Platforma Azure — lokalna i HIPAA
Ten artykuł zawiera wskazówki dotyczące sposobu, w jaki organizacje mogą najefektywniej nawigować po zgodności HIPAA dla rozwiązań utworzonych za pomocą usługi Azure Local.
Zgodność opieki zdrowotnej
Health Insurance Portability and Accountability Act of 1996 (HIPAA) i standardów opieki zdrowotnej, takich jak Health Information Technology for Economic and Clinical Health Health (HITECH) i Health Information Trust Alliance (HITRUST) chronić poufność, integralność i dostępność chronionych informacji zdrowotnych pacjentów (PHI). Te przepisy i standardy zapewniają, że organizacje opieki zdrowotnej, takie jak biura lekarzy, szpitale i ubezpieczyciele zdrowotne ("objęte podmioty") tworzą, otrzymują, utrzymują, przesyłają lub uzyskują odpowiedni dostęp do phi. Ponadto ich wymagania dotyczą współpracowników biznesowych, którzy dostarczają usługi, które obejmują phi dla objętych podmiotów. Firma Microsoft jest przykładem współpracownika biznesowego, który zapewnia usługi informatyczne, takie jak Azure Local, aby pomóc firmom opieki zdrowotnej przechowywać i przetwarzać phi wydajniej i bezpieczniej. Poniższe sekcje zawierają informacje na temat sposobu, w jaki możliwości lokalne platformy Azure pomagają organizacjom spełnić te wymagania.
Wspólna odpowiedzialność
Klienci firmy Microsoft
Jako jednostka objęta przepisami HIPAA organizacje opieki zdrowotnej niezależnie analizują swoje unikatowe środowiska technologiczne i przypadki użycia, a następnie planują i wdrażają zasady i procedury zgodne z wymaganiami przepisów. Objęte jednostki są odpowiedzialne za zapewnienie zgodności swoich rozwiązań technologicznych. Wskazówki zawarte w tym artykule i innych zasobach dostarczonych przez firmę Microsoft mogą być używane jako odwołanie.
Microsoft
Zgodnie z przepisami HIPAA współpracownicy biznesowi nie zapewniają zgodności z przepisami HIPAA, ale zamiast tego wchodzą w umowę BUSINESS Associate Agreement (BAA) z objętymi jednostkami. Firma Microsoft oferuje umowę BAAA HIPAA w ramach postanowień dotyczących produktów firmy Microsoft (dawniej warunków dotyczących usług online) wszystkim klientom, którzy są objęte jednostkami lub współpracownikami biznesowymi w ramach programu HIPAA do użytku z usługami platformy Azure w zakresie.
Oferty zgodności lokalnej platformy Azure
Azure Local to rozwiązanie hybrydowe, które hostuje i przechowuje zwirtualizowane obciążenia zarówno w chmurze platformy Azure, jak i w lokalnym centrum danych. Oznacza to, że wymagania HIPAA muszą być spełnione zarówno w chmurze, jak i w lokalnym centrum danych.
Usługi w chmurze platformy Azure
Ponieważ przepisy HIPAA są przeznaczone dla firm opieki zdrowotnej, usługi w chmurze, takie jak Microsoft Azure, nie mogą być certyfikowane. Jednak połączone usługi w chmurze platformy Azure i platformy Azure są zgodne z innymi ustalonymi strukturami zabezpieczeń i standardami, które są równoważne lub bardziej rygorystyczne niż HIPAA i HITECH. Dowiedz się więcej o programie zgodności platformy Azure dla branży opieki zdrowotnej na platformie Azure i w systemie HIPAA.
Środowisko lokalne
Jako rozwiązanie hybrydowe platforma Azure Local łączy usługi w chmurze platformy Azure z systemami operacyjnymi i infrastrukturą hostowaną lokalnie przez organizacje klientów. Firma Microsoft udostępnia szereg funkcji, które pomagają organizacjom spełnić wymagania zgodności z przepisami HIPAA i innymi standardami branżowymi opieki zdrowotnej, zarówno w środowiskach w chmurze, jak i w środowiskach lokalnych.
