Freigeben über

Azure Local und HIPAA

  • Artikel

Gilt für Azure Local 2311.2 und spätere Versionen

Dieser Artikel enthält Anleitungen dazu, wie Organisationen die HIPAA-Compliance für Lösungen, die mit Azure Local erstellt wurden, am effizientesten navigieren können.

Compliance im Gesundheitswesen

Das Health Insurance Portability and Accountability Act von 1996 (HIPAA) und Gesundheitsstandards wie Health Information Technology for Economic and Clinical Health (HITECH) und Health Information Trust Alliance (HITRUST) schützen die Vertraulichkeit, Integrität und Verfügbarkeit der geschützten Gesundheitsinformationen der Patienten (PHI). Diese Vorschriften und Standards stellen sicher, dass Gesundheitsorganisationen wie Ärztestellen, Krankenhäuser und Krankenversicherer ("abgedeckte Einrichtungen") angemessen PHI erstellen, empfangen, pflegen, übertragen oder darauf zugreifen. Darüber hinaus erstrecken sich ihre Anforderungen auf Geschäftspartner, die Dienstleistungen bereitstellen, die PHI für die abgedeckten Entitäten umfassen. Microsoft ist ein Beispiel für einen Geschäftspartner, der Informationstechnologiedienste wie Azure Local bereitstellt, um Unternehmen im Gesundheitswesen dabei zu helfen, PHI effizienter und sicherer zu verarbeiten. In den folgenden Abschnitten finden Sie Informationen dazu, wie Die lokalen Azure-Funktionen Organisationen dabei helfen, diese Anforderungen zu erfüllen.

Gemeinsame Verantwortung

Microsoft-Kunden

Als abgedeckte Entität, die HIPAA-Gesetzen unterliegt, analysieren Gesundheitsorganisationen unabhängig ihre einzigartigen Technologieumgebungen und Anwendungsfälle und planen und implementieren Sie dann Richtlinien und Verfahren, die den Anforderungen der Vorschriften entsprechen. Die erfassten Entitäten sind dafür verantwortlich, die Einhaltung ihrer Technologielösungen sicherzustellen. Die Anleitungen in diesem Artikel und andere von Microsoft bereitgestellte Ressourcen können als Referenz verwendet werden.

Microsoft

Nach HIPAA-Vorschriften gewährleisten Geschäftspartner keine HIPAA-Compliance, sondern treten stattdessen einen Business Associate Agreement (BAA) mit erfassten Entitäten ein. Microsoft bietet allen Kunden, die gedeckte Entitäten oder Geschäftspartner unter HIPAA sind, als Teil der Microsoft-Produktbedingungen (ehemals Onlinedienstebedingungen) einen HIPAA-Vertrag für die Verwendung mit in-Scope Azure-Diensten an.

Azure Local Compliance-Angebote

Azure Local ist eine Hybridlösung, die virtualisierte Workloads sowohl in der Azure-Cloud als auch in Ihrem lokalen Rechenzentrum hostet und speichert. Dies bedeutet, dass DIE HIPAA-Anforderungen sowohl in der Cloud als auch in Ihrem lokalen Rechenzentrum erfüllt werden müssen.

Azure Cloud Services

Da DIE HIPAA-Gesetzgebung für Unternehmen im Gesundheitswesen entwickelt wurde, können Clouddienste wie Microsoft Azure nicht zertifiziert werden. Azure und azure Local Connected Cloud Services entsprechen jedoch anderen etablierten Sicherheitsframeworks und Standards, die mit HIPAA und HITECH übereinstimmen oder strenger sind. Erfahren Sie mehr über das Azure Compliance-Programm für die Gesundheitsbranche in Azure und HIPAA.

Lokale Umgebung

Als Hybridlösung kombiniert Azure Local Azure Cloud Services mit Betriebssystemen und Infrastruktur, die lokal von Kundenorganisationen gehostet werden. Microsoft bietet eine Reihe von Features, die Organisationen dabei helfen, die Einhaltung von HIPAA- und anderen Standards für die Gesundheitsbranche sowohl in Cloud- als auch in lokalen Umgebungen zu erfüllen.

Lokale Azure-Funktionen, die für die HIPAA-Sicherheitsregel relevant sind

In diesem Abschnitt wird beschrieben, wie die Features von Azure Local Ihnen dabei helfen, die Ziele der HIPAA-Sicherheitsregel zu erreichen, die die folgenden fünf Kontrolldomänen umfasst:

Wichtig

In den folgenden Abschnitten finden Sie Anleitungen, die sich auf die Plattformebene konzentrieren. Informationen zu bestimmten Workloads und Anwendungsebenen sind außerhalb des Gültigkeitsbereichs.

