Doporučení konfigurace Microsoft Entra pro ovládací prvky HITRUST
Pokyny v tomto článku vám pomůžou procházet podrobnosti a poskytují doporučení služeb a funkcí v Microsoft Entra ID pro podporu souladu s ovládacími prvky HITRUST. Tyto informace vám pomůžou pochopit rámec HITRUST (Health Information Trust Alliance) a podporovat vaši odpovědnost za zajištění toho, aby vaše organizace dodržovala zákon o přenositelnosti a odpovědnosti za zdravotní pojištění z roku 1996 (HIPAA). Posouzení zahrnují spolupráci s certifikovanými hodnotitely HITRUST, kteří jsou o této platformě znalostí a vyžadují, aby vám pomohly procesem projít a porozumět požadavkům.
Zkratky
Následující tabulka uvádí zkratky a jejich pravopis v tomto článku.
| Zkratka | Pravopis |
|---|---|
| CE | Pokrytá entita |
| CSF | Společná architektura zabezpečení |
| HIPAA | Zákon o přenositelnosti a odpovědnosti za zdravotní pojištění z roku 1996 |
| HSR | Pravidlo zabezpečení HIPAA |
| HITRUST | Health Information Trust Alliance |
| IAM | Správa identit a přístupu |
| Federační | Zprostředkovatel identity |
| ISO | Mezinárodní organizace pro standardizaci |
| ISMS | Systém správy zabezpečení informací |
| JEA | Stačí dostatek přístupu. |
| JML | Připojení, přesunutí, opuštění |
| MFA | Vícefaktorové ověřování Microsoft Entra |
| NIST | National Institute of Standards and Technology, US Dept. of Commerce |
| PHI | Chráněné informace o stavu |
| PIM | Privileged Identity Management |
| Jednotné přihlašování | Jednotné přihlášení |
| KLEPNĚTE | Dočasný přístup |
Health Information Trust Alliance
Organizace HITRUST vytvořila společnou architekturu zabezpečení (CSF) pro standardizaci a zjednodušení požadavků na zabezpečení a ochranu osobních údajů pro organizace ve zdravotnictví. SPOLEČNOST HITRUST CSF byla založena v roce 2007, aby řešila komplexní regulační prostředí, výzvy zabezpečení a obavy týkající se ochrany osobních údajů, kterým organizace čelí při zpracování osobních údajů a chráněných údajů o zdraví (PHI). CSF se skládá ze 14 kontrolních kategorií zahrnujících 49 kontrolních cílů a 156 specifik kontrol. Byla postavena na hlavních principech mezinárodní organizace pro standardizaci (ISO) 27001 a ISO 27002.
Nástroj HITRUST MyCSF je k dispozici na Azure Marketplace. Slouží ke správě rizik zabezpečení informací, zásad správného řízení dat, dodržování předpisů ochrany informací, dodržování národních a mezinárodních standardů a osvědčených postupů.
Poznámka:
ISO 27001 je standard správy, který určuje požadavky na systém správy zabezpečení informací (ISMS). ISO 27002 je sada osvědčených postupů pro výběr a implementaci bezpečnostních prvků v rámci ISO 27001.
Pravidlo zabezpečení HIPAA
Bezpečnostní pravidlo HIPAA (HSR) stanoví standardy pro ochranu elektronických osobních údajů jednotlivce vytvořených, přijatých, používaných nebo udržovaných pokrytou entitou (CE), což je zdravotní plán, vymazání zdravotní péče nebo poskytovatel zdravotní péče. Ministerstvo zdravotnictví a lidských služeb (HHS) USA spravuje HSR. HHS vyžaduje administrativní, fyzické a technické záruky k zajištění důvěrnosti, integrity a zabezpečení elektronické phI.
