기타 보호 지침
Microsoft Entra ID는 HIPAA(Health Insurance Portability and Accountability Act of 1996) 세이프가드 구현을 위한 ID 관련 사례 요구 사항을 충족합니다. HIPAA를 준수하려면 필요한 다른 구성 또는 프로세스와 함께 이 지침을 사용하여 안전 장치를 구현하는 것은 회사의 책임입니다. 이 문서에는 다음 세 가지 컨트롤에 대한 HIPAA 규정 준수를 달성하기 위한 지침이 포함되어 있습니다.
- 무결성 보호
- 개인 또는 단체 인증 보호
- 전송 보안 조치
무결성 보호 지침
Microsoft Entra ID는 HIPAA 세이프가드 구현을 위한 ID 관련 사례 요구 사항을 충족합니다. HIPAA를 준수하려면 필요한 다른 구성 또는 프로세스와 함께 이 지침을 사용하여 보호 장치를 구현합니다.
데이터 수정 안전 장치:
모든 디바이스에서 파일 및 전자 메일을 보호합니다.
중요한 데이터를 검색하고 분류합니다.
중요한 데이터 또는 개인 데이터가 포함된 문서 및 전자 메일을 암호화합니다.
다음 콘텐츠는 HIPAA의 지침과 Microsoft의 권장 사항 및 지침이 포함된 테이블을 제공합니다.
HIPAA - 무결성
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| 추천 | 행동 |
|---|---|
| Microsoft Purview Information Protection(IP) 사용 | 전송 및 저장되는 데이터를 포함하는 중요한 데이터를 검색, 분류, 보호 및 통제합니다. Microsoft Purview IP를 통해 데이터를 보호하면 데이터 환경을 결정하고 프레임워크를 검토하며 활성 단계를 수행하여 데이터를 식별하고 보호하는 데 도움이 됩니다. |
| Exchange 현재 위치 보류 구성 | Exchange Online은 eDiscovery를 지원하는 몇 가지 설정을 제공합니다.
현재 위치 보류 보유해야 하는 항목에 특정 매개 변수를 사용합니다. 의사 결정 매트릭스는 키워드, 보낸 사람, 영수증 및 날짜를 기반으로 할 수 있습니다. Microsoft Purview eDiscovery 솔루션 Microsoft Purview 규정 준수 포털의 일부이며 모든 Microsoft 365 데이터 원본을 다룹니다. |
| Exchange Online에서 보안/다목적 인터넷 메일 확장 구성 |
S/MIME 디지털 서명되고 암호화된 메시지를 보내는 데 사용되는 프로토콜입니다. 비대칭 키 페어링, 퍼블릭 및 프라이빗 키를 기반으로 합니다. Exchange Online 보낸 사람의 ID를 확인하는 전자 메일 및 서명의 콘텐츠에 대한 암호화 및 보호를 제공합니다. |
| 모니터링 및 로깅을 사용하도록 설정합니다. |
로깅 및 모니터링 환경 보호에 필수적입니다. 이 정보는 조사를 지원하고 비정상적인 패턴을 식별하여 잠재적 위협을 감지하는 데 사용됩니다. 무단 액세스의 위험을 줄이기 위해 서비스의 로깅 및 모니터링을 사용하도록 설정합니다. Microsoft Purview 감사는 Microsoft 365의 서비스에서 감사된 활동에 대한 가시성을 제공합니다. 감사 로그 보존을 늘려 조사에 도움이 됩니다. |
개인 또는 조직 인증 보호 가이드라인
Microsoft Entra ID는 HIPAA 세이프가드 구현을 위한 ID 관련 사례 요구 사항을 충족합니다. HIPAA를 준수하려면 필요한 다른 구성 또는 프로세스와 함께 이 지침을 사용하여 보호 장치를 구현합니다.
감사 및 개인과 엔터티 보호를 위한 경우:
최종 사용자 클레임이 데이터 액세스에 유효한지 확인합니다.
저장된 데이터에 대한 위험을 식별하고 완화합니다.
다음 콘텐츠는 HIPAA의 지침과 Microsoft의 권장 사항 및 지침이 포함된 테이블을 제공합니다.
