1) 監控與告警（以證據為王）

• 指標：API/控制面延遲、Admission 拒絕率、NetPol 命中、mTLS 失敗率、鏡像驗簽失敗、備份任務狀態。
• 日誌：K8s Audit、Ingress/WAF、Service Mesh、應用/DB、節點/系統、Vault/KMS 存取軌跡。
• 追蹤：OpenTelemetry Trace，對醫療工作流程（上傳→推論→查詢）打 Span，佐證處理鏈路「誰在什麼時候」接觸 ePHI。

2) 事件回應（IR）與通報（Breach）

• 建立 Runbook：辨識→隔離→根因→通報→修補→佐證。
• 明確「外洩定義」與安全港條件（加密/銷毀），並演練跨職能（IT/法遵/公關）聯動。

3) 備援與還原（DR）

• RPO/RTO 量化；跨區備援；資料庫與檔案儲存分層還原腳本；每季演練並產出還原證據（時間線、影響、結論）。

4) 多租戶與邊界

• 內部多團隊可採「命名空間多租戶 + 嚴格政策」；面向多客戶/院所者，優先「多叢集或虛擬控制平面」。
• 任何共享資源（監控、日誌、Registry、金鑰管理）需有租戶分區與計費/追蹤能力。

5) 供應商與 BAA 管理

• 雲商、SaaS、CDN、郵件、存取代理等，只要接觸/處理 ePHI 都是 BA，務必簽 BAA。
• 週期性第三方風險評估（問卷 + 憑證 + 報告），納入整體風險登錄。

6) 文件化與培訓

• 政策（Policy）、程序（SOP）、標準（STD）、作業記錄（Record）要「對齊、成對」：每一條技術控制，都有 SOP 與稽核證據。
• 資安意識訓練（含社交工程演練、MFA 文化、螢幕鎖定、實體防護）。

7) 稽核清單（可做成 GitOps Pipeline 的自動檢核）

• RBAC Diff、PSA/NetPol 檢查、鏡像來源與簽章、資源/探針、敏感標籤（如 data-class=ephi）是否齊備、審計規則變更告警、備份成功率與還原演練紀錄、kube‑bench/Falco 報表、CI/CD 漏掃趨勢、SBOM 與已知漏洞追蹤。

8) 相關連結（Part 4）

• OpenTelemetry Collector（K8s）：https://opentelemetry.io/docs/platforms/kubernetes/collector/
• OpenTelemetry Collector 部署模式：https://opentelemetry.io/docs/collector/deployment/
• Falco（Runtime Security）：https://falco.org/docs/
• kube‑bench（CIS 檢查）：https://github.com/aquasecurity/kube-bench
• AWS EKS：Auditing & Logging 最佳實務：https://docs.aws.amazon.com/eks/latest/best-practices/auditing-and-logging.html
• Kubernetes 多租戶（官方）：https://kubernetes.io/docs/concepts/security/multi-tenancy/
• CNCF：多租戶文章（範式/實務）：https://www.cncf.io/blog/2022/11/09/multi-tenancy-in-kubernetes-implementation-and-optimization/
• HHS：Cloud Computing 與 HIPAA 指引（BAA）：https://www.hhs.gov/hipaa/for-professionals/special-topics/cloud-computing/index.html

9) 小結

合規不是狀態，而是持續證明。K8s 讓自動化成真，把控制、觀測、證據與演練放進你的日常。

綜合總結

本系列以實務導向，系統性梳理了在 Kubernetes 上落實 HIPAA 合規的全流程：從威脅建模、參考架構、技術控制、政策制定，到營運證據與持續稽核。重點包括：

• 共同責任與風險管理：明確資料分類、流向與責任邊界，建立風險分析與管理計畫。
• 安全架構設計：落實網段分區、嚴格 mTLS、KMS 金鑰管理、備份與還原演練，並以最小權限原則設計 RBAC。
• 技術與政策控制：結合 PSA、NetworkPolicy、Admission Policy、鏡像簽章驗證與審計，強化供應鏈與執行環境安全。
• 營運與證據導向：監控、告警、事件回應、備援、多租戶隔離、第三方管理與文件化，確保每一項控制皆有可收斂的證據。
• 自動化與持續改進：善用 GitOps、CI/CD、基線檢查與自動化稽核，將合規融入日常開發與營運流程。

Kubernetes 提供了高度自動化與彈性的基礎，但合規是持續的過程，需要技術、流程與文化三者並進。唯有將安全與證據內建於平台與團隊日常，才能真正實現 HIPAA「可證明」的合規目標。