Azure Local 및 HIPAA
적용 대상: Azure Local 2311.2 이상
이 문서에서는 조직이 Azure Local을 사용하여 빌드된 솔루션에 대해 HIPAA 규정 준수를 가장 효율적으로 탐색하는 방법에 대한 지침을 제공합니다.
의료 규정 준수
1996년 HIPAA(건강 보험 이식성 및 책임법) 및 HITECH(Health Information Technology for Economic and Clinical Health) 및 HITRUST(Health Information Trust Alliance )와 같은 의료 표준은 환자의 보호된 건강 정보(PHI)의 기밀성, 무결성 및 가용성을 보호합니다. 이러한 규정 및 표준은 의사 사무실, 병원 및 건강 보험 회사("적용 대상 법인")와 같은 의료 조직이 PHI를 적절하게 생성, 수신, 유지 관리, 전송 또는 액세스하도록 보장합니다. 또한 해당 요구 사항은 적용된 엔터티에 대한 PHI를 포함하는 서비스를 제공하는 비즈니스 동료로 확장됩니다. Microsoft는 의료 회사가 PHI를 보다 효율적이고 안전하게 저장하고 처리할 수 있도록 Azure Local과 같은 정보 기술 서비스를 제공하는 비즈니스 동료의 예입니다. 다음 섹션에서는 Azure 로컬 기능이 조직이 이러한 요구 사항을 충족하는 데 어떻게 도움이 되는지에 대한 정보를 제공합니다.
분산된 책임
Microsoft 고객
HIPAA 법률의 적용을 받는 대상 기관인 의료 기관은 고유한 기술 환경과 사용 사례를 독립적으로 분석한 다음 규정의 요구 사항을 준수하는 정책 및 절차를 계획하고 구현합니다. 적용 대상 엔터티는 기술 솔루션의 규정 준수를 보장할 책임이 있습니다. 이 문서의 지침 및 Microsoft에서 제공하는 기타 리소스를 참조로 사용할 수 있습니다.
Microsoft
HIPAA 규정에 따라 비즈니스 동료는 HIPAA 규정 준수를 보장하지 않고 대신 적용 대상 엔터티와 BAA(비즈니스 협력 계약)를 체결합니다. Microsoft는 범위 내 Azure 서비스에서 사용하기 위해 HIPAA에 따라 적용되는 엔터티 또는 비즈니스 동료인 모든 고객에게 Microsoft 제품 약관(이전의 온라인 서비스 약관)의 일부로 HIPAA BAA를 제공합니다.
Azure 로컬 규정 준수 제품
Azure Local은 Azure 클라우드와 온-프레미스 데이터 센터 모두에서 가상화된 워크로드를 호스트하고 저장하는 하이브리드 솔루션입니다. 즉, HIPAA 요구 사항은 클라우드와 로컬 데이터 센터 모두에서 충족되어야 합니다.
Azure 클라우드 서비스
HIPAA 법률은 의료 회사를 위해 설계되었으므로 Microsoft Azure와 같은 클라우드 서비스를 인증할 수 없습니다. 그러나 Azure 및 Azure 로컬 연결된 클라우드 서비스는 HIPAA 및 HITECH와 동일하거나 더 엄격한 다른 설정된 보안 프레임워크 및 표준을 준수합니다. Azure 및 HIPAA의 의료 산업용 Azure 규정 준수 프로그램에 대해 자세히 알아봅니다.
온-프레미스 환경
하이브리드 솔루션인 Azure Local은 Azure 클라우드 서비스를 운영 체제 및 고객 조직에서 온-프레미스에서 호스트하는 인프라와 결합합니다. Microsoft는 조직이 클라우드 및 온-프레미스 환경에서 HIPAA 및 기타 의료 산업 표준을 준수하는 데 도움이 되는 다양한 기능을 제공합니다.
HIPAA 보안 규칙과 관련된 Azure 로컬 기능
이 섹션에서는 Azure Local의 기능이 다음 5개의 컨트롤 도메인으로 구성된 HIPAA 보안 규칙의 보안 제어 목표를 달성하는 데 어떻게 도움이 되는지 간략하게 설명합니다.
Important
다음 섹션에서는 플랫폼 계층에 초점을 맞춘 지침을 제공합니다. 특정 워크로드 및 애플리케이션 계층에 대한 정보는 범위를 벗어나옵니다.
