Azure Stack HCI y HIPAA
En este artículo se proporcionan instrucciones sobre cómo las organizaciones pueden navegar de forma más eficaz por el cumplimiento de HIPAA para soluciones creadas con Azure Stack HCI.
Cumplimiento sanitario
La Ley de portabilidad y responsabilidad del seguro de salud de 1996 (HIPAA) y estándares sanitarios, como la tecnología de la información sanitaria para la salud económica y clínica (HITECH) y health information trust Alliance (HITRUST) protegen la confidencialidad, integridad y disponibilidad de la información médica protegida (PHI) de los pacientes. Estas regulaciones y estándares garantizan que las organizaciones sanitarias, como oficinas de médicos, hospitales y aseguradoras de salud ("entidades cubiertas") creen, reciban, mantengan, transmitan o accedan a phi adecuadamente. Además, sus requisitos se extienden a los asociados comerciales que proporcionan servicios que implican PHI para las entidades cubiertas. Microsoft es un ejemplo de asociado empresarial que proporciona servicios de tecnología de la información como Azure Stack HCI para ayudar a las empresas sanitarias a almacenar y procesar PHI de forma más eficaz y segura. En las secciones siguientes se proporciona información sobre cómo las funcionalidades de la plataforma de Azure Stack HCI ayudan a las organizaciones a cumplir estos requisitos.
Responsabilidades compartidas
Clientes de Microsoft
Como entidad cubierta que está sujeta a leyes hipaa, las organizaciones sanitarias analizan de forma independiente sus entornos de tecnología y casos de uso únicos y, a continuación, planean e implementan directivas y procedimientos que cumplen con los requisitos de la normativa. Las entidades cubiertas son responsables de garantizar el cumplimiento de sus soluciones tecnológicas. Las instrucciones de este artículo y otros recursos proporcionados por Microsoft se pueden usar como referencia.
Microsoft
En virtud de las regulaciones de HIPAA, los asociados comerciales no garantizan el cumplimiento de HIPAA, sino que entran en un Contrato de Asociado Comercial (BAA) con entidades cubiertas. Microsoft ofrece una HIPAA BAA como parte de los Términos del producto de Microsoft (anteriormente Términos de servicios en línea) a todos los clientes que están cubiertos por entidades o asociados comerciales en HIPAA para su uso con los servicios de Azure dentro del ámbito.
Ofertas de cumplimiento de Azure Stack HCI
Azure Stack HCI es una solución híbrida que hospeda y almacena cargas de trabajo virtualizadas en la nube de Azure y en el centro de datos local. Esto significa que los requisitos de HIPAA deben cumplirse tanto en la nube como en el centro de datos local.
Servicios en la nube de Azure
Como la legislación HIPAA está diseñada para empresas sanitarias, los servicios en la nube, como Microsoft Azure, no se pueden certificar. Sin embargo, los servicios en la nube conectados de Azure y Azure Stack HCI cumplen con otros marcos de seguridad y estándares establecidos que son equivalentes o más estrictos que HIPAA e HITECH. Obtenga más información sobre el programa de cumplimiento de Azure para el sector sanitario en Azure y HIPAA.
Entorno local
Como solución híbrida, Azure Stack HCI combina servicios en la nube de Azure con sistemas operativos e infraestructura hospedada localmente por organizaciones de clientes. Microsoft proporciona una matriz de características que ayudan a las organizaciones a satisfacer el cumplimiento de HIPAA y otros estándares del sector sanitario, tanto en entornos locales como en la nube.
Funcionalidades de Azure Stack HCI pertinentes para la regla de seguridad hipaa
En esta sección se describe cómo las características de Azure Stack HCI le ayudan a lograr los objetivos de control de seguridad de la regla de seguridad HIPAA, que consta de los cinco dominios de control siguientes:
- Administración de identidades y acceso
- Protección de datos
- Registro y supervisión
- Protección contra malware
- Copia de seguridad y recuperación
Importante
En las secciones siguientes se proporcionan instrucciones centradas en la capa de plataforma. La información sobre cargas de trabajo específicas y capas de aplicación está fuera del ámbito.
