HITRUST 제어에 대한 Microsoft Entra 구성 권장 사항
이 문서의 지침은 세부 정보를 탐색하는 데 도움이 되며 HITRUST 제어와의 맞춤을 지원하기 위해 Microsoft Entra ID의 서비스 및 기능에 대한 권장 사항을 제공합니다. 이 정보를 사용하여 HITRUST(Health Information Trust Alliance) 프레임워크를 이해하고 조직이 1996년 HIPAA(Health Insurance Portability and Accountability Act)를 준수하는지 확인하는 책임을 지원합니다. 평가에는 프레임워크에 대한 지식이 풍부하고 프로세스를 안내하고 요구 사항을 이해하는 데 도움이 필요한 인증된 HITRUST 평가자와의 작업이 포함됩니다.
머리글자어
다음 표에는 이 문서에 나오는 머리글자어와 맞춤법이 나열되어 있습니다.
| 머리글자어 | 맞춤법 검사 |
|---|---|
| CE | 적용 기관 |
| CSF | 공통 보안 프레임워크 |
| HIPAA | 1996의 HIPAA(Health Insurance Portability and Accountability Act) |
| HSR | HIPAA 보안 규칙 |
| HITRUST | HITRUST Alliance |
| IAM | ID 및 액세스 관리 |
| IdP | ID 공급자 |
| ISO | 국제 표준화 기구 |
| ISMS | 정보 보안 관리 시스템 |
| JEA | 충분한 액세스성 |
| JML | 입사, 이동, 퇴사 |
| MFA | Microsoft Entra 다단계 인증 FAQ |
| NIST | 미국 상무부 국립표준기술원 |
| PHI | 민감 건강 정보 |
| PIM | Privileged Identity Management |
| SSO | Single Sign-On |
| TAP | 임시 액세스 패스 |
HITRUST Alliance
HITRUST 조직은 의료 업계 조직의 보안 및 개인 정보 보호 요구 사항을 표준화하고 간소화하기 위해 CSF(공통 보안 프레임워크)를 확립했습니다. HITRUST CSF는 조직이 개인 데이터 및 PHI(민감 건강 정보) 데이터를 처리할 때 직면하는 복잡한 규정 환경, 보안 문제 및 개인 정보 보호 문제를 해결하기 위해 2007년에 설립되었습니다. CSF는 49개의 제어 목표와 156개의 제어 세부 사항으로 구성된 14개의 제어 범주로 구성됩니다. 이는 ISO(국제 표준화 기구) 27001 및 ISO 27002의 기본 원칙을 기반으로 빌드되었습니다.
HITRUST MyCSF 도구는 Azure Marketplace에서 사용할 수 있습니다. 이를 사용하여 정보 보안 위험, 데이터 거버넌스를 관리하고 정보 보호 규정을 준수하며 국내 및 국가별 표준과 모범 사례를 준수합니다.
참고 항목
ISO 27001은 ISMS(정보 보안 관리 시스템)에 대한 요구 사항을 지정하는 관리 표준입니다. ISO 27002는 ISO 27001 프레임워크에서 보안 제어를 선택하고 구현하기 위한 일련의 모범 사례입니다.
HIPAA 보안 규칙
HSR(HIPAA 보안 규칙)은 건강 계획, 의료 정보 센터 또는 의료 서비스 제공자인 CE(적용 기관)가 생성, 수신, 사용 또는 유지 관리하는 개인의 전자 개인 건강 정보를 보호하기 위한 표준을 설정합니다. 미국 HHS(보건 복지부)가 HSR을 관리합니다. HHS는 전자 PHI의 기밀성, 무결성 및 보안을 보장하기 위해 관리적, 실제, 기술적 보호 장치를 요구합니다.
