Поделиться через

Azure и локальные системы, соответствие HIPAA

  • Статья

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описано, как организации могут эффективно перемещаться по требованиям HIPAA для решений, созданных с помощью Azure Local.

Соответствие требованиям здравоохранения

Закон о переносимости медицинского страхования и подотчетности 1996 года (HIPAA) и медицинские стандарты, такие как Технологии здравоохранения для экономического и клинического здоровья (HITECH) и Альянс доверия информации о здоровье (HITRUST), защищают конфиденциальность, целостность и доступность защищенных медицинских сведений пациентов (PHI). Эти правила и стандарты гарантируют, что медицинские организации, такие как офисы врачей, больницы и страховщики здравоохранения ("охваченные сущности") создают, получают, поддерживают, передают или получают доступ к PHI соответствующим образом. Кроме того, их требования распространяются на бизнес-партнеров, предоставляющих услуги, которые включают PHI (защищенная медицинская информация) для подконтрольных организаций. Корпорация Майкрософт является примером бизнес-партнера, который предоставляет информационные технологии, такие как Azure Local, чтобы помочь компаниям здравоохранения хранить и обрабатывать PHI более эффективно и безопасно. В следующих разделах содержатся сведения о том, как локальные возможности Azure помогают организациям соответствовать этим требованиям.

Совместная ответственность

Клиенты Майкрософт

В качестве охваченной сущности, которая распространяется на законы HIPAA, медицинские организации независимо анализируют свои уникальные технологические среды и варианты использования, а затем планируют и реализуют политики и процедуры, соответствующие требованиям нормативных требований. Организации несут ответственность за обеспечение соответствия их технологических решений требованиям. Руководство по этой статье и другим ресурсам, предоставляемым корпорацией Майкрософт, можно использовать в качестве ссылки.

Microsoft

В соответствии с правилами HIPAA предприятия не обеспечивают соблюдение требований HIPAA и вместо этого вступают в Соглашение о деловом партнере (BAA) с покрываемыми организациями. Корпорация Майкрософт предлагает HIPAA BAA в рамках условий использования продуктов Майкрософт (прежнее название — условия онлайн-служб) всем клиентам, которые являются охватываемыми организациями или деловыми партнёрами по HIPAA для использования в рамках соответствующих служб Azure.

Предложения по локальному соответствию Azure

Локальное решение Azure — это гибридное решение, в котором размещаются и хранятся виртуализированные рабочие нагрузки как в облаке Azure, так и в локальном центре обработки данных. Это означает, что требования HIPAA должны быть выполнены как в облаке, так и в локальном центре обработки данных.

Облачные службы Azure

Так как законодательство HIPAA предназначено для медицинских компаний, облачные службы, такие как Microsoft Azure, не могут быть сертифицированы. Однако облачные и локальные подключенные службы Azure соответствуют другим установленным рамкам безопасности и стандартам, которые эквивалентны или более строгие, чем HIPAA и HITECH. Узнайте больше о программе соответствия Azure для отрасли здравоохранения на Azure и HIPAA.

Локальная среда

В качестве гибридного решения Azure Local объединяет облачные службы Azure с операционными системами и инфраструктурой, размещенными в локальной среде клиентскими организациями. Корпорация Майкрософт предоставляет множество функций, которые помогают организациям соответствовать требованиям HIPAA и другим отраслевым стандартам здравоохранения как в облачных, так и в локальных средах.

Локальные возможности Azure, относящиеся к правилу безопасности HIPAA

В этом разделе описывается, как функции локальной службы Azure помогают достичь целей управления безопасностью правила безопасности HIPAA, который состоит из следующих пяти доменов управления:

Внимание

В следующих разделах содержатся рекомендации, ориентированные на уровень платформы. Сведения о конкретных рабочих нагрузках и уровнях приложений выходят за рамки обсуждаемой области.

Управление удостоверениями и доступом

Azure Local предоставляет полный и прямой доступ к базовым системам с помощью нескольких интерфейсов, таких как Azure Arc и Windows PowerShell. Вы можете использовать обычные средства Windows в локальных средах или облачных решениях, таких как Идентификатор Microsoft Entra (ранее Azure Active Directory), для управления удостоверениями и доступом к платформе. В обоих случаях вы можете воспользоваться встроенными функциями безопасности, такими как многофакторная проверка подлинности (MFA), условный доступ, управление доступом на основе ролей (RBAC) и управление привилегированными удостоверениями (PIM), чтобы обеспечить безопасность и соответствие вашей среде.

Дополнительные сведения об управлении локальными удостоверениями и доступом см. в Microsoft Identity Manager и управлении привилегированным доступом для служб домен Active Directory. Дополнительные сведения об облачном управлении удостоверениями и доступом см. в идентификаторе Microsoft Entra.