HITRUST a HIPAA
HITRUST vyvinul CSF, který zahrnuje standardy zabezpečení a ochrany osobních údajů pro podporu zdravotnických předpisů. Kontroly CSF a osvědčené postupy zjednodušují úlohu konsolidace zdrojů, aby se zajistilo dodržování federálních právních předpisů, zabezpečení HIPAA a pravidel ochrany osobních údajů. HISTRUST CSF je certifikovatelný rámec zabezpečení a ochrany osobních údajů s kontrolními prvky a požadavky, které demonstrují dodržování předpisů HIPAA. Zdravotnické organizace široce přijaly rámec. Informace o ovládacích prvcích najdete v následující tabulce.
| Kategorie ovládacího prvku | Název kategorie ovládacího prvku |
|---|---|
| 0 | Program správy zabezpečení informací |
| 0 | Řízení přístupu |
| 2 | Zabezpečení lidských zdrojů |
| 3 | Řízení rizik |
| 4 | Zásady zabezpečení |
| 5 | Organizace zabezpečení informací |
| 6 | Dodržování předpisů |
| 7 | Správa aktiv |
| 8 | Fyzické zabezpečení a zabezpečení životního prostředí |
| 9 | Správa komunikace a provozu |
| 10 | Získávání, vývoj a údržba informačních systémů |
| 11 | Správa incidentů zabezpečení informací |
| 12 | Správa kontinuity podnikových procesů |
| 13 | Postupy ochrany osobních údajů |
Další informace o platformě Microsoft Azure mají certifikaci HITRUST CSF, která zahrnuje správu identit a přístupu:
- Microsoft Entra ID, dříve označované jako Azure Active Directory
- Správa přístupových práv pomocí Microsoft Purview
- Vícefaktorové ověřování Microsoft Entra (MFA)
Kategorie a doporučení řízení přístupu
Následující tabulka obsahuje kategorii řízení přístupu pro správu identit a přístupu (IAM) a doporučení Microsoft Entra, která pomáhají splňovat požadavky na kategorii řízení. Podrobnosti jsou z HITRUST MyCSF v11, který odkazuje na pravidlo zabezpečení HIPAA přidané do odpovídajícího ovládacího prvku.
| HiTRUST – řízení, cíl a HSR | Doprovodné materiály a doporučení microsoftu Entra |
|---|---|
| CSF – ovládací prvek V11 01.b Registrace uživatele Kategorie ovládacího prvku Řízení přístupu – registrace uživatele a zrušení registrace Specifikace ovládacího prvku Organizace používá formální proces registrace uživatele a zrušení registrace k povolení přiřazení přístupových práv. Název cíle Autorizovaný přístup k informačním systémům Pravidlo zabezpečení HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID je platforma identit pro ověřování, ověřování a správu přihlašovacích údajů, když se identita přihlásí ke svému zařízení, aplikaci nebo serveru. Jedná se o cloudovou službu pro správu identit a přístupu s jednotným přihlašováním (SSO), MFA a podmíněným přístupem , která chrání před útoky na zabezpečení. Ověřování zajišťuje, že přístup k prostředkům a datům získají pouze autorizované identity. Pracovní postupy životního cyklu umožňují zásadám správného řízení identit automatizovat životní cyklus joineru, moveru, leaveru (JML). Proces pracovního postupu se centralizuje pomocí předdefinovaných šablon nebo vytváření vlastních pracovních postupů. Tento postup pomáhá snížit nebo potenciálně odebrat ruční úlohy pro požadavky na strategii JML organizace. Na webu Azure Portal přejděte do zásad správného řízení identit v nabídce Microsoft Entra ID a zkontrolujte nebo nakonfigurujte úkoly pro požadavky vaší organizace. Microsoft Entra Připojení integruje místní adresáře s ID Microsoft Entra a podporuje použití jednotlivých identit pro přístup k místním aplikacím a cloudovým službám, jako je Microsoft 365. Orchestruje synchronizaci mezi službou Active Directory (AD) a ID Microsoft Entra. Pokud chcete začít používat Microsoft Entra Připojení, projděte si požadavky. Poznamenejte si požadavky na server a postup přípravy tenanta Microsoft Entra pro správu. Microsoft Entra Připojení Sync je agent zřizování spravovaný v cloudu, který podporuje synchronizaci s ID Microsoft Entra z více doménových struktur odpojeného prostředí AD. Používejte odlehčené agenty s Microsoft Entra Připojení. Doporučujeme synchronizaci hodnot hash hesel, která pomáhají snížit počet hesel a chránit před detekcí nevracených přihlašovacích údajů. |
