Locale di Azure e HIPAA
Questo articolo fornisce indicazioni su come le organizzazioni possono esplorare in modo più efficiente la conformità HIPAA per le soluzioni create con azure locale.
Conformità del settore sanitario
L'Health Insurance Portability and Accountability Act del 1996 (HIPAA) e gli standard sanitari come Health Information Technology for Economic and Clinical Health Health (HITECH) e Health Information Trust Alliance (HITRUST) proteggono la riservatezza, l'integrità e la disponibilità delle informazioni sanitarie protette dei pazienti (PHI). Queste normative e standard assicurano che le organizzazioni sanitarie, ad esempio uffici medici, ospedali e assicuratori sanitari ("entità coperte") creino, ricevano, mantengono, trasmettono o accedono a PHI in modo appropriato. Inoltre, i loro requisiti si estendono ai collaboratori commerciali che forniscono servizi che coinvolgono PHI per le entità coperte. Microsoft è un esempio di collaboratore aziendale che fornisce servizi informatici come Azure Locale per aiutare le aziende sanitarie a archiviare ed elaborare PHI in modo più efficiente e sicuro. Le sezioni seguenti forniscono informazioni sul modo in cui le funzionalità locali di Azure aiutano le organizzazioni a soddisfare questi requisiti.
Responsabilità condivise
Clienti Microsoft
In qualità di entità coperta soggetta alle leggi HIPAA, le organizzazioni sanitarie analizzano in modo indipendente gli ambienti tecnologici e i casi d'uso unici e quindi pianificano e implementano criteri e procedure conformi ai requisiti delle normative. Le entità coperte sono responsabili della conformità delle proprie soluzioni tecnologiche. Le indicazioni contenute in questo articolo e altre risorse fornite da Microsoft possono essere usate come riferimento.
Microsoft
Ai sensi delle normative HIPAA, i collaboratori commerciali non garantiscono la conformità HIPAA, ma invece si immettono in un Contratto di associazione aziendale (BAA) con le entità coperte. Microsoft offre un CONTRATTO BAAA HIPAA come parte delle Condizioni per i prodotti Microsoft (in precedenza condizioni per i servizi online) a tutti i clienti coperti da entità o associati commerciali in HIPAA per l'uso con i servizi di Azure nell'ambito.
Offerte di conformità locale di Azure
Locale di Azure è una soluzione ibrida che ospita e archivia carichi di lavoro virtualizzati sia nel cloud di Azure che nel data center locale. Ciò significa che i requisiti HIPAA devono essere soddisfatti sia nel cloud che nel data center locale.
Servizi cloud di Azure
Poiché la legislazione HIPAA è progettata per le aziende sanitarie, i servizi cloud come Microsoft Azure non possono essere certificati. Tuttavia, i servizi cloud connessi locali di Azure e Azure sono conformi ad altri framework e standard di sicurezza stabiliti equivalenti o più rigorosi rispetto a HIPAA e HITECH. Altre informazioni sul programma di conformità di Azure per il settore sanitario in Azure e HIPAA.
Ambiente locale
Come soluzione ibrida, Azure Local combina i servizi cloud di Azure con i sistemi operativi e l'infrastruttura ospitata in locale dalle organizzazioni dei clienti. Microsoft offre una serie di funzionalità che consentono alle organizzazioni di soddisfare la conformità con HIPAA e altri standard del settore sanitario, sia in ambienti cloud che locali.
Funzionalità locali di Azure rilevanti per la regola di sicurezza HIPAA
Questa sezione illustra in che modo le funzionalità di Azure Local consentono di raggiungere gli obiettivi di controllo della sicurezza HIPAA, che comprende i cinque domini di controllo seguenti:
- Gestione delle identità e degli accessi
- Protezione dei dati
- Registrazione e monitoraggio
- Protezione da malware
- Backup e ripristino
Importante
Le sezioni seguenti forniscono indicazioni incentrate sul livello della piattaforma. Le informazioni su carichi di lavoro e livelli applicazione specifici non rientrano nell'ambito.