Защита данных

Шифрование данных с помощью BitLocker

На локальных экземплярах Azure все данные в состоянии покоя могут быть зашифрованы с помощью шифрования BitLocker XTS-AES 256-бит. По умолчанию система рекомендует включить BitLocker для шифрования всех томов операционной системы и общих томов кластера (CSV) в локальном развертывании Azure. Для всех новых томов хранилища, добавленных после развертывания, необходимо вручную включить BitLocker для шифрования нового тома хранилища. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с ISO/IEC 27001. Дополнительные сведения об использовании BitLocker с общими томами кластера (CSV).

Защита внешнего сетевого трафика с помощью TLS/DTLS

По умолчанию все подключения узла к локальным и удаленным конечным точкам шифруются с помощью TLS1.2, TLS1.3 и DTLS 1.2. Платформа отключает использование старых протоколов и хэшей, таких как TLS/DTLS 1.1 SMB1. Azure Local также поддерживает надежные наборы шифров, такие как SDL-совместимые эллиптические кривые, ограниченные только кривыми NIST P-256 и P-384.

Защита внутреннего сетевого трафика с помощью блока сообщений сервера (SMB)

Подпись SMB включена по умолчанию для клиентских подключений в локальных экземплярах Azure. Для трафика внутри кластера шифрование SMB — это вариант, который организации могут включить во время или после развертывания для защиты данных во время передачи данных между системами. Наборы шифрования AES-256-GCM и AES-256-CCM теперь поддерживаются протоколом SMB 3.1.1, используемым трафиком файлов клиента-сервера и структурой данных внутри кластера. Протокол продолжает поддерживать набор ES-128, который отличается более широкой совместимостью. Узнайте больше об улучшениях безопасности SMB.

Ведение журналов и мониторинг

Журналы локальной системы

По умолчанию все операции, выполняемые в локальной среде Azure, записываются таким образом, чтобы отслеживать, кто сделал что, когда и где на платформе. Журналы и оповещения, созданные Защитником Windows, также включаются для предотвращения, обнаружения и минимизации вероятности и влияния компрометации данных. Так как системный журнал часто содержит большой объем информации, значительная часть которой не имеет отношения к мониторингу информационной безопасности, необходимо определить, какие события следует собирать и использовать для целей мониторинга безопасности. Возможности мониторинга Azure помогают собирать, хранить, оповещать и анализировать эти журналы. Дополнительные сведения см. в базовой конфигурации безопасности для локальной службы Azure.

Локальные журналы действий

Локальная служба Azure создает и сохраняет журналы действий для любого плана действий, выполняемого. Эти журналы поддерживают более глубокое исследование и мониторинг соответствия требованиям.

Журналы действий в облаке

Регистрируя свои кластеры в Azure, вы можете использовать журналы действий Azure Monitor для записи операций с каждым ресурсом на уровне подписки, чтобы определить что, кто и когда для любых операций записи (создание, отправка или удаление), выполненных с ресурсами в вашей подписке.

Журналы идентификации в облаке

Если вы используете идентификатор Microsoft Entra для управления удостоверениями и доступом к платформе, вы можете просматривать журналы в отчетах Azure AD или интегрировать их с Azure Monitor, Microsoft Sentinel или другими средствами SIEM/monitoring для сложных вариантов мониторинга и анализа. Если вы используете локальный Active Directory, используйте решение Microsoft Defender для удостоверений, чтобы принимать сигналы из вашего локального Active Directory для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных действий инсайдеров в вашей организации.

Интеграция SIEM

Microsoft Defender для облака и Microsoft Sentinel изначально интегрированы с локальными компьютерами Azure с поддержкой Arc. Вы можете включить и подключить журналы к Microsoft Sentinel, который обеспечивает управление событиями безопасности (SIEM) и автоматическое реагирование системы безопасности (SOAR). Microsoft Sentinel, как и другие облачные службы Azure, соответствует многим хорошо установленным стандартам безопасности, таким как HIPAA и HITRUST, которые могут помочь вам в процессе аккредитации. Кроме того, Azure Local предоставляет собственный средство пересылки событий системного журнала для отправки системных событий сторонним решениям SIEM.

Локальная аналитика Azure

Azure Local Insights позволяет отслеживать сведения о работоспособности, производительности и использовании для систем, подключенных к Azure и зарегистрированных в мониторинге. Во время настройки Аналитики создается правило сбора данных, указывающее собираемые данные. Эти данные хранятся в рабочей области Log Analytics, которая затем агрегируется, фильтруется и анализируется для предоставления готовых панелей мониторинга с помощью Azure Workbooks. Данные мониторинга для отдельных узлов или систем с несколькими узлами можно просмотреть на странице локальных ресурсов Azure или Azure Monitor. Узнайте больше в руководстве по мониторингу Azure Local с помощью Инсайтов.

Локальные метрики Azure

Метрики хранят числовые данные из отслеживаемых ресурсов в базу данных временных рядов. Вы можете использовать обозреватель метрик Azure Monitor для интерактивного анализа данных в вашей базе данных метрик и построения графиков значений нескольких метрик с течением времени. С помощью метрик можно создавать диаграммы из значений метрик и визуально сопоставлять тенденции.

