기타 보호 지침
Microsoft Entra ID는 1996년 HIPAA(Health Insurance Portability and Accountability Act) 보호 기능을 구현하기 위한 ID 관련 실무 요구 사항을 충족합니다. HIPAA를 준수하려면 필요한 다른 구성이나 프로세스와 함께 이 지침을 사용하여 보호 조치를 구현하는 것이 회사의 책임입니다. 이 문서에는 다음 세 가지 컨트롤에 대한 HIPAA 규정 준수를 위한 지침이 포함되어 있습니다.
- 무결성 보호
- 개인 또는 단체 인증 보호
- 전송 보안 보호
무결성 보호 지침
Microsoft Entra ID는 HIPAA 보호 조치 구현을 위한 ID 관련 실무 요구 사항을 충족합니다. HIPAA를 준수하려면 필요한 다른 구성이나 프로세스와 함께 이 지침을 사용하여 보호 조치를 구현합니다.
데이터 수정 보호 장치의 경우:
모든 디바이스에서 파일과 이메일을 보호합니다.
중요한 데이터를 발견하고 분류합니다.
중요한 데이터나 개인 데이터가 포함된 문서와 이메일을 암호화합니다.
다음 콘텐츠는 HIPAA의 지침과 Microsoft의 권장 사항 및 지침이 포함된 표를 제공합니다.
HIPAA - 무결성
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| 권장 | 작업 |
|---|---|
| Microsoft Purview IP(Information Protection) 사용 | 스토리지 및 전송된 데이터를 포함하여 민감한 데이터를 검색, 분류, 보호 및 관리합니다. Microsoft Purview IP를 통해 데이터를 보호하면 데이터 환경을 결정하고 프레임워크를 검토하며 데이터를 식별하고 보호하기 위한 적극적인 조치를 취하는 데 도움이 됩니다. |
| Exchange 원본 위치 유지 구성 | Exchange Online은 eDiscovery를 지원하기 위한 여러 설정을 제공합니다. 현재 위치 유지는 어떤 항목을 보관해야 하는지에 대한 특정 매개 변수를 사용합니다. 의사 결정 매트릭스는 키워드, 보낸 사람, 영수증 및 날짜를 기반으로 할 수 있습니다. Microsoft Purview eDiscovery 솔루션은 Microsoft Purview 규정 준수 포털의 일부이며 모든 Microsoft 365 데이터 원본을 포괄합니다. |
| Exchange Online에서 보안/다목적 인터넷 메일 확장 구성 | S/MIME은 디지털 서명 및 암호화된 메시지를 보내는 데 사용되는 프로토콜입니다. 공용 키와 프라이빗 키인 비대칭 키 쌍을 기반으로 합니다. Exchange Online은 보낸 사람의 ID를 확인하는 이메일과 서명의 콘텐츠를 암호화하고 보호합니다. |
| 모니터링 및 로깅을 사용하도록 설정합니다. | 로깅 및 모니터링은 환경 보안에 필수적입니다. 이 정보는 비정상적인 패턴을 식별하여 조사를 지원하고 잠재적인 위협을 검색하는 데 사용됩니다. 무단 액세스 위험을 줄이기 위해 서비스 로깅 및 모니터링을 사용하도록 설정합니다. Microsoft Purview 감사는 Microsoft 365의 서비스 전반에 걸쳐 감사된 작업에 대한 표시 유형을 제공합니다. 감사 로그 보존을 늘려 조사에 도움이 됩니다. |
개인 또는 법인 인증 보호 지침
Microsoft Entra ID는 HIPAA 보호 조치 구현을 위한 ID 관련 실무 요구 사항을 충족합니다. HIPAA를 준수하려면 필요한 다른 구성이나 프로세스와 함께 이 지침을 사용하여 보호 조치를 구현합니다.
감사와 개인 및 단체 보호를 위해:
최종 사용자 클레임이 데이터 액세스에 유효한지 확인합니다.
저장된 데이터에 대한 위험을 식별하고 완화합니다.
다음 콘텐츠는 HIPAA의 지침과 Microsoft의 권장 사항 및 지침이 포함된 표를 제공합니다.
