Raccomandazioni sulla configurazione di Microsoft Entra per i controlli HITRUST
Le linee guida di questo articolo consentono di esplorare i dettagli e fornisce consigli su servizi e funzionalità in Microsoft Entra ID per supportare l'allineamento con i controlli HITRUST. Usare le informazioni per comprendere il framework HEALTH Information Trust Alliance (HITRUST) e supportare la responsabilità dell'organizzazione di garantire che l'organizzazione sia conforme al Health Insurance Portability and Accountability Act del 1996 (HIPAA). Le valutazioni implicano l'uso di valutatori HITRUST certificati che sono esperti del framework e sono tenuti a guidare l'utente attraverso il processo e comprendere i requisiti.
Acronimi
Nella tabella seguente sono elencati gli acronimi e la relativa ortografia in questo articolo.
| Acronimo | Ortografia |
|---|---|
| CE | Entità coperta |
| CSF | Common Security Framework |
| HIPAA | Health Insurance Portability and Accountability Act del 1996 |
| HSR | Regola di sicurezza HIPAA |
| HITRUST | Health Information Trust Alliance |
| IAM | Gestione delle identità e dell'accesso |
| Metadati | Provider di identità |
| ISO | Organizzazione internazionale per la standardizzazione |
| ISMS | Sistema di gestione della sicurezza delle informazioni |
| JEA | Accesso sufficiente |
| JML | Partecipa, sposta, lascia |
| MFA | Autenticazione a più fattori Microsoft Entra |
| NIST | National Institute of Standards and Technology, US Dept. of Commerce |
| Informazioni sanitarie protette | Informazioni sull'integrità protette |
| PIM | Privileged Identity Management |
| SSO | Single Sign-On |
| Punto di accesso terminale | Pass di accesso temporaneo |
Health Information Trust Alliance
L'organizzazione HITRUST ha stabilito Common Security Framework (CSF) per standardizzare e semplificare i requisiti di sicurezza e privacy per le organizzazioni nel settore sanitario. HITRUST CSF è stata fondata nel 2007 per affrontare i complessi problemi normativi, problemi di sicurezza e privacy che le organizzazioni devono affrontare durante la gestione dei dati personali e dei dati sanitari protetti (PHI). Il CSF è costituito da 14 categorie di controllo che comprendono 49 obiettivi di controllo e 156 specifiche di controllo. È stato costruito sui principi principali dell'Organizzazione internazionale per la standardizzazione (ISO) 27001 e ISO 27002.
Lo strumento HITRUST MyCSF è disponibile in Azure Marketplace. Usarlo per gestire i rischi per la sicurezza delle informazioni, la governance dei dati, per rispettare le normative sulla protezione delle informazioni, rispettare anche gli standard nazionali e internazionali e le procedure consigliate.
Nota
ISO 27001 è uno standard di gestione che specifica i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS). ISO 27002 è un set di procedure consigliate per selezionare e implementare controlli di sicurezza nel framework ISO 27001.
Regola di sicurezza HIPAA
La regola di sicurezza HIPAA (HSR) stabilisce gli standard per proteggere le informazioni sanitarie personali elettroniche di un individuo create, ricevute, usate o gestite da un'entità coperta (CE), che è un piano sanitario, un servizio di cancellazione dell'assistenza sanitaria o un provider di assistenza sanitaria. Il Dipartimento della Salute e dei Servizi Umani (HHS) degli Stati Uniti gestisce l'HSR. HHS richiede misure di sicurezza amministrative, fisiche e tecniche per garantire la riservatezza, l'integrità e la sicurezza del PHI elettronico.
