Indicazioni per la misura di sicurezza per il controllo di accesso
Microsoft Entra ID soddisfa i requisiti pratici correlati all'identità per l'implementazione della misura di sicurezza della legge Health Insurance Portability and Accountability Act (HIPAA) del 1996. Per essere conforme a HIPAA, implementare la misura di sicurezzausando queste indicazioni. Potrebbe essere necessario modificare altre configurazioni o processi.
Per comprendere la Misura di sicurezza dell'identificazione utente, è consigliabile eseguire ricerche e impostare obiettivi che consentono di:
Assicurarsi che gli ID siano univoci per tutti gli utenti che devono connettersi al dominio.
Stabilire un processo Joiner, Mover e Leaver (JML).
Abilitare il controllo per il rilevamento delle identità.
Per la Misura di sicurezza autorizzata del controllo di accesso, impostare gli obiettivi in modo che:
L'accesso al sistema sia limitato agli utenti autorizzati.
Gli utenti autorizzati vengano identificati.
L'accesso ai dati personali sia limitato agli utenti autorizzati.
Per la Misura di sicurezza della procedura di accesso di emergenza:
Garantire la disponibilità elevata dei servizi di base.
Eliminare i singoli punti di guasto.
Stabilire un piano di ripristino di emergenza.
Verificare i backup dei dati ad alto rischio.
Stabilire e gestire gli account di accesso di emergenza.
Per la Misura di sicurezze sulla disconnessione automatica:
Stabilire una procedura che termina una sessione elettronica dopo un tempo predeterminato di inattività.
Configurare e implementare un criterio di disconnessione automatico.
Identificazione univoca dell’utente
La tabella seguente include misure di sicurezza per il controllo di accesso in base alle linee guida HIPAA per l'identificazione univoca dell'utente. Cercare consigli di Microsoft per soddisfare i requisiti dell’implementazione delle misure di sicurezza.
Misura di sicurezza HIPAA - Identificazione univoca dell’utente
Assign a unique name and/or number for identifying and tracking user identity.
| Elemento consigliato | Azione |
|---|---|
| Configurare l’ambiente ibrido per l'uso di Microsoft Entra ID |
Microsoft Entra Connect integra le gli elenchi locali con Microsoft Entra ID, supportando l'uso di identità singole per accedere alle applicazioni locali e ai servizi cloud, ad esempio Microsoft 365. Orchestra la sincronizzazione tra Active Directory (AD) e Microsoft Entra ID. Per iniziare a usare Microsoft Entra Connect, esaminare i prerequisiti, prendere nota dei requisiti del server e di come preparare il tenant di Microsoft Entra per la gestione. La sincronizzazione di Microsoft Entra Connect è un agente di provisioning gestito nel cloud. L'agente di provisioning supporta la sincronizzazione con Microsoft Entra ID da un ambiente AD disconnesso a più foreste. Gli agenti leggeri vengono installati e possono essere usati con Microsoft Entra Connect. È consigliabile usare la sincronizzazione dell'hash delle password per ridurre il numero di password e proteggersi dal rilevamento delle credenziali perse. |
| Effettuare il provisioning degli account utente |
Microsoft Entra ID è un servizio di gestione delle identità e degli accessi basato sul cloud che fornisce l'accesso Single Sign-On, Multi-Factor Authentication e l'accesso condizionale per proteggersi dagli attacchi alla sicurezza. Per creare un account utente, accedere all'interfaccia di amministrazione di Microsoft Entra come Utente amministratore e creare un nuovo account passando a Tutti gli utenti nel menu.