Identitäts- und Zugriffsverwaltung

Azure Local bietet vollständigen und direkten Zugriff auf die zugrunde liegenden Systeme über mehrere Schnittstellen wie Azure Arc und Windows PowerShell. Sie können entweder herkömmliche Windows-Tools in lokalen Umgebungen oder cloudbasierte Lösungen wie Microsoft Entra ID (früher Azure Active Directory) verwenden, um Identität und Zugriff auf die Plattform zu verwalten. In beiden Fällen können Sie integrierte Sicherheitsfeatures nutzen, z. B. mehrstufige Authentifizierung (MFA), bedingter Zugriff, rollenbasierte Zugriffssteuerung (RBAC) und Privileged Identity Management (PIM), um sicherzustellen, dass Ihre Umgebung sicher und kompatibel ist.

Erfahren Sie mehr über die lokale Identitäts- und Zugriffsverwaltung bei Microsoft Identity Manager und Privileged Access Management für Active Directory-Domäne Services. Erfahren Sie mehr über cloudbasierte Identitäts- und Zugriffsverwaltung bei Microsoft Entra ID.

Datenschutz

Verschlüsseln von Daten mit BitLocker

Auf lokalen Azure-Instanzen können alle ruhenden Daten über bitLocker XTS-AES 256-Bit-Verschlüsselung verschlüsselt werden. Standardmäßig wird vom System empfohlen, BitLocker zu aktivieren, um alle Betriebssystemvolumes (OS) und freigegebene Clustervolumes (CSV) in Ihrer lokalen Azure-Bereitstellung zu verschlüsseln. Für alle neuen Speichervolumes, die nach der Bereitstellung hinzugefügt wurden, müssen Sie BitLocker manuell aktivieren, um das neue Speichervolume zu verschlüsseln. Die Verwendung von BitLocker zum Schutz von Daten kann Organisationen dabei helfen, mit ISO/IEC 27001 konform zu bleiben. Weitere Informationen finden Sie unter "Verwenden von BitLocker mit freigegebenen Clustervolumes (CSV)".

Schützen des externen Netzwerkdatenverkehrs mit TLS/DTLS

Standardmäßig werden alle Hostkommunikationen an lokale und Remoteendpunkte mit TLS1.2, TLS1.3 und DTLS 1.2 verschlüsselt. Die Plattform deaktiviert die Verwendung älterer Protokolle/Hashes wie TLS/DTLS 1.1 SMB1. Azure Local unterstützt auch starke Verschlüsselungssuiten, wie SDL-kompatible elliptische Kurven, beschränkt auf die NIST-Kurven P-256 und P-384.

Schützen des internen Netzwerkdatenverkehrs mit SMB (Server Message Block)

Die SMB-Signatur ist standardmäßig für Clientverbindungen in lokalen Azure-Instanzen aktiviert. Bei intraclusterbasiertem Datenverkehr ist die SMB-Verschlüsselung eine Option, die Organisationen während oder nach der Bereitstellung aktivieren können, um Daten während der Übertragung zwischen Systemen zu schützen. AES-256-GCM- und AES-256-CCM-Kryptografiesammlungen werden jetzt vom SMB 3.1.1-Protokoll unterstützt, das vom Clientserverdateidatenverkehr und der Datenstruktur innerhalb des Clusters verwendet wird. Das Protokoll unterstützt weiterhin die umfassendere ES-128-Suite. Weitere Informationen finden Sie unter SMB-Sicherheitsverbesserungen.

Protokollierung und Überwachung

Lokale Systemprotokolle

Standardmäßig werden alle Vorgänge, die in Azure Local ausgeführt werden, aufgezeichnet, sodass Sie nachverfolgen können, wer was getan hat, wann und wo auf der Plattform. Protokolle und Warnungen, die von Windows Defender erstellt wurden, sind ebenfalls enthalten, um Die Wahrscheinlichkeit und Auswirkungen einer Datenkompromittierung zu verhindern, zu erkennen und zu minimieren. Da das Systemprotokoll häufig eine große Menge von Informationen enthält, von denen ein Großteil der Informationssicherheitsüberwachung überflüssig ist, müssen Sie ermitteln, welche Ereignisse für die Erfassung und Verwendung für Sicherheitsüberwachungszwecke relevant sind. Azure-Überwachungsfunktionen helfen beim Sammeln, Speichern, Warnen und Analysieren dieser Protokolle. Verweisen Sie auf die Sicherheitsbasislinie für Azure Local , um mehr zu erfahren.

Lokale Aktivitätsprotokolle

Azure Local erstellt und speichert Aktivitätsprotokolle für jeden ausgeführten Aktionsplan. Diese Protokolle unterstützen eine eingehendere Untersuchung und Complianceüberwachung.