HITRUST 및 HIPAA
HITRUST는 의료 규정을 지원하기 위한 보안 및 개인 정보 보호 표준을 포함하는 CSF를 개발했습니다. CSF 제어 및 모범 사례는 원본 통합 작업을 간소화하여 연방 법률, HIPAA 보안 및 개인 정보 보호 규칙을 준수하도록 합니다. HISTRUST CSF는 HIPAA 준수를 입증하기 위한 제어 및 요구 사항을 갖춘 인증 가능한 보안 및 개인 정보 보호 프레임워크입니다. 의료 기관에서는 이 프레임워크를 널리 채택했습니다. 제어에 대해 알아보려면 다음 표를 사용합니다.
| 제어 범주 | 제어 범주 이름 |
|---|---|
| 0 | 정보 보안 관리 프로그램 |
| 1 | 액세스 제어 |
| 2 | 인적 리소스 보안 |
| 3 | 위험 관리 |
| 4 | 보안 정책 |
| 5 | 정보 보안 구성 |
| 6 | 규정 준수 |
| 7 | 자산 관리 |
| 8 | 물리적 및 환경 보안 |
| 9 | 통신 및 운영 관리 |
| 10 | 정보 시스템 획득, 개발 및 유지 관리 |
| 11 | 정보 보안 인시던트 관리 |
| 12 | 비즈니스 연속성 관리 |
| 13 | 개인 정보 보호 사례 |
ID 및 액세스 관리가 포함된 Microsoft Azure 플랫폼은 HITRUST CSF 인증에 대해 자세히 알아봅니다.
- Microsoft Entra ID(이전의 Azure Active Directory)
- Microsoft Purview를 통한 권리 관리
- Microsoft Entra MFA(다단계 인증)
액세스 제어 범주 및 권장 사항
다음 표에는 IAM(ID 및 액세스 관리)에 대한 액세스 제어 범주와 제어 범주 요구 사항을 충족하는 데 도움이 되는 Microsoft Entra 권장 사항이 나와 있습니다. 세부 정보는 해당 제어에 추가된 HIPAA 보안 규칙을 참조하는 HITRUST MyCSF v11에서 가져온 것입니다.
| HITRUST 제어, 목표 및 HSR | Microsoft Entra 지침 및 권장 사항 |
|---|---|
| CSF 제어 V11 01.b 사용자 등록 제어 범주 액세스 제어 - 사용자 등록 및 등록 취소 제어 사양 조직은 공식적인 사용자 등록 및 등록 취소 프로세스를 사용하여 액세스 권한 할당을 사용하도록 설정합니다. 목표 이름 정보 시스템에 대한 권한 있는 액세스 HIPAA 보안 규칙 § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID는 ID가 디바이스, 애플리케이션 또는 서버에 로그인할 때 확인, 인증 및 자격 증명 관리를 위한 ID 플랫폼입니다. 보안 공격으로부터 보호하기 위해 SSO(Single Sign-On), MFA 및 조건부 액세스를 갖춘 클라우드 기반 ID 및 액세스 관리 서비스입니다. 인증을 통해 권한 부여된 ID만 리소스와 데이터에 액세스할 수 있습니다. 수명 주기 워크플로를 사용하면 ID 거버넌스를 통해 JML(입사자, 이동자, 퇴사자) 수명 주기를 자동화할 수 있습니다. 기본 제공된 템플릿을 사용하여 워크플로 프로세스를 중앙 집중화하거나 사용자 지정 워크플로를 만듭니다. 이 방법은 조직의 JML 전략 요구 사항에 대한 수동 작업을 줄이거나 잠재적으로 제거하는 데 도움이 됩니다. Azure Portal에서 Microsoft Entra ID 메뉴의 ID 거버넌스로 이동하여 조직 요구 사항에 맞는 작업을 검토하거나 구성합니다. Microsoft Entra Connect는 온-프레미스 디렉터리를 Microsoft Entra ID 통합하고 단일 ID를 사용하여 온-프레미스 애플리케이션 및 Microsoft 365와 같은 클라우드 서비스에 액세스할 수 있도록 지원합니다. AD(Active Directory)와 Microsoft Entra ID 간의 동기화를 오케스트레이션합니다. Microsoft Entra Connect를 시작하려면 필수 조건을 검토합니다. 서버 요구 사항과 관리를 위해 Microsoft Entra 테넌트를 준비하는 방법을 확인합니다. Microsoft Entra Connect 동기화는 클라우드에서 관리되는 프로비전 에이전트로, 다중 포리스트 연결이 끊긴 AD 환경에서 Microsoft Entra ID와의 동기화를 지원합니다. Microsoft Entra Connect와 함께 경량 에이전트를 사용합니다. 암호 수를 줄이고 자격 증명 유출 검색으로부터 보호하려면 암호 해시 동기화를 권장합니다. |