Administración de identidades y acceso
La plataforma Azure Stack HCI proporciona acceso completo y directo al sistema subyacente que se ejecuta en nodos de clúster a través de varias interfaces, como Azure Arc y Windows PowerShell. Puede usar herramientas convencionales de Windows en entornos locales o soluciones basadas en la nube, como Microsoft Entra ID (anteriormente Azure Active Directory) para administrar la identidad y el acceso a la plataforma. En ambos casos, puede aprovechar las características de seguridad integradas, como la autenticación multifactor (MFA), el acceso condicional, el control de acceso basado en rol (RBAC) y la administración de identidades con privilegios (PIM) para asegurarse de que el entorno sea seguro y compatible.
Obtenga más información sobre la administración de identidades y acceso locales en Microsoft Identity Manager y Privileged Access Management para Servicios de dominio de Active Directory. Obtenga más información sobre la administración de identidades y acceso basadas en la nube en Microsoft Entra ID.
Protección de los datos
Cifrado de datos con BitLocker
En los clústeres de Azure Stack HCI, todos los datos en reposo se pueden cifrar a través del cifrado XTS-AES de BitLocker de 256 bits. De forma predeterminada, el sistema recomienda habilitar BitLocker para cifrar todos los volúmenes del sistema operativo (SO) y los volúmenes compartidos de clúster (CSV) en la implementación de Azure Stack HCI. Para los nuevos volúmenes de almacenamiento agregados después de la implementación, debe habilitar manualmente BitLocker para cifrar el nuevo volumen de almacenamiento. El uso de BitLocker para proteger los datos puede ayudar a las organizaciones a mantener la conformidad con ISO/IEC 27001. Obtenga más información en Uso de BitLocker con volúmenes compartidos de clúster (CSV).
Protección del tráfico de red externo con TLS/DTLS
De forma predeterminada, todas las comunicaciones de host a puntos de conexión locales y remotos se cifran mediante TLS1.2, TLS1.3 y DTLS 1.2. La plataforma deshabilita el uso de protocolos o hash anteriores, como TLS/DTLS 1.1 SMB1. Azure Stack HCI también admite conjuntos de cifrado seguros, como curvas elípticas compatibles con SDL, limitadas a curvas NIST P-256 y P-384 solo.
Protección del tráfico de red interno con el bloque de mensajes del servidor (SMB)
La firma SMB está habilitada de forma predeterminada para las conexiones de cliente en los hosts del clúster de Azure Stack HCI. Para el tráfico dentro del clúster, el cifrado SMB es una opción que las organizaciones pueden habilitar durante o después de la implementación para proteger los datos en tránsito entre clústeres. Los conjuntos criptográficos AES-256-GCM y AES-256-CCM ahora son compatibles con el protocolo SMB 3.1.1 utilizado por el tráfico de archivos del servidor cliente y el tejido de datos dentro del clúster. El protocolo sigue admitiendo también el conjunto de aplicaciones ES-128 más ampliamente compatible. Obtenga más información en Mejoras de seguridad de SMB.
Registro y supervisión
Registros del sistema local
De forma predeterminada, todas las operaciones que se realizan en la plataforma azure Stack HCI se registran para que pueda realizar un seguimiento de quién hizo qué, cuándo y dónde se encuentra en la plataforma. También se incluyen registros y alertas creados por Windows Defender para ayudarte a evitar, detectar y minimizar la probabilidad y el impacto de un riesgo de datos. Dado que el registro del sistema a menudo contiene un gran volumen de información, gran parte de él es extraño a la supervisión de la seguridad de la información, debe identificar qué eventos son relevantes para recopilarse y usarse con fines de supervisión de seguridad. Las funcionalidades de supervisión de Azure ayudan a recopilar, almacenar, alertar y analizar esos registros. Consulte la línea de base de seguridad para Azure Stack HCI para más información.
Registros de actividad local
Azure Stack HCI Lifecycle Manager crea y almacena registros de actividad para cualquier plan de acción ejecutado. Estos registros admiten una investigación más profunda y la supervisión del cumplimiento.