Cloudaktivitätsprotokolle

Indem Sie Ihre Cluster bei Azure registrieren, können Sie Azure Monitor-Aktivitätsprotokolle verwenden, um Vorgänge auf jeder Ressource auf der Abonnementebene aufzuzeichnen, um zu bestimmen, was, wer und wann für schreibvorgänge (Put, Posten oder Löschen) für die Ressourcen in Ihrem Abonnement übernommen wurde.

Cloudidentitätsprotokolle

Wenn Sie Microsoft Entra-ID zum Verwalten von Identität und Zugriff auf die Plattform verwenden, können Sie Protokolle in der Azure AD-Berichterstellung anzeigen oder in Azure Monitor, Microsoft Sentinel oder andere SIEM/Monitoring-Tools für komplexe Überwachungs- und Analyseanwendungsfälle integrieren. Wenn Sie lokales Active Directory verwenden, verwenden Sie die Microsoft Defender for Identity-Lösung, um Ihre lokales Active Directory Signale zu nutzen, um erweiterte Bedrohungen, kompromittierte Identitäten und bösartige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen, die an Ihre Organisation gerichtet sind.

SIEM-Integration

Microsoft Defender für Cloud und Microsoft Sentinel sind nativ in Arc-fähige Azure Local-Computer integriert. Sie können Ihre Protokolle in Microsoft Sentinel aktivieren und integrieren, das sicherheitsrelevante Informationsereignisverwaltung (SECURITY Information Event Management, SIEM) und automatisierte Reaktionsfunktionen (Security Orchestration Automated Response, SOAR) bereitstellt. Microsoft Sentinel, wie andere Azure-Clouddienste, erfüllt viele bewährte Sicherheitsstandards wie HIPAA und HITRUST, die Ihnen bei Ihrem Akkreditierungsprozess helfen können. Darüber hinaus stellt Azure Local eine systemeigene Syslog-Ereignisweiterleitung bereit, um die Systemereignisse an SIEM-Lösungen von Drittanbietern zu senden.

Azure Local Insights

Mit Azure Local Insights können Sie Integritäts-, Leistungs- und Nutzungsinformationen für Systeme überwachen, die mit Azure verbunden sind und bei der Überwachung registriert sind. Während der Insights-Konfiguration wird eine Datensammlungsregel erstellt, die die zu erfassenden Daten angibt. Diese Daten werden in einem Log Analytics-Arbeitsbereich gespeichert, der dann aggregiert, gefiltert und analysiert wird, um vordefinierte Überwachungsdashboards mithilfe von Azure-Arbeitsmappen bereitzustellen. Sie können die Überwachungsdaten für einzelne Knoten oder Mehrknotensysteme von Ihrer Azure Local-Ressourcenseite oder Azure Monitor anzeigen. Weitere Informationen finden Sie unter Monitor Azure Local with Insights.

Lokale Azure-Metriken

Metriken speichern numerische Daten aus überwachten Ressourcen in einer Zeitreihendatenbank. Sie können den Azure Monitor-Metrik-Explorer verwenden, um die Daten in Ihrer Metrikdatenbank interaktiv zu analysieren und die Werte mehrerer Metriken im Laufe der Zeit zu diagrammen. Mit Metriken können Sie Diagramme aus Metrikwerten erstellen und Trends visuell korrelieren.

Protokollwarnungen

Um Probleme in Echtzeit anzuzeigen, können Sie Warnhinweise für Azure Local-Systeme einrichten, indem Sie bereits vorhandene Beispiel-Protokollabfragen wie z. B. durchschnittliche Server-CPU, verfügbarer Speicher, verfügbare Volumenkapazität und mehr verwenden. Weitere Informationen finden Sie unter Einrichten von Warnungen für lokale Azure-Systeme.

Metrikwarnungen

Eine Metrikwarnungsregel überwacht eine Ressource, indem Die Bedingungen für die Ressourcenmetriken in regelmäßigen Abständen ausgewertet werden. Wenn die Bedingungen erfüllt sind, wird eine Warnung ausgelöst. Bei einer Metrikzeitreihe handelt es sich um eine Reihe von Metrikwerten, die über einen Zeitraum erfasst werden. Sie können diese Metriken verwenden, um Warnungsregeln zu erstellen. Erfahren Sie mehr über das Erstellen von metrischen Warnungen bei metrischen Warnungen.

Dienst- und Gerätewarnungen

Azure Local bietet dienstbasierte Warnungen für Konnektivität, Betriebssystemupdates, Azure-Konfiguration und vieles mehr. Gerätebasierte Warnungen für Clusterintegritätsfehler sind ebenfalls verfügbar. Sie können auch Azure Local Instances und deren zugrunde liegende Komponenten mithilfe von PowerShell oder Integritätsdienst überwachen.

