Microsoft Entra configuration recommendations for HITRUST controls (Zalecenia dotyczące konfiguracji firmy Microsoft dla kontrolek HITRUST)
Wskazówki zawarte w tym artykule ułatwiają nawigowanie po szczegółach i udostępnia zalecenia dotyczące usług i funkcji w identyfikatorze Entra firmy Microsoft w celu zapewnienia zgodności z kontrolkami HITRUST. Skorzystaj z tych informacji, aby zrozumieć ramy Health Information Trust Alliance (HITRUST) i wspierać Twoją odpowiedzialność za zapewnienie zgodności organizacji z ustawą Health Insurance Portability and Accountability Act z 1996 r. (HIPAA). Oceny obejmują pracę z certyfikowanymi osobami oceniającym HITRUST, którzy są wiedzą na temat struktury i są wymagane, aby ułatwić ci przeprowadzenie procesu i zrozumienie wymagań.
Akronimy
W poniższej tabeli wymieniono akronimy i ich pisownię w tym artykule.
| Akronim | Pisowni |
|---|---|
| CE | Jednostka objęta |
| CSF | Wspólna struktura zabezpieczeń |
| HIPAA | Health Insurance Portability and Accountability Act of 1996 |
| HSR | Reguła zabezpieczeń HIPAA |
| HITRUST | Health Information Trust Alliance |
| IAM | Zarządzanie tożsamościami i dostępem |
| Dostawca tożsamości | Dostawca tożsamości |
| ISO | Międzynarodowa Organizacja standaryzacji |
| ISMS | System zarządzania zabezpieczeniami informacji |
| JEA | Wystarczająca ilość dostępu |
| JML | Dołącz, przenieś, pozostaw |
| Uwierzytelnianie wieloskładnikowe | Uwierzytelnianie wieloskładnikowe firmy Microsoft |
| NIST | National Institute of Standards and Technology, US Dept. of Commerce |
| PHI | Chronione informacje o kondycji |
| PIM | Privileged Identity Management |
| Logowanie jednokrotne | Logowanie jednokrotne |
| DOTKNIJ | Dostęp tymczasowy |
Health Information Trust Alliance
Organizacja HITRUST ustanowiła common security framework (CSF), aby ustandaryzować i usprawnić wymagania dotyczące zabezpieczeń i prywatności dla organizacji w branży opieki zdrowotnej. HITRUST CSF założono w 2007 r., aby sprostać złożonym środowisku regulacyjnym, wyzwaniom związanym z bezpieczeństwem i prywatnością, przed którymi stoją organizacje podczas obsługi danych osobowych i chronionych danych dotyczących zdrowia (PHI). CsF składa się z 14 kategorii kontroli obejmujących 49 celów kontroli i 156 specyfiki kontroli. Został zbudowany na podstawowych zasadach Międzynarodowej Organizacji Standaryzacji (ISO) 27001 i ISO 27002.
Narzędzie HITRUST MyCSF jest dostępne w witrynie Azure Marketplace. Służy do zarządzania zagrożeniami bezpieczeństwa informacji, ładem danych, aby zapewnić zgodność z przepisami dotyczącymi ochrony informacji, a także przestrzegać krajowych i międzynarodowych standardów i najlepszych rozwiązań.
Uwaga
ISO 27001 to standard zarządzania określający wymagania systemu zarządzania zabezpieczeniami informacji (ISMS). ISO 27002 to zestaw najlepszych rozwiązań do wybierania i implementowania mechanizmów kontroli zabezpieczeń w strukturze ISO 27001.
Reguła zabezpieczeń HIPAA
Zasada zabezpieczeń HIPAA (HSR, HIPAA Security Rule) ustanawia standardy ochrony elektronicznych informacji o zdrowiu osoby fizycznej utworzonych, otrzymanych, używanych lub utrzymywanych przez jednostkę objętą (CE), która jest planem zdrowia, rozliczeń opieki zdrowotnej lub dostawcą opieki zdrowotnej. Departament Zdrowia i Usług Ludzkich (HHS) USA zarządza HSR. HHS wymaga zabezpieczeń administracyjnych, fizycznych i technicznych w celu zapewnienia poufności, integralności i bezpieczeństwa elektronicznej jednostki PHI.