Registros de actividad en la nube
Al registrar los clústeres con Azure, puede usar los registros de actividad de Azure Monitor para registrar las operaciones en cada recurso en el nivel de suscripción para determinar qué, quién y cuándo para las operaciones de escritura (put, post o delete) tomadas en los recursos de la suscripción.
Registros de identidad en la nube
Si usa microsoft Entra ID para administrar la identidad y el acceso a la plataforma, puede ver los registros en los informes de Azure AD o integrarlos con Azure Monitor, Microsoft Sentinel u otras herramientas de SIEM o supervisión para sofisticados casos de uso de supervisión y análisis. Si usa Active Directory local, use la solución Microsoft Defender for Identity para consumir las señales de Active Directory local para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas dirigidas a su organización.
Integración de SIEM
Microsoft Defender for Cloud y Microsoft Sentinel se integran de forma nativa con nodos de Azure Stack HCI habilitados para Arc. Puede habilitar e incorporar los registros a Microsoft Sentinel, que proporciona la administración de eventos de información de seguridad (SIEM) y la funcionalidad de respuesta automatizada de orquestación de seguridad (SOAR). Microsoft Sentinel, al igual que otros servicios en la nube de Azure, cumple con muchos estándares de seguridad bien establecidos, como HIPAA y HITRUST, que pueden ayudarle con el proceso de acreditación. Además, Azure Stack HCI proporciona un reenviador de eventos syslog nativo para enviar los eventos del sistema a soluciones SIEM de terceros.
Conclusiones de Azure Stack HCI
Azure Stack HCI Ideas le permite supervisar la información de mantenimiento, rendimiento y uso de los clústeres que están conectados a Azure y están inscritos en la supervisión. Durante Ideas configuración, se crea una regla de recopilación de datos, que especifica los datos que se van a recopilar. Estos datos se almacenan en un área de trabajo de Log Analytics, que luego se agrega, filtra y analiza para proporcionar paneles de supervisión precompilados mediante libros de Azure. Puede ver los datos de supervisión de un único clúster o varios clústeres desde la página de recursos de Azure Stack HCI o Azure Monitor. Obtenga más información en Supervisión de Azure Stack HCI con Ideas.
Métricas de Azure Stack HCI
Las métricas almacenan datos numéricos de recursos supervisados en una base de datos de serie temporal. Puede usar el explorador de métricas de Azure Monitor para analizar interactivamente los datos de la base de datos de métricas y trazar los valores de varias métricas a lo largo del tiempo. Con Las métricas, puede crear gráficos a partir de valores de métricas y correlacionar visualmente las tendencias.
Alertas de registro
Para indicar problemas en tiempo real, puede configurar alertas para sistemas de Azure Stack HCI, mediante consultas de registro de ejemplo preexistentes, como la CPU media del servidor, la memoria disponible, la capacidad de volumen disponible y mucho más. Obtenga más información en Configuración de alertas para sistemas de Azure Stack HCI.
Alertas de métricas
Una regla de alertas de métrica supervisa un recurso mediante la evaluación de las condiciones de las métricas de recursos a intervalos regulares. Si se cumplen las condiciones, se desencadena una alerta. Una serie temporal de métricas es una serie de valores de métricas capturados durante un período de tiempo. Puede usar estas métricas para crear reglas de alerta. Obtenga más información sobre cómo crear alertas de métricas en Alertas de métricas.
Alertas de servicio y dispositivo
Azure Stack HCI proporciona alertas basadas en servicios para la conectividad, las actualizaciones del sistema operativo, la configuración de Azure y mucho más. También hay disponibles alertas basadas en dispositivos para errores de estado del clúster. También puede supervisar clústeres de Azure Stack HCI y sus componentes subyacentes mediante PowerShell o Servicio de mantenimiento.