ID 및 액세스 관리
Azure Local은 Azure Arc 및 Windows PowerShell과 같은 여러 인터페이스를 통해 기본 시스템에 대한 전체 및 직접 액세스를 제공합니다. 로컬 환경에서 기존 Windows 도구 또는 Microsoft Entra ID(이전의 Azure Active Directory)와 같은 클라우드 기반 솔루션을 사용하여 ID 및 플랫폼에 대한 액세스를 관리할 수 있습니다. 두 경우 모두 MFA(다단계 인증), 조건부 액세스, RBAC(역할 기반 액세스 제어) 및 PIM(권한 있는 ID 관리)과 같은 기본 제공 보안 기능을 활용하여 환경이 안전하고 규정을 준수하도록 할 수 있습니다.
Microsoft Identity Manager 및 Active Directory 도메인 Services용 Privileged Access Management에서 로컬 ID 및 액세스 관리에 대해 자세히 알아봅니다. Microsoft Entra ID에서 클라우드 기반 ID 및 액세스 관리에 대해 자세히 알아봅니다.
데이터 보호
BitLocker를 사용하여 데이터 암호화
Azure 로컬 인스턴스에서 모든 미사용 데이터는 BitLocker XTS-AES 256비트 암호화를 통해 암호화할 수 있습니다. 기본적으로 시스템에서는 BitLocker를 사용하여 Azure 로컬 배포의 모든 OS(운영 체제) 볼륨 및 CSV(클러스터 공유 볼륨)를 암호화하는 것이 좋습니다. 배포 후 추가된 새 스토리지 볼륨의 경우 BitLocker가 새 스토리지 볼륨을 암호화하도록 수동으로 설정해야 합니다. BitLocker를 사용하여 데이터를 보호하면 조직이 ISO/IEC 27001을 준수하는 데 도움이 될 수 있습니다. CSV(클러스터 공유 볼륨)와 함께 BitLocker 사용에 대해 자세히 알아보세요.
TLS/DTLS를 사용하여 외부 네트워크 트래픽 보호
기본적으로 로컬 및 원격 엔드포인트에 대한 모든 호스트 통신은 TLS1.2, TLS1.3 및 DTLS 1.2를 사용하여 암호화됩니다. 플랫폼은 TLS/DTLS 1.1 SMB1과 같은 이전 프로토콜/해시 사용을 사용하지 않도록 설정합니다. 또한 Azure Local은 NIST 곡선 P-256 및 P-384로만 제한되는 SDL 규격 타원 곡선과 같은 강력한 암호 그룹을 지원합니다.
SMB(서버 메시지 블록)를 사용하여 내부 네트워크 트래픽 보호
SMB 서명은 기본적으로 Azure 로컬 인스턴스의 클라이언트 연결에 사용하도록 설정됩니다. 클러스터 내 트래픽의 경우 SMB 암호화는 배포 중 또는 배포 후에 조직에서 시스템 간 전송 중인 데이터를 보호하기 위해 사용할 수 있는 옵션입니다. AES-256-GCM 및 AES-256-CCM 암호화 제품군은 이제 클라이언트-서버 파일 트래픽 및 클러스터 내 데이터 패브릭에서 사용하는 SMB 3.1.1 프로토콜에서 지원됩니다. 이 프로토콜은 보다 광범위하게 호환되는 ES-128 제품군도 계속 지원합니다. SMB 보안 향상에 대해 자세히 알아보세요.
로깅 및 모니터링
로컬 시스템 로그
기본적으로 Azure Local 내에서 수행되는 모든 작업은 기록되므로 플랫폼에서 누가 무엇을, 언제, 어디서 수행했는지 추적할 수 있습니다. Windows Defender에서 만든 로그 및 경고도 포함되어 데이터 손상의 가능성과 영향을 방지, 감지 및 최소화할 수 있습니다. 시스템 로그에는 정보 보안 모니터링과 관련이 없는 많은 양의 정보가 포함되어 있으므로 보안 모니터링을 위해 수집 및 활용되어야 하는 이벤트를 식별해야 합니다. Azure 모니터링 기능은 해당 로그를 수집, 저장, 경고 및 분석하는 데 도움이 됩니다. 자세한 내용은 Azure Local의 보안 기준을 참조하세요.
로컬 활동 로그
Azure Local은 실행된 모든 작업 계획에 대한 활동 로그를 만들고 저장합니다. 이러한 로그는 심층 조사 및 규정 준수 모니터링을 지원합니다.