Microsoft Entra ID fornisce supporto per il provisioning utenti automatizzato per sistemi e applicazioni. Le funzionalità includono la creazione, l'aggiornamento e l'eliminazione di un account utente. Il provisioning automatizzato crea nuovi account nei sistemi corretti per i nuovi utenti quando si uniscono a un team in un'organizzazione e il deprovisioning automatizzato disattiva gli account quando le persone lasciano il team. Configurare il provisioning passando all'interfaccia di amministrazione di Microsoft Entra e selezionando le applicazioni aziendali per aggiungere e gestire le impostazioni dell'app. |
| Provisioning basato su risorse umane | L'integrazione del provisioning dell'account Microsoft Entra all'interno di risorse umane (HR) riduce il rischio di un accesso eccessivo e l'accesso non più necessario. Il sistema HR diventa origine di autorità per gli account appena creati, estendendo le funzionalità al deprovisioning degli account. L'automazione gestisce il ciclo di vita delle identità e riduce il rischio di over-provisioning. Questo approccio segue la procedura consigliata per la sicurezza per fornire l'accesso con privilegi minimi. |
| Creare flussi di lavoro del ciclo di vita | I flussi di lavoro del ciclo di vita forniscono la governance delle identità per automatizzare il ciclo di vita joiner/mover/leaver (JML). I flussi di lavoro del ciclo di vita centralizzano il processo del flusso di lavoro usando i modelli predefiniti o creando flussi di lavoro personalizzati. Questa procedura consente di ridurre o potenzialmente rimuovere task manuali per i requisiti di strategia JML dell'organizzazione. Nel portale di Azure passare a Identity Governance nel menu Microsoft Entra per esaminare o configurare le attività che rientrano nei requisiti dell'organizzazione. |
| Gestire le identità con privilegi | Microsoft Entra Privileged Identity Management (PIM) abilita la gestione, l’accesso e la capacità di monitorare l'accesso. È possibile fornire l'accesso quando necessario, in base a un'attivazione del ruolo basata sul tempo e sull'approvazione. Questo approccio limita i rischi correlati ad autorizzazioni di accesso eccessive, non necessarie o usate in modo improprio. |
| Monitoraggio e avvisi |
Microsoft Entra ID Protection offre una visualizzazione consolidata degli eventi rischiosi e delle potenziali vulnerabilità che potrebbero interessare le identità di un'organizzazione. L'abilitazione della protezione applica le funzionalità di rilevamento anomalie di Microsoft Entra esistenti e introduce i tipi di eventi di rischio che rilevano anomalie in tempo reale. Tramite l'interfaccia di amministrazione di Microsoft Entra è possibile accedere, controllare ed esaminare i log di provisioning. I log possono essere scaricati, archiviati e trasmessi allo strumento Security Information and Event Management (SIEM). I log di Microsoft Entra possono trovarsi nella sezione di monitoraggio del menu Microsoft Entra. I log possono anche essere inviati a Monitoraggio di Azure usando un'area di lavoro Log Analytics di Azure in cui è possibile configurare gli avvisi sui dati connessi. Microsoft Entra ID identifica in modo univoco gli utenti tramite la proprietà ID nel rispettivo oggetto directory. Questo approccio consente di filtrare le identità specifiche nei file di log. |
Controllo di accesso autorizzato
La tabella seguente include indicazioni HIPAA per le misure di sicurezza del controllo di accesso per il controllo di accesso autorizzato. Cercare consigli di Microsoft per soddisfare i requisiti dell’implementazione delle misure di sicurezza.
Misura di sicurezza HIPAA - Controllo di accesso autorizzato
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
| Elemento consigliato | Azione |
|---|---|
| Abilitare la Multi-Factor Authentication (MFA) | L’MFA in Microsoft Entra ID protegge le identità aggiungendo un altro livello di sicurezza. L'autenticazione a più livelli è efficace per impedire l'accesso non autorizzato. L'uso di un approccio MFA consente di richiedere una maggiore convalida delle credenziali di accesso durante il processo di autenticazione. Ad esempio, la configurazione dell'app Authenticator per la verifica con un solo clic o l'abilitazione dell'autenticazione senza password. |
| Abilitare i criteri di accesso condizionale | I criteri di accesso condizionale consentono alle organizzazioni di limitare l'accesso alle applicazioni approvate. Microsoft Entra analizza segnali quali l'utente, il dispositivo e la posizione per automatizzare le decisioni e applicare i criteri organizzativi per accedere a risorse e dati. |
| Abilitare il controllo degli accessi in base al ruolo (RBAC) | Il controllo degli accessi in base al ruolo fornisce sicurezza a livello enterprise con il concetto di separazione dei compiti. Il controllo degli accessi in base al ruolo consente di modificare ed esaminare le autorizzazioni per proteggere la riservatezza, la privacy e la gestione degli accessi alle risorse e ai dati sensibili insieme ai sistemi. Microsoft Entra ID fornisce il supporto per i ruoli predefiniti, ovvero un set fisso di autorizzazioni che non modificabili. È anche possibile creare ruoli personalizzati in cui si può aggiungere un elenco preimpostato. |
| Abilitare il controllo di accesso basato su attributi (ABAC) | Il controllo degli accessi in base agli attributi definisce l'accesso in base agli attributi associati a principi di sicurezza, risorse e ambiente. Fornisce un controllo di accesso granulare e riduce il numero di assegnazioni di ruolo. L'uso del controllo degli accessi in base agli attributi può essere limitato al contenuto all'interno dell'archiviazione di Azure dedicata. |
| Configurare l'accesso ai gruppi utenti in SharePoint | I gruppi di SharePoint sono una raccolta di utenti. Le autorizzazioni hanno come ambito il livello di raccolta siti per l'accesso al contenuto. L'applicazione di questo vincolo può essere compresa nell'ambito degli account del servizio che richiedono l'accesso al flusso di dati tra le applicazioni. |
Procedura di accesso di emergenza
La tabella seguente include misure di sicurezza per il controllo di accesso per le procedure di accesso di emergenza. Cercare consigli di Microsoft per soddisfare i requisiti dell’implementazione delle misure di sicurezza.