Оповещения журнала

Чтобы указать проблемы в режиме реального времени, можно настроить оповещения для локальных систем Azure, используя предварительно существующие запросы журналов, такие как средний ЦП сервера, доступная память, доступная емкость тома и многое другое. Узнайте больше о настройке оповещений для локальных систем Azure.

Оповещения о метриках

Правило метрической тревоги отслеживает ресурс, оценивая условия для метрик ресурса через регулярные промежутки времени. При соблюдении условий срабатывает оповещение. Временные ряды метрик — это ряд значений метрик, зарегистрированных за определенный период времени. Эти метрики можно использовать для создания правил генерации оповещений. Узнайте больше о создании оповещений метрик в разделе Оповещения метрик.

Оповещения устройств и служб

Локальная служба Azure предоставляет оповещения на основе служб для подключения, обновлений ОС, конфигурации Azure и т. д. Также доступны оповещения, основанные на устройствах, для сбоев работоспособности кластера. Вы также можете отслеживать локальные экземпляры Azure и их базовые компоненты с помощью PowerShell или Служба мониторинга работоспособности.

Защита от вредоносных программ

Антивирусная программа "Защитник Windows"

Антивирусная программа Защитника Windows — это приложение, которое позволяет применять проверку системы в режиме реального времени и периодическое сканирование для защиты платформы и рабочих нагрузок от вирусов, вредоносных программ, шпионских программ и других угроз. По умолчанию Microsoft Defender Antivirus включается в Azure Local. Корпорация Майкрософт рекомендует использовать антивирусную программу Microsoft Defender с Azure Local, а не стороннее антивирусное и программное обеспечение для обнаружения вредоносных программ, так как они могут негативно повлиять на возможность операционной системы получать обновления. Узнайте больше о Microsoft Defender Антивирус для Windows Server.

Управление приложениями

Управление приложениями по умолчанию в Azure Local позволяет управлять тем, какие драйверы и приложения разрешены выполнять непосредственно на каждом сервере, что помогает предотвратить доступ к системе вредоносными программами. Дополнительные сведения о базовых политиках, включенных в локальную версию Azure, и о создании дополнительных политик в разделе Управление контролем приложений для Azure Local.

Microsoft Defender для облака

Microsoft Defender для облака с Endpoint Protection (включено с помощью плана Defender для серверов) предоставляет решение для управления безопасностью с расширенными возможностями защиты от угроз. Он предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Она выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание с помощью автоматической подготовки и защиты с помощью служб Azure. Дополнительные сведения см. в Microsoft Defender для облака.

Резервное копирование и восстановление

Растянутый кластер

Локальная служба Azure обеспечивает встроенную поддержку аварийного восстановления виртуализированных рабочих нагрузок с помощью растянутой кластеризации (доступно в локальной версии 22H2). Развернув расширенный локальный экземпляр Azure, вы можете синхронно реплицировать свои виртуализированные рабочие нагрузки на два отдельных локальных размещения и автоматически выполнять переход на резервный узел между ними. Запланированные переключения на резервный сайт могут выполняться без простоев с помощью динамической миграции Hyper-V.

Узлы кластера Kubernetes

Если вы используете azure Local для размещения развертываний на основе контейнеров, платформа помогает повысить гибкость и устойчивость, присущую развертываниям Azure Kubernetes. Локальная служба Azure управляет автоматической отработкой отказа виртуальных машин, работающих в качестве узлов кластера Kubernetes, если имеется локализованный сбой базовых физических компонентов. Эта конфигурация дополняет высокую доступность, встроенную в Kubernetes, которая автоматически перезапускает контейнеры с ошибкой на той же или другой виртуальной машине.

Azure Site Recovery

Эта служба позволяет реплицировать рабочие нагрузки, выполняемые на локальных локальных виртуальных машинах Azure в облако, чтобы информационная система была восстановлена, если произошел инцидент, сбой или потеря носителя хранилища. Как и другие облачные службы Azure, Azure Site Recovery имеет длинный список сертификатов безопасности, включая HITRUST, которые можно использовать для поддержки процесса аккредитации. Дополнительные сведения о защите рабочих нагрузок виртуальных машин с помощью Azure Site Recovery на локальной платформе Azure.

Microsoft Azure Backup Server (MABS)

Эта служба позволяет создавать резервные копии локальных виртуальных машин Azure, указывая требуемую частоту и период хранения. Для резервного копирования большинства ресурсов в среде можно использовать MABS, в том числе:

  • Восстановление состояния системы или с нуля (BMR) локального узла Azure
  • Гостевые виртуальные машины в системе с локальным или непосредственно подключенным хранилищем
  • Гостевые виртуальные машины в локальной инстанции Azure с использованием хранилища CSV.
  • Перемещение виртуальной машины в кластере

Узнайте больше о резервном копировании локальных виртуальных машин Azure с помощью Azure Backup Server.