HIPAA - 개인 또는 엔터티 인증
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
ePHI 데이터에 액세스하는 사용자 및 디바이스에 권한이 부여되었는지 확인합니다. 디바이스가 규정을 준수하고 데이터 소유자에게 위험을 플래그 지정하기 위한 작업을 감사해야 합니다.
| 추천 | 행동 |
|---|---|
| 다단계 인증 사용 |
Microsoft Entra 다단계 인증 추가 보안 계층을 추가하여 ID를 보호합니다. 추가 계층은 무단 액세스를 방지하는 효과적인 방법을 제공합니다. MFA를 사용하면 인증 프로세스 중에 로그인 자격 증명의 유효성을 더 검사해야 합니다. |
| 조건부 액세스 정책 사용 | 조건부 액세스 정책은 승인된 애플리케이션에만 액세스를 제한하는 데 도움이 됩니다. Microsoft Entra는 사용자, 디바이스 또는 위치의 신호를 분석하여 결정을 자동화하고 리소스 및 데이터에 액세스하기 위한 조직 정책을 적용합니다. |
| 디바이스 기반 조건부 액세스 정책 설정 | 디바이스 관리를 위한 Microsoft Intune 조건부 액세스를 |
| RBAC(역할 기반 액세스 제어) 사용 |
Microsoft Entra ID에서의 RBAC는 업무 분리를 통해 엔터프라이즈 수준에서 보안을 제공합니다. 시스템을 사용하여 리소스 및 중요한 데이터에 대한 기밀성, 개인 정보 보호 및 액세스 관리를 보호하기 위해 사용 권한을 조정하고 검토합니다. Microsoft Entra ID는 수정할 수 없는 고정된 권한 집합인 기본 제공 역할대한 지원을 제공합니다. 또한 미리 설정된 목록을 추가할 수 있는 고유한 사용자 지정 역할 만들 수도 있습니다. |
전송 보안 보호 지침
Microsoft Entra ID는 HIPAA 세이프가드 구현을 위한 ID 관련 사례 요구 사항을 충족합니다. HIPAA를 준수하려면 필요한 다른 구성 또는 프로세스와 함께 이 지침을 사용하여 보호 장치를 구현합니다.
암호화의 경우:
데이터 기밀성을 보호합니다.
데이터 도난을 방지합니다.
PHI에 대한 무단 액세스를 방지합니다.
데이터에 대한 암호화 수준을 확인합니다.
PHI 데이터의 전송을 보호하려면 다음을 수행합니다.
PHI 데이터 공유를 보호합니다.
PHI 데이터에 대한 액세스를 보호합니다.
전송된 데이터가 암호화되었는지 확인합니다.
다음 콘텐츠는 HIPAA 지침 및 Microsoft의 권장 사항에서 감사 및 전송 보안 보호 지침 목록을 제공하여 Microsoft Entra ID를 사용하여 보호 구현 요구 사항을 충족할 수 있도록 합니다.
HIPAA - 암호화
Implement a mechanism to encrypt and decrypt electronic protected health information.
ePHI 데이터가 암호화되고 규격 암호화 키/프로세스로 암호 해독되었는지 확인합니다.
| 추천 | 행동 |
|---|---|
| Microsoft 365 암호화 지점 검토 | Microsoft 365 Microsoft Purview를 사용한 암호화 목록을 검토하고 더 많은 제어가 필요한 경우 수정합니다. |
| 데이터베이스 암호화 검토 |
투명한 데이터 암호화는 미사용 데이터를 무단 액세스 또는 오프라인 액세스로부터 보호하는 데 도움이 되는 보안 계층을 추가합니다. AES 암호화를 사용하여 데이터베이스를 암호화합니다. 민감한 데이터에 대한 동적 데이터 마스킹이 새 데이터베이스는 기본적으로 암호화되며 데이터베이스 암호화 키는 기본 제공 서버 인증서로 보호됩니다. 데이터 자산에서 암호화가 설정되었는지 확인하기 위해 데이터베이스를 검토하는 것이 좋습니다. |
| Azure 암호화 지점 검토 | Azure 암호화 기능 Azure Key Vault를 사용하여 미사용 데이터, 암호화 모델 및 키 관리의 주요 영역을 다룹니다. 다양한 암호화 수준 및 암호화 수준이 조직 내의 시나리오와 어떻게 일치하는지 검토합니다. |
| 데이터 수집 및 보존 거버넌스 평가 |
Microsoft Purview 데이터 수명 주기 관리를 사용하여 보존 정책을 적용할 수 있습니다.