Misura di sicurezza HIPAA - Procedura di accesso di emergenza
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
| Elemento consigliato | Azione |
|---|---|
| Usare i servizi di ripristino di Azure | I Backup di Azure forniscono il supporto necessario per eseguire il backup di dati vitali e sensibili. La copertura include archiviazione/database e infrastruttura cloud, insieme ai dispositivi Windows locali nel cloud. Stabilire i criteri di backup per risolvere i rischi del processo di backup e recupero. Assicurarsi che i dati vengano archiviati in modo sicuro e che possano essere recuperati con tempo inattivo minimo.
Azure Site Recovery offre una replica dei dati quasi costante per garantire che le copie di siano sincronizzate. I passaggi iniziali prima della configurazione del servizio servono per determinare l'obiettivo del punto di ripristino (RPO) e l'obiettivo del tempo di ripristino (RTO) per supportare i requisiti dell'organizzazione. |
| Garantire la resilienza | La resilienza consente di mantenere i livelli di servizio in caso di interruzione delle operazioni aziendali e dei servizi IT di base. La funzionalità si estende a servizi, dati, Microsoft Entra ID e considerazioni su Active Directory. La determinazione di un piano di resilienza strategico per includere i sistemi e i dati che si basano su ambienti Microsoft Entra e ibridi. La resilienza di Microsoft 365 che copre i servizi di base, tra cui Exchange, SharePoint e OneDrive, per proteggersi dal danneggiamento dei dati e applicare punti dati di resilienza per proteggere il contenuto ePHI. |
| Creare account di emergenza | La creazione di un account di emergenza garantisce che l'accesso a sistemi e servizi sia ancora disponibile in circostanze impreviste, ad esempio errori di rete o altri motivi per la perdita dell’accesso amministrativo. È consigliabile non associare questo account a un singolo utente o account. |
Sicurezza della workstation - Disconnessione automatica
La tabella seguente contiene indicazioni HIPAA sulla misura di sicurezza della disconnessione automatica. Cercare consigli di Microsoft per soddisfare i requisiti dell’implementazione delle misure di sicurezza.
Misure di sicurezza HIPAA - Disconnessione automatica
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
| Elemento consigliato | Azione |
|---|---|
| Creare criteri di gruppo | Il supporto per i dispositivi non migrati a Microsoft Entra ID e gestito da Intune, Criteri di gruppo (GPO) può applicare la disconnessione il tempo della schermata di blocco per i dispositivi in ambienti AD o ibridi. |
| Valutare i requisiti di gestione dei dispositivi | Microsoft Intune offre la gestione di dispositivi mobili (MDM) e Mobile Application Management (MAM). Fornisce il controllo sui dispositivi aziendali e personali. È possibile gestire l'utilizzo dei dispositivi e applicare criteri per controllare le applicazioni per dispositivi mobili. |
| Criteri di accesso condizionale dei dispositivi | Implementare il blocco del dispositivo usando un criterio di accesso condizionale per limitare l'accesso ai dispositivi conformi o ibridi aggiunti a Microsoft Entra. Configurare le impostazioni dei criteri. Per dispositivi non gestiti, configurare l’impostazione Frequenza di accesso per forzare la riautenticazione degli utenti. |
| Configurare il timeout della sessione per Microsoft 365 | Esaminare i timeout della sessione per le applicazioni e i servizi di Microsoft 365 per modificare eventuali timeout prolungati. |
| Configurare il timeout della sessione per il portale di Azure | Esaminare i timeout della sessione per le sessioni del portale di Azure implementando un timeout a causa dell'inattività che consente di proteggere le risorse da accessi non autorizzati. |
| Esaminare le sessioni di accesso alle applicazioni | I criteri di valutazione continua dell'accesso possono negare o concedere l'accesso alle applicazioni. Se l'accesso ha esito positivo, all'utente viene assegnato un token di accesso valido per un'ora (1). Una volta scaduto il token di accesso, il client viene reindirizzato a Microsoft Entra ID, le condizioni vengono rivalutate e il token viene aggiornato per un'altra ora. |