系列導讀

目標讀者：需要在 Kubernetes（K8s）上處理 ePHI/PHI 的工程師、平台團隊與技術主管。 風格：以實務為先（先案例、再原理），附上可直接落地的 YAML/指令與檢核清單。本文不構成法律意見；請與資安/法遵顧問確認最終做法。

1) 情境開場（實務）

你要把醫療 Web/AI 系統搬到 K8s，後端會存放病歷影像（ePHI）、模型推論會產出帶個資的結果，前端讓醫師登入查詢。第一個問題不是「怎麼裝 k8s」，而是：資料分類、資料流向、風險與責任邊界。

• 資料分類：哪些命名空間（namespace）會處理 ePHI？哪些只做暫存/匿名資料？
• 資料流向：ePHI 如何進出叢集？Ingress／Egress 走哪裡？是否需要跨 VPC/VNet 的專線？
• 責任邊界：自管 k8s、雲端託管（EKS/AKS/GKE）、或院內 On‑prem？與雲商（或系統整合商）都要簽 BAA（Business Associate Agreement）。

2) HIPAA 與 K8s 的對齊地圖（先記住幾件事）

• HIPAA Security Rule 是「做什麼」的法規要求（行政/實體/技術三類保障），不指定技術。K8s 只是實作載具。
• 實作上常用 NIST SP 800‑66r2 當「將 HIPAA 要求拆解成可執行控制」的指南；容器/K8s 安全可參考 NIST SP 800‑190、NSA/CISA Kubernetes Hardening Guide、CIS Kubernetes Benchmark。
• 若需要第三方背書，可考慮 HITRUST CSF（可映射 HIPAA 規範、但 HIPAA ≠ HITRUST）。

3) 風險評估與威脅建模（你要產出什麼文件）

落地 HIPAA 的第一步是風險分析與管理計畫（Risk Analysis & Risk Management）：

• 清點資產（ePHI 儲存/處理/傳輸點）、界定威脅（外部攻擊、供應鏈、內部濫用、誤曝）、評估可能性與影響，定義風險處置（降低/移轉/接受/避免）。
• 針對 K8s 的威脅，至少涵蓋：
  • 控制面：API Server 存取、RBAC 濫權、Admission 漏洞、審計紀錄缺失。
  • 資料面：etcd / Volume 的加密、金鑰管理、備份外洩、節點磁碟遺失。
  • 網路面：無 NetworkPolicy、橫向移動、Service Mesh 設錯（mTLS 未啟）。
  • 執行面：容器特權、HostPath/Capabilities、映像簽章與供應鏈。
  • 多租戶：命名空間隔離不足、資源配額、日誌/監控資料外洩。

建議輸出：

• 資料流程圖（DFD）：標註 ePHI 接觸點與信任邊界。
• 控制矩陣：HIPAA 條文 ↔ NIST 800‑66 活動 ↔ K8s 控制（RBAC、PSA、NetPol、Audit、KMS、Vault…）。
• 例外與替代措施文件：對於 HIPAA 中「Addressable」項目，記錄為何等價替代、如何達成、如何持續監控。

4) 設計原則（K8s 層面的 10 條守則）

1. Zero‑trust by default：Private Cluster、控制面與節點走私網、明確 Ingress/Egress 控制。
2. 網段分區/分層：管理面、工作負載、資料存取用節點池與子網分離，東西向強制 mTLS。
3. 命名空間即邊界：每個敏感系統獨立 NS，強制 PSA=restricted、Default‑Deny NetworkPolicy。
4. 最小權限 RBAC：人與機器身分分離（User vs ServiceAccount），禁用 wildcard 與 cluster‑admin。
5. 加密到位：etcd、持久卷（PV）、備份、傳輸（TLS 1.2+）皆加密，金鑰托管於 KMS/Vault，模組建議 FIPS 驗證。
6. 供應鏈可信：私有 Registry、掃描（SAST/Dependencies/OSV）、映像簽章與驗簽（Cosign），釘版本與 SBOM。
7. Admission 作為護城河：以 Gatekeeper/Kyverno 落實組態政策，擋 Privileged/HostPath、強制資源/探針/標籤。
8. 可觀測且可追溯：K8s Audit Log、雲端/自建 SIEM、WAF/IDS/Runtime（Falco），關聯追蹤與告警。
9. 備援與演練：備份（含金鑰）、離線還原演練、RPO/RTO 目標、跨區/雙活設計。
10. 證據導向：一切設定皆有「可收斂的證據」：原始 YAML、Git 記錄、掃描報告、異動單與稽核軌跡。

5) 加密與「安全港」（Safe Harbor）概念

• HIPAA 資料外洩通報規則對**「已妥善加密或銷毀」**的資料有安全港（不視為需通報的「未受保護 PHI」）。
• 實務上：靜態/傳輸都要加密，且金鑰與資料分離保存；TLS 依 NIST 800‑52，靜態加密可對照 800‑111，媒體銷毀對照 800‑88。

6) 相關連結（Part 1）

• HIPAA Security Rule（官方總覽）：https://www.hhs.gov/hipaa/for-professionals/security/index.html
• HHS Security Rule 指引入口（含 800‑52/77/88/111 等）：https://www.hhs.gov/hipaa/for-professionals/security/guidance/index.html
• NIST SP 800‑66r2《Implementing the HIPAA Security Rule》：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.pdf
• HHS：Cloud Computing 與 HIPAA 指引（BAA 與責任）：https://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html
• HHS：PHI 去識別化指引（Safe Harbor / Expert Determination）：https://www.hhs.gov/hipaa/for-professionals/privacy/special-topics/de-identification/index.html
• HHS：Breach Notification & Encryption Safe Harbor 指引：https://www.hhs.gov/hipaa/for-professionals/breach-notification/guidance/index.html
• NSA/CISA《Kubernetes Hardening Guide》：https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF
• NIST SP 800‑190《Application Container Security Guide》：https://csrc.nist.gov/publications/detail/sp/800-190/final
• CIS Kubernetes Benchmark（總覽）：https://www.cisecurity.org/benchmark/kubernetes
• HITRUST CSF（概念與 HIPAA 關係）：https://hitrustalliance.net/hitrust-framework