Gestione delle identità e dell'accesso
Azure Local offre accesso completo e diretto ai sistemi sottostanti tramite più interfacce, ad esempio Azure Arc e Windows PowerShell. È possibile usare gli strumenti di Windows convenzionali in ambienti locali o soluzioni basate sul cloud come Microsoft Entra ID (in precedenza Azure Active Directory) per gestire l'identità e l'accesso alla piattaforma. In entrambi i casi, è possibile sfruttare le funzionalità di sicurezza predefinite, ad esempio l'autenticazione a più fattori (MFA), l'accesso condizionale, il controllo degli accessi in base al ruolo e la gestione delle identità con privilegi (PIM) per garantire che l'ambiente sia sicuro e conforme.
Altre informazioni sulla gestione delle identità e degli accessi locali sono disponibili in Microsoft Identity Manager e Privileged Access Management per i servizi di Dominio di Active Directory. Altre informazioni sulla gestione delle identità e degli accessi basate sul cloud sono disponibili in Microsoft Entra ID.
Protezione dei dati
Crittografia dei dati con BitLocker
Nelle istanze locali di Azure è possibile crittografare tutti i dati inattivi tramite la crittografia bitlocker XTS-AES a 256 bit. Per impostazione predefinita, il sistema consiglia di abilitare BitLocker per crittografare tutti i volumi del sistema operativo e i volumi condivisi del cluster nella distribuzione locale di Azure. Per tutti i nuovi volumi di archiviazione aggiunti dopo la distribuzione, è necessario abilitare manualmente BitLocker per crittografare il nuovo volume di archiviazione. L'uso di BitLocker per proteggere i dati può aiutare le organizzazioni a mantenere la conformità con ISO/IEC 27001. Per altre informazioni, vedere Usare BitLocker con volumi condivisi cluster (CSV).
Protezione del traffico di rete esterno con TLS/DTLS
Per impostazione predefinita, tutte le comunicazioni host verso endpoint locali e remoti vengono crittografate con TLS1.2, TLS1.3 e DTLS 1.2. La piattaforma disabilita l'uso di protocolli/hash meno recenti, ad esempio TLS/DTLS 1.1 SMB1. Azure Stack HCI supporta anche pacchetti di crittografia sicuri come curve ellittiche conformi a SDL, limitate alle curve NIST P-256 e P-384.
Protezione del traffico di rete interno con Server Message Block (SMB)
La firma SMB è abilitata per impostazione predefinita per le connessioni client nelle istanze locali di Azure. Per il traffico all'interno del cluster, la crittografia SMB è un'opzione che le organizzazioni possono abilitare durante o dopo la distribuzione per proteggere i dati in transito tra sistemi. I pacchetti di crittografia AES-256-GCM e AES-256-CCM sono ora supportati dal protocollo SMB 3.1.1 usato dal traffico di file client-server e dall'infrastruttura di dati all'interno del cluster. Il protocollo continua a supportare anche la suite ES-128 più ampiamente compatibile. Per altre informazioni, vedere Miglioramenti della sicurezza SMB.
Registrazione e monitoraggio
Log di sistema locali
Per impostazione predefinita, tutte le operazioni eseguite all'interno di Locale di Azure vengono registrate in modo da tenere traccia di chi ha fatto cosa, quando e dove nella piattaforma. Sono inclusi anche i log e gli avvisi creati da Windows Defender per prevenire, rilevare e ridurre al minimo la probabilità e l'impatto di una compromissione dei dati. Poiché il log di sistema contiene spesso un volume elevato di informazioni, gran parte di esso estraneo al monitoraggio della sicurezza delle informazioni, è necessario identificare quali eventi sono rilevanti per essere raccolti e utilizzati per scopi di monitoraggio della sicurezza. Le funzionalità di monitoraggio di Azure consentono di raccogliere, archiviare, inviare avvisi e analizzare tali log. Per altre informazioni, fare riferimento alla baseline di sicurezza per Azure locale .
Log attività locali
Azure Local crea e archivia i log attività per qualsiasi piano di azione eseguito. Questi log supportano analisi più approfondite e il monitoraggio della conformità.