Protección contra malware
Antivirus de Windows Defender
Antivirus de Windows Defender es una aplicación de utilidad que permite aplicar el examen del sistema en tiempo real y el examen periódico para proteger la plataforma y las cargas de trabajo contra virus, malware, spyware y otras amenazas. De forma predeterminada, Antivirus de Microsoft Defender está habilitado en Azure Stack HCI. Microsoft recomienda usar Antivirus de Microsoft Defender con Azure Stack HCI en lugar de software y servicios de detección de malware y antivirus de terceros, ya que pueden afectar a la capacidad del sistema operativo para recibir actualizaciones. Obtenga más información en Antivirus de Microsoft Defender en Windows Server.
Control de aplicaciones de Windows Defender
El Control de aplicaciones de Windows Defender (WDAC) está habilitado de forma predeterminada en Azure Stack HCI para controlar qué controladores y aplicaciones pueden ejecutarse directamente en cada servidor, lo que ayuda a evitar que el malware acceda al sistema. Obtenga más información sobre las directivas base incluidas en Azure Stack HCI y cómo crear directivas complementarias en Administración del control de aplicaciones de Windows Defender para Azure Stack HCI.
Microsoft Defender for Cloud
Microsoft Defender for Cloud con Endpoint Protection (habilitado a través de planes de servidor) proporciona una solución de administración de la posición de seguridad con funcionalidades avanzadas de protección contra amenazas. Proporciona herramientas para evaluar el estado de seguridad de la infraestructura, proteger las cargas de trabajo, generar alertas de seguridad y seguir recomendaciones específicas para corregir ataques y abordar amenazas futuras. Realiza todos estos servicios a alta velocidad en la nube sin sobrecarga de implementación mediante el aprovisionamiento automático y la protección con los servicios de Azure. Obtenga más información en Microsoft Defender for Cloud.
Copia de seguridad y recuperación
Clúster extendido
Azure Stack HCI proporciona compatibilidad integrada para la recuperación ante desastres de cargas de trabajo virtualizadas a través de clústeres extendidos. Al implementar un clúster extendido de Azure Stack HCI, puede replicar de forma sincrónica sus cargas de trabajo virtualizadas en dos ubicaciones locales independientes y la conmutación por error automática entre ellos. Las conmutaciones por error de sitio planeadas pueden producirse sin tiempo de inactividad mediante la migración en vivo de Hyper-V.
Nodos de clúster de Kubernetes
Si usa Azure Stack HCI para hospedar implementaciones basadas en contenedores, la plataforma le ayuda a mejorar la agilidad y la resistencia inherentes a las implementaciones de Azure Kubernetes. Azure Stack HCI administra la conmutación automática por error de máquinas virtuales que actúan como nodos de clúster de Kubernetes si hay un error localizado de los componentes físicos subyacentes. Esta configuración complementa la alta disponibilidad integrada en Kubernetes, que reinicia automáticamente los contenedores con errores en la misma máquina virtual o en otra.
Azure Site Recovery
Este servicio permite replicar cargas de trabajo que se ejecutan en las máquinas virtuales de Azure Stack HCI locales en la nube para que el sistema de información se pueda restaurar si hay un incidente, un error o una pérdida de medios de almacenamiento. Al igual que otros servicios en la nube de Azure, Azure Site Recovery tiene un largo historial de certificados de seguridad, como HITRUST, que puede usar para admitir el proceso de acreditación. Obtenga más información en Protección de cargas de trabajo de máquina virtual con Azure Site Recovery en Azure Stack HCI.
Microsoft Azure Backup Server (MABS)
Este servicio le permite realizar copias de seguridad de máquinas virtuales de Azure Stack HCI, especificando una frecuencia deseada y un período de retención. Puede usar MABS para realizar copias de seguridad de la mayoría de los recursos en todo el entorno, entre los que se incluyen:
- Recuperación de estado del sistema o reconstrucción completa (BMR) del host de Azure Stack HCI
- Máquinas virtuales invitadas en un clúster que tiene almacenamiento local o conectado directamente
- Máquinas virtuales invitadas en un clúster de Azure Stack HCI con almacenamiento CSV
- Movimiento de máquina virtual dentro de un clúster
Obtenga más información en Copia de seguridad de máquinas virtuales de Azure Stack HCI con Azure Backup Server.