| CSF 제어 V11 01.c 권한 관리 제어 범주 액세스 제어 – 권한 있는 계정 제어 사양 조직은 정보 시스템에 대한 무단 액세스를 방지하기 위해 권한 있는 사용자 계정을 등록, 추적하고 주기적으로 유효성을 검사합니다. 목표 이름 정보 시스템에 대한 권한 있는 액세스 HIPAA 보안 규칙 § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
PIM(Privileged Identity Management)은 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하는 Microsoft Entra ID의 서비스입니다. 보안 정보에 액세스하는 사람의 수를 최소화하여 악의적인 작업자가 액세스하는 것을 방지합니다. PIM은 시간 및 승인 기반 액세스를 통해 액세스 권한이 과도하거나 불필요하거나 오용되는 위험을 완화합니다. 이는 권한 있는 계정을 식별하고 분석하여 사용자가 자신의 역할을 수행하는 데 JEA(충분한 액세스)를 제공하는지 확인하는 데 도움이 됩니다. 경고 모니터링 및 생성을 통해 의심스러운 활동을 방지하고 경고를 트리거하는 사용자 및 역할을 나열하는 동시에 무단 액세스 위험을 줄입니다. 조직의 보안 전략에 대한 경고를 사용자 지정합니다. 액세스 검토를 통해 조직은 역할 할당 및 그룹 멤버 자격을 효율적으로 관리할 수 있습니다. 어떤 계정에 액세스 권한이 있는지 평가하여 보안과 준수를 유지하고 필요할 때 액세스가 철회되도록 하여 과도하거나 오래된 권한으로 인한 위험을 최소화합니다. |
| CSF 제어 V11 0.1d 사용자 암호 관리 제어 범주 액세스 제어 - 절차 제어 사양 정보 시스템에 대한 무단 액세스를 방지하기 위해 권한 있는 사용자 계정을 등록하고, 추적하고, 주기적으로 유효성을 검사합니다. 목표 이름 정보 시스템에 대한 권한 있는 액세스 HIPAA 보안 규칙 §164.308(a)(5)(ii)(D) |
암호 관리는 보안 인프라의 중요한 양상입니다. 모범 사례에 맞춰 강력한 보안 태세를 구축하는 Microsoft Entra ID는 포괄적인 전략 지원을 용이하게 합니다. SSO 및 MFA도 FIDO2 보안 키 및 WHfB(Windows Hello for Business)와 같은 암호 없는 인증으로 사용자 위험을 완화하고 사용자 인증 환경을 간소화합니다. Microsoft Entra 암호 보호는 알려진 취약한 암호를 검색하고 차단합니다. 암호 정책을 통합하고 사용자 지정 암호 목록을 정의하고 암호 사용을 보호하기 위한 암호 관리 전략을 빌드할 수 있는 유연성을 갖추고 있습니다. HITRUST 암호 길이 및 강도 요구 사항은 미국 국립표준기술원 NIST 800-63B에 부합합니다. 여기에는 암호에 대해 최소 8자, 가장 높은 액세스 권한이 있는 계정의 경우 15자가 포함됩니다. 복잡성 측정에는 권한 있는 계정에 대해 하나 이상의 숫자 및/또는 특수 문자와 하나 이상의 대문자 및 소문자가 포함됩니다. |
| CSF 제어 V11 01.p 보안 로그온 절차 제어 범주 액세스 제어 - 보안 로그온 제어 사양 조직은 보안 로그온 절차를 사용하여 정보 자산에 대한 액세스를 제어합니다. 목표 이름 운영 체제 액세스 제어 HIPAA 보안 규칙 § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
