Inne wskazówki dotyczące zabezpieczeń
Microsoft Entra ID spełnia wymagania dotyczące praktyk związanych z tożsamościami w zakresie implementowania zabezpieczeń zgodnie z Ustawą o Przenoszalności i Odpowiedzialności w Ubezpieczeniach Zdrowotnych z 1996 roku (HIPAA). Aby zapewnić zgodność ze standardem HIPAA, do firm należy obowiązek wdrożenia zabezpieczeń przy użyciu tych wskazówek, wraz z wszelkimi innymi wymaganymi konfiguracjami lub procesami. Ten artykuł zawiera wskazówki dotyczące zapewniania zgodności z przepisami HIPAA dla następujących trzech mechanizmów kontroli:
- Ochrona integralności
- Ochrona uwierzytelniania osoby lub jednostki
- Ochrona bezpieczeństwa transmisji
Wskazówki dotyczące zabezpieczeń integralności
Identyfikator Entra firmy Microsoft spełnia wymagania dotyczące praktyk związanych z tożsamościami na potrzeby implementowania zabezpieczeń HIPAA. Aby być zgodnym ze standardem HIPAA, zaimplementuj zabezpieczenia, korzystając z tych wskazówek wraz z innymi wymaganymi konfiguracjami lub procesami.
Dla zabezpieczenia modyfikacji danych
Ochrona plików i wiadomości e-mail na wszystkich urządzeniach.
Odnajdywanie i klasyfikowanie poufnych danych.
Szyfruj dokumenty i e-maile, które zawierają poufne lub osobiste dane.
Poniższa zawartość zawiera wskazówki dotyczące hipaa, a następnie tabelę z zaleceniami i wskazówkami firmy Microsoft.
HIPAA — integralność
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Zalecenie | Akcja |
|---|---|
| Włączanie usługi Microsoft Purview Information Protection (IP) | Odnajdywanie, klasyfikowanie, ochrona i zarządzanie poufnymi danymi, obejmujących zarówno dane przechowywane, jak i przesyłane. Ochrona danych za pośrednictwem Microsoft Purview IP pomaga określić krajobraz danych, przejrzeć framework i podjąć aktywne kroki w celu zidentyfikowania i ochrony danych. |
| Konfigurowanie lokalnego zatrzymania w programie Exchange | Usługa Exchange Online udostępnia kilka ustawień do wsparcia eDiscovery.
blokada w miejscu używa określonych parametrów dotyczących elementów, które powinny być przechowywane. Macierz decyzyjna może być oparta na słowach kluczowych, nadawcach, odbiorcach i datach. Rozwiązania Microsoft Purview eDiscovery są częścią portalu zgodności usługi Microsoft Purview i obejmują wszystkie źródła danych platformy Microsoft 365. |
| Konfigurowanie rozszerzenia Secure/Multipurpose Internet Mail w usłudze Exchange Online |
S/MIME to protokół służący do wysyłania cyfrowo podpisanych i zaszyfrowanych wiadomości. Jest on oparty na parowaniu kluczy asymetrycznych, kluczem publicznym i prywatnym. usługi Exchange Online zapewnia szyfrowanie i ochronę zawartości wiadomości e-mail i podpisów, które weryfikują tożsamość nadawcy. |
| Włącz monitorowanie i rejestrowanie. |
Rejestrowanie i monitorowanie są niezbędne do zabezpieczenia środowiska. Te informacje służą do wspierania badań i pomagania wykrywać potencjalne zagrożenia, identyfikując nietypowe wzorce. Włącz rejestrowanie i monitorowanie usług, aby zmniejszyć ryzyko nieautoryzowanego dostępu. audyt Microsoft Purview zapewnia wgląd w działalności podlegające inspekcji w różnych usługach Microsoft 365. Ułatwia to badanie przez zwiększenie przechowywania dziennika inspekcji. |
Wskazówki dotyczące ochrony uwierzytelniania osoby lub jednostki
Identyfikator Entra firmy Microsoft spełnia wymagania dotyczące praktyk związanych z tożsamościami na potrzeby implementowania zabezpieczeń HIPAA. Aby być zgodnym ze standardem HIPAA, zaimplementuj zabezpieczenia, korzystając z tych wskazówek wraz z innymi wymaganymi konfiguracjami lub procesami.
W przypadku zabezpieczeń inspekcji i osoby i jednostki:
Upewnij się, że oświadczenie użytkownika końcowego jest prawidłowe dla dostępu do danych.
Zidentyfikuj i zniweluj wszelkie zagrożenia dla przechowywanych danych.
Poniższa zawartość zawiera wskazówki dotyczące hipaa, a następnie tabelę z zaleceniami i wskazówkami firmy Microsoft.