HITRUST e HIPAA
HITRUST ha sviluppato il CSF, che include standard di sicurezza e privacy per supportare le normative sanitarie. I controlli e le procedure consigliate CSF semplificano il compito di consolidare le fonti per garantire la conformità alle normative federali, alla sicurezza HIPAA e alle norme sulla privacy. HISTRUST CSF è un framework di sicurezza e privacy certificabile con controlli e requisiti per dimostrare la conformità HIPAA. Le organizzazioni sanitarie hanno ampiamente adottato il framework. Usare la tabella seguente per informazioni sui controlli.
| Categoria di controllo | Nome della categoria di controllo |
|---|---|
| 0 | Programma di gestione della sicurezza delle informazioni |
| 1 | Controllo dell’accesso |
| 2 | Sicurezza delle risorse umane |
| 3 | Gestione dei rischi |
| 4 | Criteri di sicurezza |
| 5 | Organizzazione della sicurezza delle informazioni |
| 6 | Conformità |
| 7 | Gestione cespiti |
| 8 | Sicurezza fisica e ambientale |
| 9 | Gestione delle comunicazioni e delle operazioni |
| 10 | Acquisizione, sviluppo e manutenzione dei sistemi informativi |
| 11 | Gestione degli eventi imprevisti di sicurezza delle informazioni |
| 12 | Gestione della continuità aziendale |
| 13 | Privacy |
Altre informazioni sulla piattaforma Microsoft Azure sono certificati HITRUST CSF, che includono la gestione delle identità e degli accessi:
- MICROSOFT Entra ID, noto in precedenza come Azure Active Directory
- Rights Management con Microsoft Purview
- Autenticazione a più fattori Microsoft Entra (MFA)
Categorie e raccomandazioni per il controllo di accesso
La tabella seguente include la categoria di controllo di accesso per la gestione delle identità e degli accessi (IAM) e le raccomandazioni di Microsoft Entra per soddisfare i requisiti della categoria di controllo. I dettagli provengono da HITRUST MyCSF v11, che fa riferimento alla regola di sicurezza HIPAA, aggiunta al controllo corrispondente.
| Controllo HITRUST, obiettivo e HSR | Indicazioni e consigli per Microsoft Entra |
|---|---|
| Controllo CSF V11 01.b Registrazione utente Categoria di controllo Controllo di accesso - Registrazione utente e de-registrazione Specifica del controllo L'organizzazione usa un processo formale di registrazione e annullamento della registrazione degli utenti per abilitare l'assegnazione dei diritti di accesso. Nome obiettivo Accesso autorizzato ai sistemi informativi Regola di sicurezza HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID è una piattaforma di identità per la verifica, l'autenticazione e la gestione delle credenziali quando un'identità accede al dispositivo, all'applicazione o al server. Si tratta di un servizio di gestione delle identità e degli accessi basato sul cloud con Single Sign-On (SSO), MFA e Accesso condizionale per proteggersi dagli attacchi alla sicurezza. L'autenticazione garantisce che solo le identità autorizzate ottengano l'accesso alle risorse e ai dati. I flussi di lavoro del ciclo di vita consentono a Identity Governance di automatizzare il ciclo di vita di join, mover, leaver (JML). Centralizza il processo del flusso di lavoro usando i modelli predefiniti o i flussi di lavoro personalizzati. Questa pratica consente di ridurre o potenzialmente rimuovere attività manuali per i requisiti di strategia JML dell'organizzazione. Nel portale di Azure passare a Identity Governance nel menu Microsoft Entra ID per esaminare o configurare le attività per i requisiti dell'organizzazione. Microsoft Entra Connessione integra le directory locali con Microsoft Entra ID, supportando l'uso di identità singole per accedere alle applicazioni locali e ai servizi cloud, ad esempio Microsoft 365. Orchestra la sincronizzazione tra Active Directory (AD) e Microsoft Entra ID. Per iniziare a usare Microsoft Entra Connessione, esaminare i prerequisiti. Prendere nota dei requisiti del server e come preparare il tenant di Microsoft Entra per la gestione. Microsoft Entra Connessione Sync è un agente di provisioning gestito nel cloud, che supporta la sincronizzazione con Microsoft Entra ID da un ambiente AD disconnesso da più foreste. Usare gli agenti leggeri con Microsoft Entra Connessione. È consigliabile sincronizzare l'hash delle password per ridurre il numero di password e proteggersi dal rilevamento delle credenziali perse. |