HITRUST i HIPAA
HITRUST opracował CSF, który obejmuje standardy zabezpieczeń i prywatności w celu wspierania przepisów dotyczących opieki zdrowotnej. Mechanizmy kontroli CSF i najlepsze rozwiązania upraszczają zadanie konsolidacji źródeł w celu zapewnienia zgodności z przepisami federalnymi, zabezpieczeniami HIPAA i zasadami ochrony prywatności. HISTRUST CSF to wiarygodna struktura zabezpieczeń i prywatności z mechanizmami kontroli i wymagań w celu zademonstrowania zgodności z przepisami HIPAA. Organizacje opieki zdrowotnej powszechnie przyjęły ramy. Skorzystaj z poniższej tabeli, aby dowiedzieć się więcej o kontrolkach.
| Kategoria kontrolki | Nazwa kategorii kontrolki |
|---|---|
| 0 | Program zarządzania zabezpieczeniami informacji |
| 1 | Kontrola dostępu |
| 2 | Zabezpieczenia zasobów ludzkich |
| 3 | Zarządzanie ryzykiem |
| 100 | Zasady zabezpieczeń |
| 5 | Organizacja zabezpieczeń informacji |
| 6 | Zgodność |
| 7 | Zarządzanie zasobami |
| 8 | Bezpieczeństwo fizyczne i środowiskowe |
| 9 | Zarządzanie komunikacją i operacjami |
| 10 | Pozyskiwanie, opracowywanie i konserwacja systemów informatycznych |
| 11 | Zarządzanie zdarzeniami zabezpieczeń informacji |
| 12 | Zarządzanie ciągłością prowadzenia działalności biznesowej (Business Continuity Management) |
| 13 | Ochrony prywatności |
Dowiedz się więcej na platformie Microsoft Azure to certyfikat HITRUST CSF, który obejmuje zarządzanie tożsamościami i dostępem:
- Microsoft Entra ID, wcześniej znany jako Azure Active Directory
- Zarządzanie prawami w usłudze Microsoft Purview
- Microsoft Entra MultiFactor Authentication (MFA)
Kategorie i zalecenia dotyczące kontroli dostępu
Poniższa tabela zawiera kategorię kontroli dostępu do zarządzania tożsamościami i dostępem (IAM) oraz zalecenia firmy Microsoft Entra, które pomagają spełnić wymagania kategorii kontroli. Szczegóły pochodzą z hiTRUST MyCSF v11, który odwołuje się do reguły zabezpieczeń HIPAA, dodanej do odpowiedniej kontrolki.