Możliwości lokalne platformy Azure związane z regułą zabezpieczeń HIPAA
W tej sekcji opisano, jak funkcje usługi Azure Local pomagają osiągnąć cele kontroli zabezpieczeń reguły zabezpieczeń HIPAA, która obejmuje następujące pięć domen kontroli:
- Zarządzanie tożsamościami i dostępem
- Ochrona danych
- Rejestrowanie i monitorowanie
- Ochrona przed złośliwym oprogramowaniem
- Tworzenie kopii zapasowej i odzyskiwanie
Ważne
Poniższe sekcje zawierają wskazówki dotyczące warstwy platformy. Informacje o konkretnych obciążeniach i warstwach aplikacji są poza zakresem.
Zarządzanie tożsamościami i dostępem
Usługa Azure Local zapewnia pełny i bezpośredni dostęp do systemów bazowych za pośrednictwem wielu interfejsów, takich jak Azure Arc i Windows PowerShell. Do zarządzania tożsamościami i dostępem do platformy można użyć konwencjonalnych narzędzi systemu Windows w środowiskach lokalnych lub rozwiązań opartych na chmurze, takich jak Microsoft Entra ID (dawniej Azure Active Directory). W obu przypadkach można korzystać z wbudowanych funkcji zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe (MFA), dostęp warunkowy, kontrola dostępu oparta na rolach (RBAC) i zarządzanie tożsamościami uprzywilejowanymi (PIM), aby zapewnić bezpieczeństwo i zgodność środowiska.
Dowiedz się więcej o zarządzaniu tożsamościami lokalnymi i dostępem w usłudze Microsoft Identity Manager i Privileged Access Management for domena usługi Active Directory Services. Dowiedz się więcej na temat zarządzania tożsamościami i dostępem opartymi na chmurze na stronie Microsoft Entra ID.
Ochrona danych
Szyfrowanie danych za pomocą funkcji BitLocker
W przypadku wystąpień lokalnych platformy Azure wszystkie dane magazynowane mogą być szyfrowane za pośrednictwem 256-bitowego szyfrowania XTS-AES funkcji BitLocker. Domyślnie system zaleca włączenie funkcji BitLocker do szyfrowania wszystkich woluminów systemu operacyjnego i udostępnionych woluminów klastra (CSV) w ramach wdrożenia lokalnego platformy Azure. W przypadku wszystkich nowych woluminów magazynu dodanych po wdrożeniu należy ręcznie włączyć funkcję BitLocker w celu zaszyfrowania nowego woluminu magazynu. Używanie funkcji BitLocker do ochrony danych może pomóc organizacjom zachować zgodność z normą ISO/IEC 27001. Dowiedz się więcej na temat używania funkcji BitLocker z udostępnionymi woluminami klastra (CSV).
Ochrona ruchu sieciowego zewnętrznego za pomocą protokołu TLS/DTLS
Domyślnie cała komunikacja hosta z lokalnymi i zdalnymi punktami końcowymi jest szyfrowana przy użyciu protokołów TLS1.2, TLS1.3 i DTLS 1.2. Platforma wyłącza korzystanie ze starszych protokołów/skrótów, takich jak TLS/DTLS 1.1 SMB1. Usługa Azure Stack HCI obsługuje również silne zestawy szyfrowania, takie jak krzywe wielokropkowe zgodne ze standardem SDL, ograniczone do krzywych NIST P-256 i P-384.