HIPAA - 개인 또는 법인 인증
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
ePHI 데이터에 액세스하는 사용자 및 디바이스가 권한 부여되었는지 확인합니다. 데이터 소유자에게 위험을 알리기 위해 디바이스가 규정을 준수하고 작업을 감사하는지 확인해야 합니다.
| 권장 | 작업 |
|---|---|
| 다단계 인증 사용 | Microsoft Entra 다단계 인증은 추가 보안 계층을 추가하여 ID를 보호합니다. 추가 계층은 무단 액세스를 방지하는 효과적인 방법을 제공합니다. MFA를 사용하면 인증 프로세스 중에 로그인 자격 증명에 대한 추가 유효성 검사를 요구할 수 있습니다. 인증자 앱을 설정하면 원클릭 인증이 제공되거나 Microsoft Entra 암호 없는 구성을 구성할 수 있습니다. |
| 조건부 액세스 정책 사용 | 조건부 액세스 정책은 승인된 애플리케이션에만 액세스하도록 제한하는 데 도움이 됩니다. Microsoft Entra는 사용자, 디바이스 또는 위치의 신호를 분석하여 결정을 자동화하고 리소스 및 데이터에 대한 액세스를 위한 조직 정책을 적용합니다. |
| 디바이스 기반 조건부 액세스 정책 설정 | 디바이스 관리를 위한 Microsoft Intune을 통한 조건부 액세스 및 Microsoft Entra 정책은 디바이스 상태를 사용하여 서비스 및 데이터에 대한 액세스 거부를 허용할 수 있습니다. 디바이스 규정 준수 정책을 배포함으로써 보안 요구 사항을 충족하는지 확인하여 리소스에 대한 액세스를 허용할지 거부할지 결정합니다. |
| RBAC(역할 기반 액세스 제어) 사용 | Microsoft Entra ID의 RBAC는 업무를 분리하여 기업 수준의 보안을 제공합니다. 시스템을 통해 기밀성, 개인 정보 보호, 리소스 및 중요한 데이터에 대한 액세스 관리를 보호하기 위한 권한을 조정하고 검토합니다. Microsoft Entra ID는 수정할 수 없는 고정된 사용 권한 세트인 기본 제공 역할을 지원합니다. 사전 설정 목록을 추가할 수 있는 고유의 사용자 지정 역할을 만들 수도 있습니다. |
전송 보안 보호 지침
Microsoft Entra ID는 HIPAA 보호 조치 구현을 위한 ID 관련 실무 요구 사항을 충족합니다. HIPAA를 준수하려면 필요한 다른 구성이나 프로세스와 함께 이 지침을 사용하여 보호 조치를 구현합니다.
암호화의 경우:
데이터 기밀성을 보호합니다.
데이터 도난을 방지합니다.
PHI에 대한 무단 액세스를 방지합니다.
데이터의 암호화 수준을 보장합니다.
PHI 데이터 전송을 보호하려면:
PHI 데이터 공유를 보호합니다.
PHI 데이터에 대한 액세스를 보호합니다.
전송된 데이터가 암호화되었는지 확인합니다.
다음 콘텐츠는 Microsoft Entra ID에 대한 보호 구현 요구 사항을 충족할 수 있도록 HIPAA 지침과 Microsoft 권장 사항의 감사 및 전송 보안 보호 지침 목록을 제공합니다.
HIPAA - 암호화
Implement a mechanism to encrypt and decrypt electronic protected health information.
ePHI 데이터가 규정을 준수하는 암호화 키/프로세스로 암호화 및 해독되었는지 확인합니다.
| 권장 | 작업 |
|---|---|
| Microsoft 365 암호화 지점 검토 | Microsoft 365에서 Microsoft Purview를 사용한 암호화는 실제 데이터 센터, 보안, 네트워크, 액세스, 애플리케이션 및 데이터 보안 등 여러 계층에서 광범위한 보안를 제공하는 매우 안전한 환경입니다. 암호화 목록을 검토하고 추가 제어가 필요한 경우 수정합니다. |
| 데이터베이스 암호화 검토 | 투명한 데이터 암호화는 보안 계층을 추가하여 무단 액세스 또는 오프라인 액세스로부터 미사용 데이터를 보호하는 데 도움이 됩니다. AES 암호화를 사용하여 데이터베이스를 암호화합니다. 중요한 데이터를 위한 동적 데이터 마스킹으로 중요한 데이터 노출을 제한합니다. 권한 부여되지 않은 사용자에게 데이터를 마스킹합니다. 마스킹에는 데이터베이스 스키마 이름, 테이블 이름 및 열 이름에 정의하는 지정된 필드가 포함됩니다. 새 데이터베이스는 기본적으로 암호화되며 데이터베이스 암호화 키는 기본 제공된 서버 인증서로 보호됩니다. 데이터베이스를 검토하여 데이터 자산에 암호화가 설정되어 있는지 확인하는 것이 좋습니다. |
| Azure 암호화 지점 검토 | Azure 암호화 기능은 미사용 데이터, 암호화 모델, Azure Key Vault를 사용한 키 관리 등 주요 영역을 다룹니다. 다양한 암호화 수준과 해당 수준이 조직 내 시나리오와 어떻게 일치하는지 검토합니다. |
| 데이터 수집 및 보존 거버넌스 평가 | Microsoft Purview 데이터 수명 주기 관리를 사용하면 보존 정책을 적용할 수 있습니다. Microsoft Purview 레코드 관리를 사용하면 보존 레이블을 적용할 수 있습니다. 이 전략은 전체 데이터 자산에 걸쳐 자산에 대한 표시 유형을 확보하는 데 도움이 됩니다. 또한 이 전략은 클라우드, 앱, 엔드포인트 전반에서 중요한 데이터를 보호하고 관리하는 데 도움이 됩니다. 중요:45 CFR 164.316에 명시된 바와 같이: 시간 제한(필수) . 본 섹션의 (b)(1)항에서 요구하는 설명서는 작성일 또는 마지막 발효일 중 더 늦은 날짜로부터 6년 동안 보존합니다. |
HIPAA - PHI 데이터 전송 보호
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
PHI 데이터가 포함된 데이터 교환을 보호하기 위한 정책 및 절차를 수립합니다.