| KONTROLA HITRUST, cel i HSR | Microsoft Entra guidance and recommendation (Wskazówki i rekomendacje firmy Microsoft) |
|---|---|
| CSF, kontrolka V11 01.b Rejestracja użytkownika Kategoria kontrolki Kontrola dostępu — rejestracja użytkownika i anulowanie rejestracji Specyfikacja kontrolki Organizacja używa formalnej rejestracji użytkownika i procesu wyrejestrowania, aby umożliwić przypisywanie praw dostępu. Nazwa celu Autoryzowany dostęp do systemów informacyjnych Reguła zabezpieczeń HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID to platforma tożsamości do weryfikacji, uwierzytelniania i zarządzania poświadczeniami, gdy tożsamość loguje się do urządzenia, aplikacji lub serwera. Jest to oparta na chmurze usługa zarządzania tożsamościami i dostępem z logowaniem jednokrotnym, uwierzytelnianiem wieloskładnikowym i dostępem warunkowym w celu ochrony przed atakami zabezpieczeń. Uwierzytelnianie gwarantuje, że tylko autoryzowane tożsamości uzyskują dostęp do zasobów i danych. Przepływy pracy cyklu życia umożliwiają zarządzanie tożsamościami w celu zautomatyzowania cyklu życia cyklu życia dołączania, mover, leaver (JML). Centralizuje proces przepływu pracy przy użyciu wbudowanych szablonów lub niestandardowych przepływów pracy. Ta praktyka pomaga zmniejszyć lub potencjalnie usunąć zadania ręczne dla wymagań strategii JML organizacji. W witrynie Azure Portal przejdź do pozycji Zarządzanie tożsamościami w menu Microsoft Entra ID, aby przejrzeć lub skonfigurować zadania pod kątem wymagań organizacji. Firma Microsoft Entra Połączenie integruje katalogi lokalne z identyfikatorem Entra firmy Microsoft, obsługując korzystanie z jednej tożsamości w celu uzyskiwania dostępu do lokalnych aplikacji i usług w chmurze, takich jak Microsoft 365. Organizuje synchronizację między usługą Active Directory (AD) i identyfikatorem Entra firmy Microsoft. Aby rozpocząć pracę z firmą Microsoft Entra Połączenie, zapoznaj się z wymaganiami wstępnymi. Zwróć uwagę na wymagania dotyczące serwera i sposób przygotowania dzierżawy firmy Microsoft Do zarządzania. Microsoft Entra Połączenie Sync to agent aprowizacji zarządzany w chmurze, który obsługuje synchronizację z identyfikatorem Entra firmy Microsoft ze środowiska usługi AD odłączonego od wielu lasów. Używaj lekkich agentów z Połączenie firmy Microsoft. Zalecamy synchronizację skrótów haseł, aby zmniejszyć liczbę haseł i chronić przed wyciekiem wykrywania poświadczeń. |
| CSF, kontrolka V11 01.c Privilege Management Kategoria kontrolki Kontrola dostępu — uprzywilejowane konta Specyfikacja kontrolki Organizacja zapewnia, że autoryzowane konta użytkowników są rejestrowane, śledzone i okresowo weryfikowane w celu zapobiegania nieautoryzowanemu dostępowi do systemów informacyjnych Nazwa celu Autoryzowany dostęp do systemów informacyjnych Reguła zabezpieczeń HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) to usługa w usłudze Microsoft Entra ID do zarządzania, kontrolowania i monitorowania dostępu do ważnych zasobów w organizacji. Minimalizuje liczbę osób z dostępem do bezpiecznych informacji, aby zapobiec uzyskiwaniu dostępu przez złośliwych podmiotów. Usługa PIM ma dostęp na podstawie czasu i zatwierdzenia, aby ograniczyć ryzyko nadmiernego, niepotrzebnego lub nieprawidłowego użycia uprawnień dostępu. Ułatwia ona identyfikowanie i analizowanie kont uprzywilejowanych w celu zapewnienia wystarczającej ilości dostępu (JEA), aby użytkownik mógł wykonywać swoją rolę. Monitorowanie i generowanie alertów zapobiega podejrzanym działaniom, wyświetlanie listy użytkowników i ról, które wyzwalają alert, przy jednoczesnym zmniejszeniu ryzyka nieautoryzowanego dostępu. Dostosowywanie alertów dla strategii zabezpieczeń organizacji. Przeglądy dostępu umożliwiają organizacjom efektywne zarządzanie przypisaniami ról i członkostwem w grupach. Zachowaj bezpieczeństwo i zgodność, oceniając, które konta mają dostęp i zapewniają, że dostęp zostanie odwołany w razie potrzeby, co minimalizuje ryzyko związane z nadmiernymi lub nieaktualnymi uprawnieniami. |