보안 로그인은 시스템에 액세스하려고 할 때 ID를 안전하게 인증하는 프로세스입니다. 제어는 운영 체제에 중점을 두고 있으며 Microsoft Entra 서비스는 보안 로그인을 강화하는 데 도움이 됩니다. 조건부 액세스 정책은 조직이 승인된 애플리케이션, 리소스에 대한 액세스를 제한하고 디바이스의 보안을 유지하는 데 도움이 됩니다. Microsoft Entra ID는 ID, 위치 또는 디바이스의 조건부 액세스 정책 신호를 분석하여 결정을 자동화하고 리소스 및 데이터 액세스에 대한 조직 정책을 적용합니다. RBAC(역할 기반 액세스 제어)는 조직의 액세스 및 관리되는 리소스를 관리하는 데 도움이 됩니다. RBAC는 최소 권한 원칙을 구현하여 사용자가 작업을 수행하는 데 필요한 권한을 갖도록 보장합니다. 이 작업을 수행하면 실수로 또는 의도적으로 잘못된 구성이 발생할 위험이 최소화됩니다. Control 0.1d 사용자 암호 관리에서 언급한 바와 같이, 암호 없는 인증은 위조가 어렵기 때문에 생체 인식을 사용하므로 보다 안전한 인증을 제공합니다. |
| CSF 제어 V11 01.q 사용자 식별 및 인증 제어 범주 해당 없음 제어 사양 모든 사용자는 개인적인 용도로만 사용되는 고유 식별자(사용자 ID)를 보유해야 하며, 사용자의 ID를 입증하기 위해 인증 기술을 구현해야 합니다. 목표 이름 해당 없음 HIPAA 보안 규칙 § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Microsoft Entra ID의 계정 프로비전을 사용하여 사용자 계정을 만들기, 업데이트 및 관리합니다. 각 사용자와 개체에는 개체 ID라고 하는 UID(고유 식별자)가 할당됩니다. UID는 사용자나 개체가 만들어질 때 자동으로 만들어지는 GUID(Globally Unique Identifier)입니다. Microsoft Entra ID는 시스템 및 애플리케이션에 대한 자동 사용자 프로비전을 지원합니다. 자동화된 프로비전은 사람들이 조직의 팀에 조인할 때 올바른 시스템에 새 계정을 만듭니다. 자동화된 프로비전 해제는 사람들이 떠날 때 계정을 비활성화합니다. |
| CSF 제어 V11 01.u 연결 시간 제한 제어 범주 액세스 제어 - 보안 로그온 제어 사양 조직은 보안 로그온 절차를 사용하여 정보 자산에 대한 액세스를 제어합니다. 목표 이름 운영 체제 액세스 제어 HIPAA 보안 규칙 § 164.312(a)(2)(iii) |
제어는 운영 체제에 중점을 두고 있으며 Microsoft Entra 서비스는 보안 로그인을 강화하는 데 도움이 됩니다. 보안 로그인은 시스템에 액세스하려고 할 때 ID를 안전하게 인증하는 프로세스입니다. Microsoft Entra는 사용자를 인증하고 사용자 및 리소스에 대한 정보를 제공하는 보안 기능을 갖추고 있습니다. 정보에는 액세스 토큰, 새로 고침 토큰 및 ID 토큰이 포함됩니다. 애플리케이션 액세스에 대한 조직의 요구 사항에 따라 구성합니다. 이 지침은 주로 모바일 및 데스크톱 클라이언트에 사용합니다. 조건부 액세스 정책은 웹 브라우저의 인증된 세션 제한에 대한 구성 설정을 지원합니다. Microsoft Entra ID는 운영 체제 전반에 걸쳐 통합되어 더 나은 사용자 환경을 제공하고 나열된 암호 없는 인증 방법을 지원합니다. macOS용 플랫폼 SSO는 macOS용 SSO 기능을 확장합니다. 사용자는 암호 없는 자격 증명 또는 Microsoft Entra ID로 유효성 검사된 암호 관리를 사용하여 Mac에 로그인합니다. Windows 암호 없는 환경은 Microsoft Entra 조인 디바이스에서 암호 없는 인증 환경을 장려합니다. 암호 없는 인증을 사용하면 피싱 공격, 암호 재사용, 암호의 키 로거 가로채기 등 기존 암호 기반 인증과 관련된 취약성과 위험이 줄어듭니다. Windows용 웹 로그인은 비즈니스용 Windows Hello, TAP(임시 액세스 패스) 및 페더레이션된 ID를 포함하여 Windows 11의 웹 로그인 기능을 확장하는 자격 증명 공급자입니다. Azure Virtual Desktop은 SSO 및 암호 없는 인증을 지원합니다. SSO를 사용하면 Microsoft Entra ID와 페더레이션되는 타사 IdP(ID 공급자)와 암호 없는 인증을 사용하여 Azure Virtual Desktop 리소스에 로그인할 수 있습니다. 세션 호스트에 인증할 때 SSO 환경이 있습니다. 세션 내 Microsoft Entra 리소스에 SSO를 제공하도록 세션을 구성합니다. |