| Controllo CSF V11 Gestione dei privilegi 01.c Categoria di controllo Controllo di accesso - Account con privilegi Specifica del controllo L'organizzazione garantisce che gli account utente autorizzati vengano registrati, monitorati e convalidati periodicamente per impedire l'accesso non autorizzato ai sistemi informativi Nome obiettivo Accesso autorizzato ai sistemi informativi Regola di sicurezza HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) è un servizio in Microsoft Entra ID per gestire, controllare e monitorare l'accesso a risorse importanti in un'organizzazione. Riduce al minimo il numero di persone con accesso alle informazioni sicure per impedire agli attori malintenzionati di ottenere l'accesso. PIM ha tempo e accesso basato sull'approvazione, per attenuare i rischi di autorizzazioni di accesso eccessive, non necessarie o improprie. Consente di identificare e analizzare gli account con privilegi per garantire l'accesso sufficiente (JEA) per consentire a un utente di svolgere il proprio ruolo. Il monitoraggio e la generazione di avvisi impediscono attività sospette, elencando gli utenti e i ruoli che attivano l'avviso, riducendo al contempo il rischio di accesso non autorizzato. Personalizzare gli avvisi per la strategia di sicurezza dell'organizzazione. Le verifiche di accesso consentono alle organizzazioni di gestire in modo efficiente le assegnazioni di ruolo e l'appartenenza ai gruppi. Mantenere la sicurezza e la conformità valutando quali account hanno accesso e assicurarsi che l'accesso venga revocato quando necessario, riducendo al minimo i rischi derivanti da autorizzazioni eccessive o obsolete. |
| Controllo CSF V11 0.1d Gestione password utente Categoria di controllo Controllo di accesso - Procedure Specifica del controllo Per assicurarsi che gli account utente autorizzati siano registrati, monitorati e convalidati periodicamente per impedire l'accesso non autorizzato ai sistemi informativi. Nome obiettivo Accesso autorizzato ai sistemi informativi Regola di sicurezza HIPAA §164.308(a)(5)(ii)(D) |
La gestione delle password è un aspetto fondamentale dell'infrastruttura di sicurezza. Allinearsi alle procedure consigliate per creare un comportamento di sicurezza affidabile, Microsoft Entra ID consente di semplificare con un supporto strategico completo: SSO e MFA anche autenticazione senza password, ad esempio chiavi di sicurezza FIDO2 e Windows Hello for Business (WHfB) ridurre il rischio utente e semplificare l'esperienza di autenticazione utente. Microsoft Entra Password Protection rileva e blocca le password vulnerabili note. Incorpora i criteri password e offre la flessibilità necessaria per definire un elenco di password personalizzato e creare una strategia di gestione delle password per proteggere l'uso delle password. I requisiti di lunghezza e complessità delle password HITRUST sono allineati al National Institute of Standards and Technology NIST 800-63B, che include almeno otto caratteri per una password o 15 caratteri per gli account con l'accesso con privilegi più elevati. Le misure di complessità includono almeno un numero e/o un carattere speciale e almeno una lettera maiuscola e minuscola per gli account con privilegi. |
| Controllo CSF V11 01.p Procedure di accesso sicuro Categoria di controllo Controllo di accesso - Accesso sicuro Specifica del controllo L'organizzazione controlla l'accesso agli asset di informazioni usando una procedura di accesso sicura. Nome obiettivo Controllo di accesso del sistema operativo Regola di sicurezza HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
L'accesso sicuro è il processo per autenticare un'identità in modo sicuro quando tentano di accedere a un sistema. Il controllo è incentrato sul sistema operativo, i servizi Microsoft Entra aiutano a rafforzare l'accesso sicuro. I criteri di accesso condizionale consentono alle organizzazioni di limitare l'accesso alle applicazioni, alle risorse approvate e assicurarsi che i dispositivi siano sicuri. Microsoft Entra ID analizza i segnali dei criteri di accesso condizionale dall'identità, dalla posizione o dal dispositivo per automatizzare la decisione e applicare i criteri dell'organizzazione per l'accesso alle risorse e ai dati. Il controllo degli accessi in base al ruolo consente di gestire l'accesso e le risorse gestite nell'organizzazione. Il controllo degli accessi in base al ruolo consente di implementare il principio dei privilegi minimi, assicurando agli utenti le autorizzazioni necessarie per eseguire le proprie attività. Questa azione riduce al minimo il rischio di errori di configurazione accidentali o intenzionali. Come indicato per il controllo 0.1d User Password Management, l'autenticazione senza password usa la biometria perché è difficile da forgiare, fornendo così un'autenticazione più sicura. |