| CSF, kontrolka V11 0.1d Zarządzanie hasłami użytkowników Kategoria kontrolki Kontrola dostępu — procedury Specyfikacja kontrolki Aby zapewnić, że autoryzowane konta użytkowników są rejestrowane, śledzone i okresowo weryfikowane w celu zapobiegania nieautoryzowanemu dostępowi do systemów informacyjnych. Nazwa celu Autoryzowany dostęp do systemów informacyjnych Reguła zabezpieczeń HIPAA §164.308(a)(5)(ii)(D) |
Zarządzanie hasłami jest krytycznym aspektem infrastruktury zabezpieczeń. Dopasowanie do najlepszych rozwiązań w celu utworzenia niezawodnego stanu zabezpieczeń, identyfikator Firmy Microsoft Entra ułatwia kompleksową obsługę strategii: logowanie jednokrotne i uwierzytelnianie wieloskładnikowe, takie jak klucze zabezpieczeń FIDO2 i Windows Hello dla firm (WHfB) zmniejsza ryzyko użytkownika i usprawnia środowisko uwierzytelniania użytkownika. Firma Microsoft Entra Password Protection wykrywa i blokuje znane słabe hasła. Obejmuje ona zasady haseł i ma elastyczność definiowania niestandardowej listy haseł i tworzenia strategii zarządzania hasłami w celu ochrony użycia haseł. Wymagania dotyczące długości i siły hasła HITRUST są zgodne z National Institute of Standards and Technology NIST 800-63B, który zawiera co najmniej osiem znaków hasła lub 15 znaków dla kont z najbardziej uprzywilejowanym dostępem. Miary złożoności obejmują co najmniej jedną liczbę i/lub znak specjalny oraz co najmniej jedną górną i małą literę dla kont uprzywilejowanych. |
| CSF, kontrolka V11 01.p Bezpieczne procedury logowania Kategoria kontrolki Kontrola dostępu — bezpieczne logowanie Specyfikacja kontrolki Organizacja kontroluje dostęp do zasobów informacji przy użyciu bezpiecznej procedury logowania. Nazwa celu Kontrola dostępu systemu operacyjnego Reguła zabezpieczeń HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
Bezpieczne logowanie to proces bezpiecznego uwierzytelniania tożsamości podczas próby uzyskania dostępu do systemu. Kontrola koncentruje się na systemie operacyjnym, usługi Microsoft Entra pomagają wzmocnić bezpieczne logowanie. Zasady dostępu warunkowego pomagają organizacjom ograniczyć dostęp do zatwierdzonych aplikacji, zasobów i zapewnić bezpieczeństwo urządzeń. Microsoft Entra ID analizuje sygnały z zasad dostępu warunkowego z tożsamości, lokalizacji lub urządzenia, aby zautomatyzować decyzję i wymusić zasady organizacyjne dostępu do zasobów i danych. Kontrola dostępu oparta na rolach (RBAC) ułatwia zarządzanie dostępem i zasobami zarządzanymi w organizacji. Kontrola dostępu oparta na rolach pomaga zaimplementować zasadę najniższych uprawnień, zapewniając użytkownikom uprawnienia potrzebne do wykonywania zadań. Ta akcja minimalizuje ryzyko przypadkowej lub zamierzonej błędnej konfiguracji. Jak wspomniano w przypadku kontroli zarządzania hasłami użytkowników w wersji 0.1d, uwierzytelnianie bez hasła używa danych biometrycznych, ponieważ jest trudne do sgeowania, zapewniając w ten sposób bezpieczniejsze uwierzytelnianie. |