| 권장 | 작업 |
|---|---|
| 온-프레미스 애플리케이션 상태 평가 | Microsoft Entra 애플리케이션 프록시 구현은 온-프레미스 웹 애플리케이션을 안전한 방식으로 외부에 게시합니다. Microsoft Entra 애플리케이션 프록시를 사용하면 외부 URL 엔드포인트를 Azure에 안전하게 게시할 수 있습니다. |
| 다단계 인증 사용 | Microsoft Entra 다단계 인증은 보안 계층을 추가하여 ID를 보호합니다. 더 많은 보안 계층을 추가하는 것은 무단 액세스를 방지하는 효과적인 방법입니다. MFA를 사용하면 인증 프로세스 중에 로그인 자격 증명에 대한 추가 유효성 검사를 요구할 수 있습니다. 원클릭 인증 또는 암호 없는 인증을 제공하도록 Authenticator 앱을 구성할 수 있습니다. |
| 애플리케이션 액세스에 대한 조건부 액세스 정책 사용하도록 설정 | 조건부 액세스 정책은 승인된 애플리케이션에 대한 액세스를 제한하는 데 도움이 됩니다. Microsoft Entra는 사용자, 디바이스 또는 위치의 신호를 분석하여 결정을 자동화하고 리소스 및 데이터에 대한 액세스를 위한 조직 정책을 적용합니다. |
| EOP(Exchange Online Protection) 정책 검토 | Exchange Online 스팸 및 맬웨어 방지는 맬웨어 및 스팸 필터링 기능을 기본으로 제공합니다. EOP는 인바운드 및 아웃바운드 메시지를 보호하며 기본적으로 사용하도록 설정됩니다. EOP 서비스는 또한 스푸핑 방지, 메시지 격리 및 Outlook에서 메시지 보고 기능을 제공합니다. 정책은 회사 전체 설정에 맞게 사용자 지정할 수 있으며 기본 정책보다 우선 적용됩니다. |
| 민감도 레이블 구성 | Microsoft Purview의 민감도 레이블을 사용하면 조직 데이터를 분류하고 보호할 수 있습니다. 레이블은 설명서의 보호 설정을 컨테이너에 제공합니다. 예를 들어, 이 도구는 Microsoft Teams 및 SharePoint 사이트에 저장된 문서를 보호하여 개인 정보 설정을 지정하고 적용합니다. SQL, Azure SQL, Azure Synapse, Azure Cosmos DB 및 AWS RDS와 같은 파일 및 데이터 자산으로 레이블을 확장합니다. 기본적으로 제공되는 200개의 중요한 정보 형식 외에도 사용자 지정 중요한 형식을 보호하기 위한 이름 항목, 학습 가능한 분류자, EDM과 같은 고급 분류자가 있습니다. |
| 서비스에 연결하려면 프라이빗 연결이 필요한지 평가합니다. | Azure ExpressRoute는 클라우드 기반 Azure 데이터 센터와 온-프레미스 인프라 간에 프라이빗 연결을 만듭니다. 데이터는 공용 인터넷을 통해 전송되지 않습니다. 이 서비스는 Layer 3 연결을 사용하고 에지 라우터를 연결하며 동적 확장성을 제공합니다. |
| VPN 요구 사항 평가 | VPN Gateway 설명서는 사이트 간, 지점 및 사이트 간, VNet 간 및 다중 사이트 VPN 연결을 통해 온-프레미스 네트워크를 Azure에 연결합니다. 이 서비스는 다음을 통해 하이브리드 작업 환경을 지원합니다. 안전한 데이터 전송을 제공합니다. |