Ochrona ruchu sieciowego wewnętrznego za pomocą bloku komunikatów serwera (SMB)
Podpisywanie protokołu SMB jest domyślnie włączone dla połączeń klienta w wystąpieniach lokalnych platformy Azure. W przypadku ruchu wewnątrz klastra szyfrowanie SMB jest opcją, która umożliwia organizacjom podczas wdrażania lub po wdrożeniu ochronę danych przesyłanych między systemami. Zestawy kryptograficzne AES-256-GCM i AES-256-CCM są teraz obsługiwane przez protokół SMB 3.1.1 używany przez ruch plików client-server i sieć szkieletową danych wewnątrz klastra. Protokół nadal obsługuje bardziej ogólnie zgodny pakiet ES-128. Dowiedz się więcej na temat ulepszeń zabezpieczeń protokołu SMB.
Rejestrowanie i monitorowanie
Dzienniki systemu lokalnego
Domyślnie wszystkie operacje wykonywane w ramach usługi Azure Local są rejestrowane, aby śledzić, kto zrobił co, kiedy i gdzie na platformie. Dzienniki i alerty utworzone przez usługę Windows Defender są również uwzględniane w celu zapobiegania, wykrywania i minimalizowania prawdopodobieństwa naruszenia zabezpieczeń danych oraz ich wpływu. Ponieważ dziennik systemu często zawiera dużą ilość informacji, wiele z nich jest nadmiarowych do monitorowania zabezpieczeń informacji, należy określić, które zdarzenia mają być zbierane i wykorzystywane do celów monitorowania zabezpieczeń. Funkcje monitorowania platformy Azure ułatwiają zbieranie, przechowywanie, alerty i analizowanie tych dzienników. Zapoznaj się z punktem odniesienia zabezpieczeń dla platformy Azure Local , aby dowiedzieć się więcej.
Lokalne dzienniki aktywności
Usługa Azure Local tworzy i przechowuje dzienniki aktywności dla dowolnego wykonanego planu działania. Te dzienniki obsługują dokładniejsze badanie i monitorowanie zgodności.
Dzienniki aktywności w chmurze
Rejestrując klastry na platformie Azure, możesz użyć dzienników aktywności usługi Azure Monitor, aby rejestrować operacje na poszczególnych zasobach w warstwie subskrypcji, aby określić, co, kto i kiedy dla wszystkich operacji zapisu (umieścić, opublikować lub usunąć) pobranych zasobów w ramach subskrypcji.
Dzienniki tożsamości w chmurze
Jeśli używasz identyfikatora Entra firmy Microsoft do zarządzania tożsamościami i dostępem do platformy, możesz wyświetlać dzienniki w raportach usługi Azure AD lub integrować je z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowania do zaawansowanych przypadków użycia monitorowania i analizy. Jeśli używasz lokalna usługa Active Directory, użyj rozwiązania Microsoft Defender for Identity, aby wykorzystać sygnały lokalna usługa Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszonymi zabezpieczeniami i złośliwych akcji wewnętrznych skierowanych do organizacji.
Integracja rozwiązania SIEM
Microsoft Defender dla Chmury i Microsoft Sentinel są natywnie zintegrowane z maszynami lokalnymi platformy Azure z obsługą usługi Arc. Dzienniki można włączyć i dołączyć do usługi Microsoft Sentinel, która zapewnia funkcję zarządzania zdarzeniami zabezpieczeń (SIEM) i automatycznego reagowania na zdarzenia zabezpieczeń (SOAR). Usługa Microsoft Sentinel, podobnie jak inne usługi w chmurze platformy Azure, jest zgodna z wieloma dobrze ugruntowanymi standardami zabezpieczeń, takimi jak HIPAA i HITRUST, co może pomóc w procesie akredytacji. Ponadto usługa Azure Local udostępnia natywny moduł przesyłania dalej zdarzeń dziennika systemowego w celu wysyłania zdarzeń systemowych do rozwiązań SIEM innych firm.