| CSF, kontrolka V11 01.q Identyfikacja i uwierzytelnianie użytkowników Kategoria kontrolki Nie dotyczy Specyfikacja kontrolki Wszyscy użytkownicy mają unikatowy identyfikator (identyfikator użytkownika) tylko do użytku osobistego, a technika uwierzytelniania jest wdrażana w celu uzasadnienia tożsamości żądanej przez użytkownika. Nazwa celu Nie dotyczy Reguła zabezpieczeń HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Użyj aprowizacji kont w identyfikatorze Entra firmy Microsoft, aby tworzyć, aktualizować konta użytkowników i zarządzać nimi. Każdy użytkownik i obiekt mają przypisany unikatowy identyfikator (UID) określany jako identyfikator obiektu. Identyfikator UID jest unikatowym globalnie identyfikatorem generowanym automatycznie podczas tworzenia użytkownika lub obiektu. Identyfikator Entra firmy Microsoft obsługuje automatyczną aprowizację użytkowników dla systemów i aplikacji. Automatyczna aprowizacja tworzy nowe konta w odpowiednich systemach, gdy ludzie dołączają do zespołu w organizacji. Automatyczne anulowanie aprowizacji dezaktywuje konta, gdy ludzie odejdą. |
| CSF, kontrolka V11 01.u Ograniczenie czasu Połączenie ion Kategoria kontrolki Kontrola dostępu — bezpieczne logowanie Specyfikacja kontrolki Organizacja kontroluje dostęp do zasobów informacji przy użyciu bezpiecznej procedury logowania. Nazwa celu Kontrola dostępu systemu operacyjnego Reguła zabezpieczeń HIPAA § 164.312(a)(2)(iii) |
Kontrola koncentruje się na systemie operacyjnym, usługi Microsoft Entra pomagają wzmocnić bezpieczne logowanie. Bezpieczne logowanie to proces bezpiecznego uwierzytelniania tożsamości podczas próby uzyskania dostępu do systemu. Firma Microsoft Entra uwierzytelnia użytkowników i ma funkcje zabezpieczeń z informacjami o użytkowniku i zasobie. Informacje obejmują token dostępu, token odświeżania i token identyfikatora. Skonfiguruj zgodnie z wymaganiami organizacji dotyczącymi dostępu do aplikacji. Skorzystaj z tych wskazówek głównie dla klientów mobilnych i stacjonarnych. Zasady dostępu warunkowego obsługują ustawienia konfiguracji dla ograniczeń przeglądarki internetowej uwierzytelnionych sesji. Identyfikator Entra firmy Microsoft oferuje integrację w różnych systemach operacyjnych, aby zapewnić lepsze środowisko użytkownika i obsługę metod uwierzytelniania bez hasła wymienionych: Logowanie jednokrotne platformy dla systemu macOS rozszerza możliwości logowania jednokrotnego dla systemu macOS. Użytkownicy logowali się do komputera Mac przy użyciu poświadczeń bez hasła lub zarządzania hasłami zweryfikowanych przez identyfikator Firmy Microsoft Entra. Środowisko bez hasła systemu Windows promuje środowisko uwierzytelniania bez haseł na urządzeniach dołączonych do firmy Microsoft. Użycie uwierzytelniania bez hasła zmniejsza luki w zabezpieczeniach i zagrożenia związane z tradycyjnym uwierzytelnianiem opartym na hasłach, takie jak ataki wyłudzania informacji, ponowne użycie hasła i przechwytywanie haseł przez rejestrator kluczy. Logowanie internetowe dla systemu Windows to dostawca poświadczeń, który rozszerza możliwości logowania internetowego w systemie Windows 11, obejmujący Windows Hello dla firm, dostęp tymczasowy (TAP) i tożsamości federacyjne. Usługa Azure Virtual Desktop obsługuje logowanie jednokrotne i uwierzytelnianie bez hasła. Za pomocą logowania jednokrotnego możesz użyć uwierzytelniania bez hasła i dostawców tożsamości innych firm , którzy sfederują się z identyfikatorem Microsoft Entra ID, aby zalogować się do zasobów usługi Azure Virtual Desktop. Ma on środowisko logowania jednokrotnego podczas uwierzytelniania na hoście sesji. Konfiguruje sesję w celu zapewnienia logowania jednokrotnego do zasobów firmy Microsoft Entra w sesji. |
Następne kroki
Konfigurowanie zabezpieczeń kontroli dostępu firmy Microsoft Entra HIPAA