| Controllo CSF V11 01.q Identificazione utente e autenticazione Categoria di controllo N/D Specifica del controllo Tutti gli utenti devono avere un identificatore univoco (ID utente) solo per l'uso personale e una tecnica di autenticazione deve essere implementata per insodporre l'identità richiesta di un utente. Nome obiettivo N/D Regola di sicurezza HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Usare il provisioning degli account in Microsoft Entra ID per creare, aggiornare e gestire gli account utente. A ogni utente e oggetto viene assegnato un identificatore univoco (UID) denominato ID oggetto. L'UID è un identificatore univoco globale generato automaticamente quando viene creato un utente o un oggetto. Microsoft Entra ID supporta il provisioning utenti automatizzato per sistemi e applicazioni. Il provisioning automatizzato crea nuovi account nei sistemi corretti quando gli utenti si uniscono a un team di un'organizzazione. Il deprovisioning automatizzato disattiva gli account quando gli utenti lasciano. |
| Controllo CSF V11 01.u Limitazione del tempo di Connessione Categoria di controllo Controllo di accesso - Accesso sicuro Specifica del controllo L'organizzazione controlla l'accesso agli asset di informazioni usando una procedura di accesso sicura. Nome obiettivo Controllo di accesso del sistema operativo Regola di sicurezza HIPAA § 164.312(a)(2)(iii) |
Il controllo è incentrato sul sistema operativo, i servizi Microsoft Entra aiutano a rafforzare l'accesso sicuro. L'accesso sicuro è il processo per autenticare un'identità in modo sicuro quando tentano di accedere a un sistema. Microsoft Entra autentica gli utenti e dispone di funzionalità di sicurezza con informazioni sull'utente e sulla risorsa. Le informazioni includono il token di accesso, il token di aggiornamento e il token ID. Configurare in base ai requisiti dell'organizzazione per l'accesso alle applicazioni. Usare queste linee guida principalmente per i client per dispositivi mobili e desktop. I criteri di accesso condizionale supportano le impostazioni di configurazione per la restrizione del Web browser delle sessioni autenticate. Microsoft Entra ID include integrazioni tra sistemi operativi, per offrire un'esperienza utente migliore e il supporto per i metodi di autenticazione senza password elencati: Platform SSO for macOS estende le funzionalità SSO per macOS. Gli utenti accedono a un Mac usando credenziali senza password o la gestione delle password convalidata dall'ID Microsoft Entra. L'esperienza senza password di Windows promuove un'esperienza di autenticazione senza password nei dispositivi aggiunti a Microsoft Entra. L'uso dell'autenticazione senza password riduce le vulnerabilità e i rischi associati all'autenticazione tradizionale basata su password, ad esempio attacchi di phishing, riutilizzo delle password e intercettazione del logger di chiavi delle password. L'accesso Web per Windows è un provider di credenziali che espande le funzionalità di accesso Web in Windows 11, che copre Windows Hello for Business, il pass di accesso temporaneo (TAP) e le identità federate. Desktop virtuale Azure supporta l'autenticazione SSO e senza password. Con l'accesso Single Sign-On, è possibile usare l'autenticazione senza password e i provider di identità di terze parti che si federate con Microsoft Entra ID per accedere alle risorse di Desktop virtuale Azure. Ha un'esperienza SSO durante l'autenticazione all'host della sessione. Configura la sessione per fornire l'accesso SSO alle risorse di Microsoft Entra nella sessione. |
Passaggi successivi
Configurare le misure di sicurezza per il controllo di accesso HIPAA di Microsoft Entra