클라우드 활동 로그
Azure에 클러스터를 등록하면 Azure Monitor 활동 로그를 사용하여 구독 계층의 각 리소스에 대한 작업을 기록하여 구독의 리소스에 대해 수행된 쓰기 작업(배치, 게시 또는 삭제)에 대해 수행할 대상, 대상 및 시기를 결정할 수 있습니다.
클라우드 ID 로그
Microsoft Entra ID를 사용하여 플랫폼에 대한 ID 및 액세스를 관리하는 경우 Azure AD 보고에서 로그를 보거나 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있습니다. 온-프레미스 Active Directory 사용하는 경우 Microsoft Defender for Identity 솔루션을 사용하여 온-프레미스 Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 조직을 대상으로 하는 악의적인 내부자 작업을 식별, 감지 및 조사합니다.
SIEM 통합
클라우드용 Microsoft Defender 및 Microsoft Sentinel은 기본적으로 Arc 지원 Azure 로컬 머신과 통합됩니다. 로그를 사용하도록 설정하고 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 기능을 제공하는 Microsoft Sentinel에 등록할 수 있습니다. Microsoft Sentinel은 다른 Azure 클라우드 서비스와 마찬가지로 HIPAA 및 HITRUST와 같은 많은 잘 설정된 보안 표준을 준수하므로 인증 프로세스에 도움이 될 수 있습니다. 또한 Azure Local은 시스템 이벤트를 타사 SIEM 솔루션으로 보내는 네이티브 syslog 이벤트 전달자를 제공합니다.
Azure Local Insights
Azure Local Insights를 사용하면 Azure에 연결되고 모니터링에 등록된 시스템의 상태, 성능 및 사용량 정보를 모니터링할 수 있습니다. Insights 구성 중에 수집할 데이터를 지정하는 데이터 수집 규칙이 만들어집니다. 이 데이터는 Log Analytics 작업 영역에 저장되며, Azure 통합 문서를 사용하여 미리 빌드된 모니터링 대시보드를 제공하기 위해 집계, 필터링 및 분석됩니다. Azure 로컬 리소스 페이지 또는 Azure Monitor에서 단일 노드 또는 다중 노드 시스템에 대한 모니터링 데이터를 볼 수 있습니다. Insights를 사용하여 Azure Local 모니터링에서 자세히 알아보세요.
Azure 로컬 메트릭
메트릭은 모니터링되는 리소스의 숫자 데이터를 시계열 데이터베이스에 저장합니다. Azure Monitor 메트릭 탐색기를 사용하여 메트릭 데이터베이스의 데이터를 대화형으로 분석하고 시간이 지남에 따라 여러 메트릭의 값을 차트로 표시할 수 있습니다. 메트릭을 사용하면 메트릭 값에서 차트를 만들고 추세를 시각적으로 상호 연결할 수 있습니다.
로그 경고:
문제를 실시간으로 나타내기 위해 평균 서버 CPU, 사용 가능한 메모리, 사용 가능한 볼륨 용량 등과 같은 기존 샘플 로그 쿼리를 사용하여 Azure 로컬 시스템에 대한 경고를 설정할 수 있습니다. Azure 로컬 시스템에 대한 경고 설정에 대해 자세히 알아봅니다.
메트릭 경고
메트릭 경고 규칙은 정기적으로 리소스 메트릭의 조건을 평가하여 리소스를 모니터링합니다. 조건이 충족되면 경고가 발생합니다. 메트릭 시계열은 일정 기간 동안 캡처된 일련의 메트릭 값입니다. 이러한 메트릭을 사용하여 경고 규칙을 만들 수 있습니다. 메트릭 경고에서 메트릭 경고를 만드는 방법에 대해 자세히 알아봅니다.
서비스 및 디바이스 경고
Azure Local은 연결, OS 업데이트, Azure 구성 등에 대한 서비스 기반 경고를 제공합니다. 클러스터 상태 오류에 대한 디바이스 기반 경고도 사용할 수 있습니다. PowerShell 또는 상태 관리 서비스 사용하여 Azure 로컬 인스턴스 및 해당 기본 구성 요소를 모니터링할 수도 있습니다.