| CSF – ovládací prvek V11 01.c Privilege Management Kategorie ovládacího prvku Řízení přístupu – privilegované účty Specifikace ovládacího prvku Organizace zajišťuje registraci, sledování a pravidelné ověření autorizovaných uživatelských účtů, aby se zabránilo neoprávněnému přístupu k informačním systémům. Název cíle Autorizovaný přístup k informačním systémům Pravidlo zabezpečení HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) je služba v Microsoft Entra ID pro správu, řízení a monitorování přístupu k důležitým prostředkům v organizaci. Minimalizuje počet lidí, kteří mají přístup k zabezpečeným informacím, aby se zabránilo škodlivým aktérům v přístupu. PIM má přístup založený na čase a schválení, aby se zmírnit rizika nadměrného, zbytečného nebo zneužití přístupových oprávnění. Pomáhá identifikovat a analyzovat privilegované účty, abyste zajistili dostatečný přístup (JEA) pro uživatele, aby mohl provádět svou roli. Monitorování a generování výstrah brání podezřelým aktivitám, výpis uživatelů a rolí, které výstrahu aktivují, a zároveň snižuje riziko neoprávněného přístupu. Přizpůsobte si výstrahy pro strategii zabezpečení organizace. Kontroly přístupu umožňují organizacím efektivně spravovat přiřazení rolí a členství ve skupinách. Udržujte zabezpečení a dodržování předpisů vyhodnocením účtů, které mají přístup, a v případě potřeby zajistěte odvolání přístupu, čímž minimalizujete rizika z nadměrných nebo zastaralýchoprávněních |
| CSF – ovládací prvek V11 0.1d Správa hesel uživatelů Kategorie ovládacího prvku Řízení přístupu – postupy Specifikace ovládacího prvku Aby se zajistilo, že se autorizované uživatelské účty zaregistrují, sledují a pravidelně ověřují, aby se zabránilo neoprávněnému přístupu k informačním systémům. Název cíle Autorizovaný přístup k informačním systémům Pravidlo zabezpečení HIPAA §164.308(a)(5)(ii)(D) |
Správa hesel je důležitým aspektem infrastruktury zabezpečení. V souladu s osvědčenými postupy pro vytvoření robustního stavu zabezpečení pomáhá Microsoft Entra ID usnadnit komplexní podporu strategie: jednotné přihlašování a vícefaktorové ověřování také bez hesla, jako jsou klíče zabezpečení FIDO2 a Windows Hello pro firmy (WHfB), snižuje riziko uživatelů a zjednodušuje ověřování uživatelů. Microsoft Entra Password Protection detekuje a blokuje známá slabá hesla. Zahrnuje zásady hesel a nabízí flexibilitu při definování vlastního seznamu hesel a vytvoření strategie správy hesel pro ochranu hesel. Požadavky na délku a sílu hesla HITRUST odpovídají národnímu institutu NIST 800-63B ( National Institute of Standards and Technology NIST 800-63B), který zahrnuje minimálně osm znaků pro heslo nebo 15 znaků pro účty s největším privilegovaným přístupem. Míry složitosti zahrnují alespoň jedno číslo a/nebo speciální znak a alespoň jedno velké a malé písmeno pro privilegované účty. |
| CSF – ovládací prvek V11 01.p Zabezpečené postupy přihlašování Kategorie ovládacího prvku Řízení přístupu – zabezpečené přihlašování Specifikace ovládacího prvku Organizace řídí přístup k informačním prostředkům pomocí zabezpečeného přihlašovacího postupu. Název cíle Řízení přístupu k operačnímu systému Pravidlo zabezpečení HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
Zabezpečené přihlašování je proces bezpečného ověření identity při pokusu o přístup k systému. Ovládací prvek se zaměřuje na operační systém, služby Microsoft Entra pomáhají posílit zabezpečené přihlašování. Zásady podmíněného přístupu pomáhají organizacím omezit přístup ke schváleným aplikacím, prostředkům a zajistit zabezpečení zařízení. Microsoft Entra ID analyzuje signály ze zásad podmíněného přístupu z identity, umístění nebo zařízení, aby automatizovala rozhodnutí a vynucuje zásady organizace pro přístup k prostředkům a datům. Řízení přístupu na základě role (RBAC) pomáhá spravovat přístup a spravované prostředky ve vaší organizaci. RBAC pomáhá implementovat princip nejnižších oprávnění a zajistit uživatelům oprávnění, která potřebují k provádění svých úkolů. Tato akce minimalizuje riziko náhodné nebo úmyslné chybné konfigurace. Jak je uvedeno pro řízení 0.1d Správa hesel uživatelů, ověřování bez hesla používá biometrické údaje, protože je obtížné vytvořit, takže poskytuje bezpečnější ověřování. |