Log attività cloud
Registrando i cluster con Azure, è possibile usare i log attività di Monitoraggio di Azure per registrare le operazioni su ogni risorsa a livello di sottoscrizione per determinare cosa, chi e quando per le operazioni di scrittura (inserimento, post o eliminazione) eseguite sulle risorse nella sottoscrizione.
Log delle identità cloud
Se si usa Microsoft Entra ID per gestire l'identità e l'accesso alla piattaforma, è possibile visualizzare i log nella creazione di report di Azure AD o integrarli con Monitoraggio di Azure, Microsoft Sentinel o altri strumenti di monitoraggio e gestione degli eventi di sicurezza e gestione degli eventi di sicurezza e monitoraggio per casi d'uso avanzati di monitoraggio e analisi. Se si usa Active Directory locale, usare la soluzione Microsoft Defender per identità per usare i segnali di Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose dirette al proprio organizzazione.
Integrazione SIEM
Microsoft Defender per il cloud e Microsoft Sentinel sono integrati in modo nativo con i computer locali di Azure abilitati per Arc. È possibile abilitare ed eseguire l'onboarding dei log in Microsoft Sentinel, che fornisce la funzionalità SIEM (Security Information Event Management) e security orchestration automated response (SOAR). Microsoft Sentinel, come altri servizi cloud di Azure, è conforme a molti standard di sicurezza ben definiti, ad esempio HIPAA e HITRUST, che possono essere utili per il processo di accreditamento. Inoltre, Locale di Azure fornisce un server d'inoltro eventi syslog nativo per inviare gli eventi di sistema a soluzioni SIEM di terze parti.
Informazioni dettagliate locali di Azure
Informazioni dettagliate locali di Azure consente di monitorare le informazioni sull'integrità, sulle prestazioni e sull'utilizzo per i sistemi connessi ad Azure e registrati nel monitoraggio. Durante la configurazione di Insights viene creata una regola di raccolta dati che specifica i dati da raccogliere. Questi dati vengono archiviati in un'area di lavoro Log Analytics, che viene quindi aggregata, filtrata e analizzata per fornire dashboard di monitoraggio predefiniti usando cartelle di lavoro di Azure. È possibile visualizzare i dati di monitoraggio per sistemi a nodo singolo o multinodo dalla pagina delle risorse locali di Azure o da Monitoraggio di Azure. Per altre informazioni, vedere Monitorare l'ambiente locale di Azure con Informazioni dettagliate.
Metriche locali di Azure
Le metriche archiviano i dati numerici dalle risorse monitorate in un database time series. È possibile usare Esplora metriche di Monitoraggio di Azure per analizzare in modo interattivo i dati nel database delle metriche e tracciare i valori di più metriche nel tempo. Con Le metriche è possibile creare grafici dai valori delle metriche e correlare visivamente le tendenze.
Avvisi relativi ai log
Per indicare problemi in tempo reale, è possibile configurare avvisi per i sistemi Azure Stack HCI, usando query di log di esempio preesistenti, ad esempio CPU del server medio, memoria disponibile, capacità del volume disponibile e altro ancora. Per altre informazioni, vedere Configurare gli avvisi per i sistemi locali di Azure.
Avvisi delle metriche
Una regola di avviso delle metriche monitora una risorsa valutando le condizioni sulle metriche delle risorse a intervalli regolari. Se le condizioni sono soddisfatte, viene generato un avviso. Una serie temporale della metrica è una serie di valori delle metriche acquisiti in un periodo di tempo. È possibile usare queste metriche per creare regole di avviso. Altre informazioni su come creare avvisi delle metriche in Avvisi delle metriche.
Avvisi del servizio e dei dispositivi
Azure Locale offre avvisi basati sul servizio per la connettività, gli aggiornamenti del sistema operativo, la configurazione di Azure e altro ancora. Sono disponibili anche avvisi basati su dispositivo per gli errori di integrità del cluster. È anche possibile monitorare le istanze locali di Azure e i relativi componenti sottostanti usando PowerShell o Servizio integrità.