맬웨어 방지
Windows Defender 바이러스 백신
Windows Defender 바이러스 백신은 실시간 시스템 검사 및 주기적 검사를 적용하여 바이러스, 맬웨어, 스파이웨어 및 기타 위협으로부터 플랫폼 및 워크로드를 보호할 수 있는 유틸리티 애플리케이션입니다. 기본적으로 Microsoft Defender 바이러스 백신 Azure Local에서 사용하도록 설정됩니다. 타사 바이러스 백신 및 맬웨어 검색 소프트웨어 및 서비스가 운영 체제의 업데이트 수신 기능에 영향을 미칠 수 있으므로 Azure Local에서 Microsoft Defender 바이러스 백신 사용하는 것이 좋습니다. Windows Server의 Microsoft Defender 바이러스 백신 자세히 알아보세요.
애플리케이션 제어
애플리케이션 제어는 기본적으로 Azure Local에서 사용하도록 설정되어 각 서버에서 직접 실행할 수 있는 드라이버 및 애플리케이션을 제어하여 맬웨어가 시스템에 액세스하지 못하도록 합니다. Azure Local에 포함된 기본 정책 및 Azure 로컬대한 애플리케이션 제어 관리
Microsoft Defender for Cloud
Endpoint Protection을 사용하는 클라우드용 Microsoft Defender(서버용 Defender 계획을 통해 사용) 고급 위협 방지 기능을 갖춘 보안 상태 관리 솔루션을 제공합니다. 인프라의 보안 상태를 평가하고, 워크로드를 보호하고, 보안 경고를 발생시키고, 특정 권장 사항을 따라 공격을 수정하고 향후 위협을 해결하는 도구를 제공합니다. Azure 서비스를 통한 자동 프로비전 및 보호를 통해 배포 오버헤드 없이 클라우드에서 이러한 모든 서비스를 고속으로 수행합니다. 클라우드용 Microsoft Defender 자세히 알아보세요.
Backup 및 복구
확장된 클러스터
Azure Local은 확장된 클러스터링을 통해 가상화된 워크로드의 재해 복구를 기본적으로 지원합니다(Azure Local 버전 22H2에서 사용 가능). 확장된 Azure 로컬 인스턴스를 배포하여 두 개의 개별 온-프레미스 위치에 가상화된 워크로드를 동기적으로 복제하고 해당 워크로드 간에 자동으로 장애 조치(failover)할 수 있습니다. Hyper-V 실시간 마이그레이션을 사용하여 가동 중지 시간 없이 계획된 사이트 장애 조치(failover)가 수행될 수 있습니다.
Kubernetes 클러스터 노드
Azure Local을 사용하여 컨테이너 기반 배포를 호스트하는 경우 플랫폼은 Azure Kubernetes 배포에 내재된 민첩성과 복원력을 향상시키는 데 도움이 됩니다. Azure Local은 기본 물리적 구성 요소의 지역화된 오류가 있는 경우 Kubernetes 클러스터 노드 역할을 하는 VM의 자동 장애 조치(failover)를 관리합니다. 이 구성은 Kubernetes에 기본 제공되는 고가용성을 보완하여 동일한 VM이나 다른 VM에서 실패한 컨테이너를 자동으로 다시 시작합니다.
Azure Site Recovery
이 서비스를 사용하면 온-프레미스 Azure 로컬 VM에서 실행되는 워크로드를 클라우드에 복제하여 스토리지 미디어의 인시던트, 실패 또는 손실이 있는 경우 정보 시스템을 복원할 수 있습니다. 다른 Azure 클라우드 서비스와 마찬가지로 Azure Site Recovery는 HITRUST를 비롯한 보안 인증서의 오랜 실적을 보유하고 있으며, 이를 통해 인증 프로세스를 지원할 수 있습니다. Azure Local에서 Azure Site Recovery를 사용하여 VM 워크로드 보호에 대해 자세히 알아봅니다.
MABS(Microsoft Azure Backup 서버)
이 서비스를 사용하면 원하는 빈도 및 보존 기간을 지정하여 Azure 로컬 가상 머신을 백업할 수 있습니다. MABS를 사용하여 다음을 포함하여 환경 전체에서 대부분의 리소스를 백업할 수 있습니다.
- Azure 로컬 호스트의 시스템 상태/BMR(완전 복구)
- 로컬 또는 직접 연결된 스토리지가 있는 시스템의 게스트 VM
- CSV 스토리지를 사용하는 Azure 로컬 인스턴스의 게스트 VM
- 클러스터 내에서 VM 이동
Azure Backup Server를 사용하여 Azure 로컬 가상 머신 백업에 대해 자세히 알아봅니다.