Schutz vor Schadsoftware

Windows Defender Antivirus

Windows Defender Antivirus ist eine Hilfsanwendung, die die Durchsetzung von Echtzeit-Systemüberprüfungen und regelmäßigem Scannen ermöglicht, um Plattform und Workloads vor Viren, Schadsoftware, Spyware und anderen Bedrohungen zu schützen. Microsoft Defender Antivirus ist standardmäßig in Azure Local aktiviert. Microsoft empfiehlt die Verwendung von Microsoft Defender Antivirus mit Azure Local anstelle von Antiviren- und Schadsoftwareerkennungssoftware und -diensten von Drittanbietern, da sie sich auf die Fähigkeit des Betriebssystems zum Empfangen von Updates auswirken können. Weitere Informationen finden Sie unter Microsoft Defender Antivirus auf Windows Server.

Anwendungssteuerelement

Die Anwendungskontrolle ist auf Azure Local standardmäßig aktiviert, um zu kontrollieren, welche Treiber und Anwendungen direkt auf den einzelnen Servern ausgeführt werden dürfen, damit Malware keinen Zugriff auf das System erhält. Erfahren Sie mehr über die in Azure Local enthaltenen Basisrichtlinien und wie Sie zusätzliche Richtlinien erstellen können unter Anwendungskontrolle für Azure Local erstellen.

Microsoft Defender für Cloud

Microsoft Defender für Cloud mit Endpoint Protection (aktiviert über den Defender for Servers-Plan) bietet eine Sicherheitsstatusverwaltungslösung mit erweiterten Bedrohungsschutzfunktionen. Es bietet Ihnen Tools, um den Sicherheitsstatus Ihrer Infrastruktur zu bewerten, Workloads zu schützen, Sicherheitswarnungen auszuheben und bestimmte Empfehlungen zur Behebung von Angriffen zu befolgen und zukünftige Bedrohungen zu beheben. Sie führt alle diese Dienste mit hoher Geschwindigkeit in der Cloud ohne Bereitstellungsaufwand durch automatische Bereitstellung und Schutz mit Azure-Diensten aus. Weitere Informationen finden Sie unter Microsoft Defender für Cloud.

Sicherung und Wiederherstellung

Stretched Cluster

Azure Local bietet integrierte Unterstützung für die Notfallwiederherstellung virtualisierter Workloads über gestreckte Clustering (verfügbar in Azure Local, Version 22H2). Durch die Bereitstellung einer gestreckten lokalen Azure-Instanz können Sie ihre virtualisierten Workloads synchron über zwei separate lokale Speicherorte replizieren und automatisch failovern. Geplante Site-Failover können ohne Ausfallzeiten mithilfe der Hyper-V-Livemigration erfolgen.

Kubernetes-Clusterknoten

Wenn Sie Azure Local verwenden, um containerbasierte Bereitstellungen zu hosten, hilft Ihnen die Plattform, die Flexibilität und Resilienz zu verbessern, die Azure Kubernetes-Bereitstellungen inhärent. Azure Local verwaltet das automatische Failover von VMs, die als Kubernetes-Clusterknoten dienen, wenn ein lokalisierter Fehler der zugrunde liegenden physischen Komponenten auftritt. Diese Konfiguration ergänzt die integrierte Hochverfügbarkeit von Kubernetes, durch die ausgefallene Container automatisch auf derselben oder einer anderen VM neu gestartet werden.

Azure Site Recovery

Mit diesem Dienst können Sie Workloads replizieren, die auf Ihren lokalen virtuellen Azure-Computern ausgeführt werden, in die Cloud, sodass Ihr Informationssystem wiederhergestellt werden kann, wenn ein Vorfall, ein Fehler oder ein Speichermedium verloren geht. Wie andere Azure-Clouddienste verfügt Azure Site Recovery über einen langen Überblick über Sicherheitszertifikate, einschließlich HITRUST, mit denen Sie Ihren Akkreditierungsprozess unterstützen können. Weitere Informationen finden Sie unter Schützen von VM-Workloads mit Azure Site Recovery auf Azure Local.

Microsoft Azure Backup Server (MABS)

Mit diesem Dienst können Sie virtuelle Azure Local-Computer sichern und einen gewünschten Zeitraum für Häufigkeit und Aufbewahrung angeben. Sie können MABS verwenden, um die meisten Ihrer Ressourcen in der gesamten Umgebung zu sichern, einschließlich:

  • Systemstatus/Bare-Metal-Wiederherstellung (BMR) des lokalen Azure-Hosts
  • Gast-VMs in einem System mit lokalem oder direkt angefügtem Speicher
  • Gast-VMs auf einer lokalen Azure-Instanz mit CSV-Speicher
  • VM-Verschiebung innerhalb eines Clusters

Weitere Informationen finden Sie unter Sichern lokaler virtueller Azure-Computer mit Azure Backup Server.