Protezione da malware
Windows Defender Antivirus
Windows Defender Antivirus è un'applicazione di utilità che consente l'applicazione di analisi del sistema in tempo reale e analisi periodica per proteggere la piattaforma e i carichi di lavoro da virus, malware, spyware e altre minacce. Per impostazione predefinita, Antivirus Microsoft Defender è abilitato in Locale di Azure. Microsoft consiglia di usare Antivirus Microsoft Defender con il software e i servizi di rilevamento antivirus e malware locali di Azure anziché con software e servizi di rilevamento malware di terze parti, in quanto possono influire sulla capacità del sistema operativo di ricevere gli aggiornamenti. Per altre informazioni, vedere Antivirus Microsoft Defender in Windows Server.
Controllo di applicazioni di Windows Defender
Windows Defender Application Control (WDAC) è abilitato per impostazione predefinita in Locale di Azure per controllare quali driver e applicazioni possono essere eseguiti direttamente in ogni server, impedendo così il malware di accedere al sistema. Altre informazioni sui criteri di base inclusi in Locale di Azure e su come creare criteri supplementari in Gestire Il controllo delle applicazioni di Windows Defender per Azure locale.
Microsoft Defender for Cloud
Microsoft Defender per il cloud con Endpoint Protection (abilitato tramite il piano Defender per server) offre una soluzione di gestione del comportamento di sicurezza con funzionalità avanzate di protezione dalle minacce. Offre strumenti per valutare lo stato di sicurezza dell'infrastruttura, proteggere i carichi di lavoro, generare avvisi di sicurezza e seguire raccomandazioni specifiche per correggere gli attacchi e affrontare le minacce future. Esegue tutti questi servizi ad alta velocità nel cloud senza sovraccarico di distribuzione tramite il provisioning automatico e la protezione con i servizi di Azure. Per altre informazioni, vedere Microsoft Defender per il cloud.
Backup e ripristino
Cluster esteso
Azure Locale offre il supporto predefinito per il ripristino di emergenza di carichi di lavoro virtualizzati tramite il clustering esteso (disponibile in Locale di Azure versione 22H2). Distribuendo un'istanza locale di Azure estesa, è possibile replicare in modo sincrono i carichi di lavoro virtualizzati in due posizioni locali separate e eseguirne automaticamente il failover tra di essi. I failover del sito pianificati possono verificarsi senza tempi di inattività tramite la migrazione in tempo reale di Hyper-V.
Nodi del cluster Kubernetes
Se si usa Locale di Azure per ospitare distribuzioni basate su contenitori, la piattaforma consente di migliorare l'agilità e la resilienza intrinseche alle distribuzioni di Azure Kubernetes. Azure Local gestisce il failover automatico delle macchine virtuali che fungono da nodi del cluster Kubernetes se si verifica un errore localizzato dei componenti fisici sottostanti. Questa configurazione è a supplemento della disponibilità elevata incorporata in Kubernetes, che riavvia automaticamente i contenitori in errore nella stessa macchina virtuale o in un'altra.
Azure Site Recovery
Questo servizio consente di replicare i carichi di lavoro in esecuzione nelle macchine virtuali locali di Azure locali nel cloud in modo che il sistema informativo possa essere ripristinato in caso di evento imprevisto, errore o perdita di supporti di archiviazione. Analogamente ad altri servizi cloud di Azure, Azure Site Recovery ha un lungo record di certificati di sicurezza, tra cui HITRUST, che è possibile usare per supportare il processo di accreditamento. Per altre informazioni, vedere Proteggere i carichi di lavoro delle macchine virtuali con Azure Site Recovery in Locale di Azure.
Server di Backup di Microsoft Azure (MABS)
Questo servizio consente di eseguire il backup di macchine virtuali locali di Azure, specificando una frequenza e un periodo di conservazione desiderati. È possibile usare MABS per eseguire il backup della maggior parte delle risorse nell'ambiente, tra cui:
- Stato del sistema/Ripristino bare metal (BMR) dell'host locale di Azure
- Macchine virtuali guest in un sistema con archiviazione locale o collegata direttamente
- Macchine virtuali guest nell'istanza locale di Azure con archiviazione CSV
- Spostamento di macchine virtuali all'interno di un cluster
Per altre informazioni, vedere Eseguire il backup di macchine virtuali locali di Azure con Backup di Azure Server.