HIPAA — uwierzytelnianie osób lub jednostek
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Upewnij się, że użytkownicy i urządzenia, które uzyskują dostęp do danych ePHI, są autoryzowane. Należy upewnić się, że urządzenia są zgodne, a akcje są poddawane inspekcji w celu flagowania zagrożeń dla właścicieli danych.
| Zalecenie | Akcja |
|---|---|
| Włączanie uwierzytelniania wieloskładnikowego | uwierzytelnianie wieloskładnikowe firmy Microsoft chroni tożsamości przez dodanie dodatkowej warstwy zabezpieczeń. Dodatkowa warstwa zapewnia skuteczny sposób zapobiegania nieautoryzowanemu dostępowi. Uwierzytelnianie wieloskładnikowe umożliwia wymaganie większej weryfikacji poświadczeń logowania podczas procesu uwierzytelniania. Konfigurowanie aplikacji Authenticator zapewnia weryfikację jednym kliknięciem lub można skonfigurować konfiguracji bez hasła firmy Microsoft. |
| Włączanie zasad dostępu warunkowego | zasady dostępu warunkowego pomagają ograniczyć dostęp tylko do zatwierdzonych aplikacji. Firma Microsoft Entra analizuje sygnały z użytkownika, urządzenia lub lokalizacji w celu zautomatyzowania decyzji i wymuszania zasad organizacji w celu uzyskania dostępu do zasobów i danych. |
| Konfigurowanie zasad dostępu warunkowego opartego na urządzeniach | dostęp warunkowy za pomocą usługi Microsoft Intune na potrzeby zarządzania urządzeniami i zasad firmy Microsoft Entra mogą używać stanu urządzenia w celu udzielenia odmowy dostępu do usług i danych. Wdrażając zasady zgodności urządzeń, określa, czy spełnia wymagania dotyczące zabezpieczeń, aby podjąć decyzje dotyczące zezwolenia na dostęp do zasobów lub ich odmowy. |
| Używanie kontroli dostępu opartej na rolach (RBAC) |
RBAC w usłudze Microsoft Entra ID zapewnia bezpieczeństwo na poziomie przedsiębiorstwa z rozdzieleniem obowiązków. Dostosuj i przejrzyj uprawnienia do ochrony poufności, prywatności i zarządzania dostępem do zasobów i poufnych danych za pomocą systemów. Microsoft Entra ID zapewnia obsługę wbudowanych ról, które są stałym zestawem uprawnień, których nie można modyfikować. Możesz również utworzyć własne role niestandardowe, do których możesz dodać listę ustawień wstępnych. |
Wskazówki dotyczące zabezpieczeń bezpieczeństwa transmisji
Identyfikator Entra firmy Microsoft spełnia wymagania dotyczące praktyk związanych z tożsamościami na potrzeby implementowania zabezpieczeń HIPAA. Aby być zgodnym ze standardem HIPAA, zaimplementuj zabezpieczenia, korzystając z tych wskazówek wraz z innymi wymaganymi konfiguracjami lub procesami.
W przypadku szyfrowania:
Ochrona poufności danych.
Zapobieganie kradzieży danych.
Zapobiegaj nieautoryzowanemu dostępowi do PHI.
Upewnij się, że poziom szyfrowania jest odpowiedni.
Aby chronić transmisję danych PHI:
Ochrona udostępniania danych PHI.
Ochrona dostępu do danych PHI.
Upewnij się, że przesyłane dane są szyfrowane.
Poniższa zawartość zawiera listę wskazówek dotyczących zabezpieczeń inspekcji i transmisji z wytycznych HIPAA oraz zaleceń firmy Microsoft umożliwiających spełnienie wymagań dotyczących implementacji zabezpieczeń za pomocą identyfikatora Microsoft Entra ID.
HIPAA — szyfrowanie
Implement a mechanism to encrypt and decrypt electronic protected health information.
Upewnij się, że dane ePHI są szyfrowane i odszyfrowywane przy użyciu zgodnego klucza/procesu szyfrowania.
| Zalecenie | Akcja |
|---|---|
| Przeglądanie punktów szyfrowania platformy Microsoft 365 |
Szyfrowanie z Microsoft Purview w Microsoft 365 to wysoce bezpieczne środowisko, które oferuje szeroką ochronę w wielu warstwach: fizyczne centrum danych, ochrona, sieć, dostęp, aplikacja i ochrona danych.
Przejrzyj listę szyfrowania i zmień, jeśli wymagana jest większa kontrola. |
| Przegląd szyfrowania bazy danych |
Przezroczyste szyfrowanie danych dodaje warstwę zabezpieczeń, aby chronić dane spoczywające przed nieautoryzowanym dostępem lub dostępem offline. Szyfruje ona bazę danych przy użyciu szyfrowania AES. dynamiczne maskowanie danych dla poufnych danych, co ogranicza narażenie poufnych danych. Maskuje dane użytkownikom nieautoryzowanym. Maskowanie zawiera wyznaczone pola, które definiuje się w nazwie schematu bazy danych, nazwie tabeli i nazwie kolumny. Nowe bazy danych są domyślnie szyfrowane, a klucz szyfrowania bazy danych jest chroniony przez wbudowany certyfikat serwera. Zalecamy przejrzenie baz danych, aby upewnić się, że szyfrowanie jest ustawione w infrastrukturze danych. |
| Przeglądanie punktów usługi Azure Encryption | możliwości szyfrowania platformy Azure obejmuje główne obszary danych magazynowanych, modeli szyfrowania i zarządzania kluczami przy użyciu usługi Azure Key Vault. Przejrzyj różne poziomy szyfrowania i sposób ich dopasowania do scenariuszy w organizacji. |
| Ocena zbierania i retencji danych oraz zarządzania nimi |
Zarządzanie cyklem życia danych w Microsoft Purview umożliwia stosowanie zasad retencji.