Azure Local Insights
Usługa Azure Local Insights umożliwia monitorowanie informacji o kondycji, wydajności i użyciu dla systemów połączonych z platformą Azure i zarejestrowanych w monitorowaniu. Podczas konfigurowania usługi Insights tworzona jest reguła zbierania danych, która określa dane do zebrania. Te dane są przechowywane w obszarze roboczym usługi Log Analytics, który jest następnie agregowany, filtrowany i analizowany w celu zapewnienia wstępnie utworzonych pulpitów nawigacyjnych monitorowania przy użyciu skoroszytów platformy Azure. Dane monitorowania dla systemów z jednym węzłem lub wieloma węzłami można wyświetlić na stronie zasobów lokalnych platformy Azure lub w usłudze Azure Monitor. Dowiedz się więcej na stronie Monitorowanie usługi Azure Local za pomocą szczegółowych informacji.
Metryki lokalne platformy Azure
Metryki przechowują dane liczbowe z monitorowanych zasobów do bazy danych szeregów czasowych. Eksplorator metryk usługi Azure Monitor umożliwia interaktywne analizowanie danych w bazie danych metryk i tworzenie wykresów wartości wielu metryk w czasie. Za pomocą metryk można tworzyć wykresy na podstawie wartości metryk i wizualnie korelować trendy.
Alerty dotyczące dzienników
Aby wskazać problemy w czasie rzeczywistym, możesz skonfigurować alerty dla systemów Azure Stack HCI przy użyciu wstępnie istniejących przykładowych zapytań dziennika, takich jak średnie użycie procesora CPU serwera, dostępna pamięć, dostępna pojemność woluminu i nie tylko. Dowiedz się więcej na stronie Konfigurowanie alertów dla systemów lokalnych platformy Azure.
Alerty dotyczące metryk
Reguła alertu metryki monitoruje zasób, oceniając warunki metryk zasobów w regularnych odstępach czasu. Jeśli warunki zostaną spełnione, zostanie wyzwolony alert. Szereg czasowy metryki to seria wartości metryk przechwyconych w danym okresie. Te metryki umożliwiają tworzenie reguł alertów. Dowiedz się więcej na temat tworzenia alertów metryk w obszarze Alerty metryk.
Alerty dotyczące usług i urządzeń
Usługa Azure Local udostępnia alerty oparte na usłudze dotyczące łączności, aktualizacji systemu operacyjnego, konfiguracji platformy Azure i nie tylko. Dostępne są również alerty oparte na urządzeniach dotyczące błędów kondycji klastra. Możesz również monitorować wystąpienia lokalne platformy Azure i ich podstawowe składniki przy użyciu programu PowerShell lub Usługa kondycji.
Ochrona przed złośliwym oprogramowaniem
Program antywirusowy Windows Defender
Program antywirusowy Windows Defender to aplikacja narzędziowa, która umożliwia wymuszanie skanowania systemu w czasie rzeczywistym i okresowego skanowania w celu ochrony platformy i obciążeń przed wirusami, złośliwym oprogramowaniem, programami szpiegującymi i innymi zagrożeniami. Domyślnie Program antywirusowy Microsoft Defender jest włączona w usłudze Azure Local. Firma Microsoft zaleca używanie Program antywirusowy Microsoft Defender z platformą Azure lokalnie, a nie oprogramowaniem antywirusowym i usługami wykrywania złośliwego oprogramowania, ponieważ może to mieć wpływ na zdolność systemu operacyjnego do odbierania aktualizacji. Dowiedz się więcej na stronie Program antywirusowy Microsoft Defender w systemie Windows Server.
Kontrola aplikacji usługi Windows Defender
Kontrola aplikacji usługi Windows Defender (WDAC) jest domyślnie włączona w usłudze Azure Local w celu kontrolowania, które sterowniki i aplikacje mogą być uruchamiane bezpośrednio na każdym serwerze, co pomaga zapobiec uzyskiwaniu dostępu do systemu przez złośliwe oprogramowanie. Dowiedz się więcej na temat zasad podstawowych zawartych w usłudze Azure Local i sposobu tworzenia zasad uzupełniających w temacie Zarządzanie kontrolą aplikacji usługi Windows Defender dla platformy Azure Lokalnie.
