK) 且强制执行年度轮换 | | 🗄️ **[services/s3](./services/s3)** | 不可变存储 | SSE-KMS、版本控制、仅限 TLS 策略、访问日志记录 | | 🗃️ **[services/rds](./services/rds)** | 安全数据库 | 加密的多可用区 PostgreSQL、IAM 身份验证 | | 🩺 **[services/healthlake](./services/healthlake)** | 标准化交换 | 原生 FHIR R4 临床数据存储，带 KMS 加密 | | 🚀 **[services/fargate](./services/fargate)** | 隔离计算 | ECS Fargate 集群、私有子网、CloudWatch 日志记录 | | 🛡️ **[services/vpn](./services/vpn)** | 安全入口 | Client VPN endpoint、TLS 证书、日志记录 | | 🎛️ **[services/waf](./services/waf)** | 漏洞防御 | AWS WAFv2 ACL，带有 SQLi 和 XSS 防护规则 | | 📜 **[services/cloudtrail](./services/cloudtrail)** | 全面审计 | 管理和 S3 数据面事件日志记录、验证 | | 📈 **[services/cloudwatch](./services/cloudwatch)** | 加密日志 | KMS 加密的 Log Groups、365 天保留策略 | | 🔏 **[services/secretsmanager](./services/secretsmanager)** | 机密隔离 | KMS 加密的凭证、自动轮换 | | 🚨 **[services/guardduty](./services/guardduty)** | 威胁情报 | 持续的智能扫描和警报处理 | | 💾 **[services/backup](./services/backup)** | 灾难恢复 | 集中式备份计划、S3/RDS 备份保管库 | ## 使用示例 ``` # 1. 启用 cryptographic CMK module "compliance_kms" { source = "github.com/drjseifu3003/hipaa-stack//services/kms" name_prefix = "care-prod" environment = "production" description = "Primary key for clinic data encryption" key_alias = "phi-encryption-key" } # 2. 构建 secure network boundaries module "compliance_vpc" { source = "github.com/drjseifu3003/hipaa-stack//services/vpc" name_prefix = "care-prod" environment = "production" } # 3. 为患者报告配置 encrypted object storage module "compliance_storage" { source = "github.com/drjseifu3003/hipaa-stack//services/s3" bucket_name = "clinical-patient-records-prod" environment = "production" kms_key_arn = module.compliance_kms.kms_key_arn } ``` ## 开发者集成与指南 要在开发过程中自动化这些合规性检查，请集成我们的开发者技能配置： * **[docs/compliance-mapping.md](./docs/compliance-mapping.md)** — 解释了 HIPAA 引用到每个 Terraform 模块的直接映射。 * **[skill/SKILL.md](./skill/SKILL.md)** — 配置 Cursor 或 Claude Desktop，以根据 HIPAA 规则自动验证 AWS 配置。 ## 许可证 本仓库根据 MIT 许可证授权。详情请参阅 [LICENSE](LICENSE)。

标签：AWS Terraform, HIPAA, SecOps, 云安全架构, 人工智能安全, 医疗信息系统, 合规性, 漏洞探索