Zarządzanie Rekordami usługi Microsoft Purview umożliwia stosowanie etykiet przechowywania. Ta strategia ułatwia uzyskanie wglądu w zasoby w całej infrastrukturze danych. Ta strategia pomaga również chronić poufne dane w chmurach, aplikacjach i punktach końcowych oraz zarządzać nimi. Ważne: Jak wspomniano w 45 CFR 164.316: limit czasu (wymagany). Zachowaj dokumentację wymaganą przez ust. (b)(1) tej sekcji przez sześć lat od daty utworzenia lub daty jej ostatniej trwania, w zależności od tego, co nastąpi później. |
HIPAA — ochrona transmisji danych PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Ustanów zasady i procedury ochrony wymiany danych zawierającej dane PHI.
| Zalecenie | Akcja |
|---|---|
| Ocena stanu aplikacji lokalnych |
implementacja serwera proxy aplikacji Entra firmy Microsoft publikuje lokalne aplikacje internetowe zewnętrznie i w bezpieczny sposób. serwer proxy aplikacji Microsoft Entra umożliwia bezpieczne publikowanie zewnętrznego punktu końcowego adresu URL na platformie Azure. |
| Włączanie uwierzytelniania wieloskładnikowego | Uwierzytelnianie wieloskładnikowe Microsoft Entra chroni tożsamości, poprzez dodanie dodatkowej warstwy zabezpieczeń. Dodawanie kolejnych warstw zabezpieczeń to skuteczny sposób zapobiegania nieautoryzowanemu dostępowi. Uwierzytelnianie wieloskładnikowe umożliwia wymaganie większej weryfikacji poświadczeń logowania podczas procesu uwierzytelniania. Możesz skonfigurować aplikację Authenticator, aby zapewnić weryfikację jednym kliknięciem lub uwierzytelnianie bez hasła. |
| Włączanie zasad dostępu warunkowego na potrzeby dostępu do aplikacji | zasady dostępu warunkowego pomagają ograniczyć dostęp do zatwierdzonych aplikacji. Firma Microsoft Entra analizuje sygnały z użytkownika, urządzenia lub lokalizacji w celu zautomatyzowania decyzji i wymuszania zasad organizacji w celu uzyskania dostępu do zasobów i danych. |
| Przegląd zasad ochrony usługi Exchange Online (EOP) |
Ochrona przed spamem i złośliwym oprogramowaniem w usłudze Exchange Online zapewnia wbudowane filtrowanie złośliwego oprogramowania i spamu. Funkcja EOP chroni komunikaty przychodzące i wychodzące i jest domyślnie włączona. Usługi EOP zapewniają również ochronę przed fałszowaniem, kwarantannę komunikatów oraz możliwość zgłaszania ich w programie Outlook.
Zasady można dostosować do ustawień dla całej firmy. Mają one pierwszeństwo przed zasadami domyślnymi. |
| Skonfiguruj etykiety poufności |
etykiety poufności z usługi Microsoft Purview umożliwiają klasyfikowanie i ochronę danych organizacji. Etykiety zapewniają ustawienia ochrony w dokumentacji dla kontenerów. Na przykład narzędzie chroni dokumenty przechowywane w usłudze Microsoft Teams i witrynach programu SharePoint, aby ustawić i wymusić ustawienia prywatności. Rozszerzanie etykiet na pliki i zasoby danych, takie jak SQL, Azure SQL, Azure Synapse, Azure Cosmos DB i AWS RDS.
Poza 200 wbudowanymi typami informacji poufnych, istnieją zaawansowane klasyfikatory, takie jak jednostki nazwane, klasyfikatory uczące się i EDM, w celu ochrony niestandardowych typów poufnych. |
| Ocena, czy połączenie prywatne jest wymagane do nawiązania połączenia z usługami |
usługa Azure ExpressRoute tworzy prywatne połączenia między chmurowymi centrami danych platformy Azure i infrastrukturą, która znajduje się lokalnie. Dane nie są przesyłane za pośrednictwem publicznego Internetu.
Usługa używa łączności warstwy 3, łączy router brzegowy i zapewnia dynamiczną skalowalność. |
| Ocena wymagań dotyczących sieci VPN |
dokumentacji usługi VPN Gateway łączy sieć lokalną z platformą Azure za pośrednictwem połączenia sieci VPN typu lokacja-lokacja, punkt-lokacja, sieć wirtualna-sieć wirtualna i połączenie sieci VPN obejmujące wiele lokacji. Usługa obsługuje hybrydowe środowiska robocze, zapewniając bezpieczny transfer danych. |
Dowiedz się więcej
zasada zerowego zaufania: danych
Zero Trust Pillar: Identity, Networks, Infrastructure, Data, Applications