Microsoft Defender for Cloud
Microsoft Defender dla Chmury z programem Endpoint Protection (włączonym za pośrednictwem planu usługi Defender for Servers) zapewnia rozwiązanie do zarządzania stanem zabezpieczeń z zaawansowanymi funkcjami ochrony przed zagrożeniami. Udostępnia ona narzędzia umożliwiające ocenę stanu zabezpieczeń infrastruktury, ochronę obciążeń, podniesienie alertów zabezpieczeń oraz wykonanie określonych zaleceń w celu skorygowania ataków i rozwiązania przyszłych zagrożeń. Wykonuje ona wszystkie te usługi z dużą szybkością w chmurze bez obciążeń związanych z wdrażaniem dzięki automatycznej aprowizacji i ochronie usług platformy Azure. Dowiedz się więcej na stronie Microsoft Defender dla Chmury.
Tworzenie kopii zapasowych i odzyskiwanie
Klaster rozproszony
Usługa Azure Local zapewnia wbudowaną obsługę odzyskiwania po awarii zwirtualizowanych obciążeń za pośrednictwem klastrowania rozproszonego (dostępnego w usłudze Azure Local w wersji 22H2). Wdrażając rozproszone wystąpienie lokalne platformy Azure, można synchronicznie replikować zwirtualizowane obciążenia w dwóch oddzielnych lokalizacjach lokalnych i automatycznie przechodzić między nimi w tryb failover. Planowane przełączenia lokacji w tryb failover mogą wystąpić bez przestojów przy użyciu migracji na żywo funkcji Hyper-V.
Węzły klastra Kubernetes
Jeśli używasz usługi Azure Local do hostowania wdrożeń opartych na kontenerach, platforma pomaga zwiększyć elastyczność i odporność związaną z wdrożeniami usługi Azure Kubernetes. Usługa Azure Local zarządza automatycznym trybem failover maszyn wirtualnych obsługujących węzły klastra Kubernetes, jeśli wystąpi zlokalizowana awaria podstawowych składników fizycznych. Ta konfiguracja uzupełnia wysoką dostępność wbudowaną w platformę Kubernetes, która automatycznie ponownie uruchamia kontenery, które uległy awarii na tej samej lub innej maszynie wirtualnej.
Azure Site Recovery
Ta usługa umożliwia replikowanie obciążeń uruchomionych na lokalnych maszynach wirtualnych platformy Azure do chmury, dzięki czemu system informacyjny może zostać przywrócony w przypadku wystąpienia zdarzenia, awarii lub utraty nośnika magazynu. Podobnie jak w przypadku innych usług w chmurze platformy Azure usługa Azure Site Recovery ma długą ścieżkę zabezpieczeń certyfikatów, w tym HITRUST, których można użyć do obsługi procesu akredytacji. Dowiedz się więcej na stronie Ochrona obciążeń maszyn wirtualnych za pomocą usługi Azure Site Recovery w środowisku lokalnym platformy Azure.
Microsoft Azure Backup Server (MABS)
Ta usługa umożliwia tworzenie kopii zapasowych lokalnych maszyn wirtualnych platformy Azure, określając żądaną częstotliwość i okres przechowywania. Usługa MABS umożliwia tworzenie kopii zapasowych większości zasobów w środowisku, w tym:
- System State/Bare-Metal Recovery (BMR) hosta lokalnego platformy Azure
- Maszyny wirtualne gościa w systemie z lokalnym lub bezpośrednio dołączonym magazynem
- Maszyny wirtualne gościa w wystąpieniu lokalnym platformy Azure z magazynem CSV
- Przenoszenie maszyny wirtualnej w klastrze
Dowiedz się więcej na stronie Tworzenie kopii zapasowych lokalnych maszyn wirtualnych platformy Azure za pomocą usługi Azure Backup Server.