| CSF – ovládací prvek V11 01.q Identifikace a ověřování uživatelů Kategorie ovládacího prvku – Specifikace ovládacího prvku Všichni uživatelé mají jedinečný identifikátor (ID uživatele) pouze pro své osobní použití a technika ověřování se implementuje tak, aby dotáhla deklarovanou identitu uživatele. Název cíle – Pravidlo zabezpečení HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Vytváření, aktualizace a správa uživatelských účtů pomocí zřizování účtů v Microsoft Entra ID Každému uživateli a objektu je přiřazen jedinečný identifikátor (UID) označovaný jako ID objektu. UID je globálně jedinečný identifikátor automaticky vygenerovaný při vytvoření uživatele nebo objektu. Microsoft Entra ID podporuje automatizované zřizování uživatelů pro systémy a aplikace. Automatizované zřizování vytváří nové účty ve správných systémech, když se lidé připojí k týmu v organizaci. Automatizované zrušení zřízení deaktivuje účty, když lidé odejdou. |
| CSF – ovládací prvek V11 01.u Limitation of Připojení ion Time Kategorie ovládacího prvku Řízení přístupu – Zabezpečené přihlášení Specifikace ovládacího prvku Organizace řídí přístup k informačním prostředkům pomocí zabezpečeného přihlašovacího postupu. Název cíle Řízení přístupu k operačnímu systému Pravidlo zabezpečení HIPAA § 164.312(a)(2)(iii) |
Ovládací prvek se zaměřuje na operační systém, služby Microsoft Entra pomáhají posílit zabezpečené přihlašování. Zabezpečené přihlašování je proces bezpečného ověření identity při pokusu o přístup k systému. Microsoft Entra ověřuje uživatele a má funkce zabezpečení s informacemi o uživateli a prostředku. Informace zahrnují přístupový token, obnovovací token a token ID. Nakonfigurujte v souladu s požadavky vaší organizace na přístup k aplikacím. Tyto pokyny používejte převážně pro mobilní a desktopové klienty. Zásady podmíněného přístupu podporují nastavení konfigurace pro omezení webových prohlížečů ověřených relací. Microsoft Entra ID má integrace napříč operačními systémy, které poskytují lepší uživatelské prostředí a podporu metod ověřování bez hesel uvedené: Jednotné přihlašování platformy pro macOS rozšiřuje možnosti jednotného přihlašování pro macOS. Uživatelé se k Macu přihlašují pomocí přihlašovacích údajů bez hesla nebo správy hesel ověřených id Microsoft Entra. Prostředí bez hesla systému Windows podporuje ověřování bez hesel na zařízeních připojených k Microsoft Entra. Použití ověřování bez hesla snižuje ohrožení zabezpečení a rizika spojená s tradičním ověřováním založeným na heslech, jako jsou útoky phishing, opakované použití hesla a zachycení hesel protokolovacím nástrojem pro protokolování klíčů. Webové přihlašování pro Windows je zprostředkovatel přihlašovacích údajů, který rozšiřuje možnosti webového přihlašování ve Windows 11, který pokrývá Windows Hello pro firmy, dočasný přístup (TAP) a federované identity. Azure Virtual Desktop podporuje jednotné přihlašování a ověřování bez hesla. S jednotným přihlašováním můžete použít ověřování bez hesla a zprostředkovatele identity třetích stran, které se federují s Microsoft Entra ID pro přihlášení k prostředkům služby Azure Virtual Desktop. Má prostředí jednotného přihlašování při ověřování u hostitele relace. Konfiguruje relaci tak, aby poskytovala jednotné přihlašování k prostředkům Microsoft Entra v relaci. |
Další kroky
Konfigurace bezpečnostních opatření k řízení přístupu k microsoftu Entra HIPAA