Microsoft Purview 레코드 관리에서는 보존 레이블을 적용할 수 있습니다. 이 전략을 통해 전체 데이터 자산에 대한 가시성을 얻을 수 있습니다. 이 전략은 클라우드, 앱 및 엔드포인트에서 중요한 데이터를 보호하고 관리하는 데도 도움이 됩니다. 중요:45 CFR 164.316설명한 대로: 시간 제한(필수). 이 섹션의 단락 (b)(1)에 필요한 문서를 생성된 날짜 또는 마지막으로 효력을 발휘한 날짜 중 늦은 시점부터 6년 동안 보존해야 합니다. |
HIPAA - 개인정보 보호 데이터 전송 보호
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
PHI 데이터를 포함하는 데이터 교환을 보호하기 위한 정책 및 절차를 설정합니다.
| 추천 | 행동 |
|---|---|
| 온-프레미스 애플리케이션의 상태 평가 |
Microsoft Entra 애플리케이션 프록시 구현은 온-프레미스 웹 애플리케이션을 외부 및 보안 방식으로 게시합니다. Microsoft Entra 애플리케이션 프록시를 사용하면 외부 URL 엔드포인트를 Azure에 안전하게 게시할 수 있습니다. |
| 다단계 인증 사용 | Microsoft Entra 다단계 인증 보안 계층을 추가하여 ID를 보호합니다. 더 많은 보안 계층을 추가하는 것은 무단 액세스를 방지하는 효과적인 방법입니다. MFA를 사용하면 인증 프로세스 중에 로그인 자격 증명의 유효성을 더 검사해야 합니다. Authenticator 앱을 구성하여 원클릭 확인 또는 암호 없는 인증을 제공할 수 있습니다. |
| 애플리케이션 액세스에 조건부 액세스 정책 사용 | 조건부 액세스 정책은 승인된 애플리케이션에 대한 액세스를 제한하는 데 도움이 됩니다. Microsoft Entra는 사용자, 디바이스 또는 위치의 신호를 분석하여 결정을 자동화하고 리소스 및 데이터에 액세스하기 위한 조직 정책을 적용합니다. |
| EOP(Exchange Online Protection) 정책 검토 |
Exchange Online의 스팸 및 맬웨어 방지 기능은 기본 제공되는 맬웨어 및 스팸 필터링을 제공합니다. EOP는 인바운드 및 아웃바운드 메시지를 보호하며 기본적으로 사용하도록 설정됩니다. 또한 EOP 서비스는 스푸핑 방지, 격리 메시지 및 Outlook에서 메시지를 보고하는 기능을 제공합니다.
회사 전체 설정에 맞게 정책을 사용자 지정할 수 있으므로 기본 정책보다 우선 적용됩니다. |
| 민감도 레이블 구성 | Microsoft Purview에서 200가지 기본 제공 중요한 정보 유형 외에도 이름 엔터티, 학습 가능한 분류자 및 사용자 지정 중요한 형식을 보호하기 위한 EDM과 같은 고급 분류자도 있습니다. |
| 서비스에 연결하는 데 프라이빗 연결이 필요한지 여부를 평가합니다. |
Azure ExpressRoute 클라우드 기반 Azure 데이터 센터와 온-프레미스에 상주하는 인프라 간에 프라이빗 연결을 만듭니다. 데이터는 공용 인터넷을 통해 전송되지 않습니다.
서비스는 계층 3 연결을 사용하고 에지 라우터를 연결하며 동적 확장성을 제공합니다. |
| VPN 요구 사항 평가 |
VPN Gateway 설명서 사이트 간, 지점 및 사이트 간, VNet 간 및 다중 사이트 VPN 연결을 통해 온-프레미스 네트워크를 Azure에 연결합니다. 서비스는 보안 데이터 전송을 제공하여 하이브리드 작업 환경을 지원합니다. |