Dela via

Azure Local och HIPAA

  • Artikel

Gäller för: Azure Local 2311.2 och senare

Den här artikeln innehåller vägledning om hur organisationer mest effektivt kan navigera i HIPAA-efterlevnad för lösningar som skapats med Azure Local.

Hälso- och sjukvårdsefterlevnad

Health Insurance Portability and Accountability Act från 1996 (HIPAA) och hälsovårdsstandarder som Health Information Technology for Economic and Clinical Health (HITECH) och Health Information Trust Alliance (HITRUST) skyddar konfidentialitet, integritet och tillgänglighet för patienters skyddade hälsoinformation (PHI). Dessa regler och standarder säkerställer att sjukvårdsorganisationer som läkarkontor, sjukhus och sjukförsäkringsgivare ("täckta entiteter") skapar, tar emot, underhåller, överför eller får tillgång till PHI på lämpligt sätt. Dessutom omfattar deras krav affärsmedarbetare som tillhandahåller tjänster som omfattar PHI för de täckta entiteterna. Microsoft är ett exempel på en affärspartner som tillhandahåller informationstekniktjänster som Azure Local för att hjälpa sjukvårdsföretag att lagra och bearbeta PHI mer effektivt och säkert. Följande avsnitt innehåller information om hur Azure Local-funktioner hjälper organisationer att uppfylla dessa krav.

Delat ansvar

Microsoft-kunder

Som en täckt enhet som omfattas av HIPAA-lagar analyserar sjukvårdsorganisationer oberoende sina unika teknikmiljöer och användningsfall och planerar och implementerar sedan principer och procedurer som uppfyller kraven i reglerna. Täckta entiteter ansvarar för att säkerställa efterlevnaden av sina tekniklösningar. Vägledningen i den här artikeln och andra resurser som tillhandahålls av Microsoft kan användas som referens.

Microsoft

Enligt HIPAA-regler garanterar affärsmedarbetare inte HIPAA-efterlevnad, utan ingår i stället ett Business Associate-avtal (BAA) med täckta enheter. Microsoft erbjuder en HIPAA BAA som en del av Microsofts produktvillkor (tidigare Online Services-villkor) till alla kunder som omfattas av entiteter eller affärsmedarbetare under HIPAA för användning med Azure-tjänster i omfattning.

Azure-erbjudanden för lokal efterlevnad

Azure Local är en hybridlösning som är värd för och lagrar virtualiserade arbetsbelastningar i både Azure-molnet och ditt lokala datacenter. Det innebär att HIPAA-kraven måste uppfyllas både i molnet och i ditt lokala datacenter.

Azure-molntjänster

Eftersom HIPAA-lagstiftningen är utformad för sjukvårdsföretag kan molntjänster som Microsoft Azure inte certifieras. Azure- och Azure Local-anslutna molntjänster följer dock andra etablerade säkerhetsramverk och standarder som är likvärdiga med eller strängare än HIPAA och HITECH. Läs mer om Azures efterlevnadsprogram för sjukvårdsbranschen i Azure och HIPAA.

Lokal miljö

Som en hybridlösning kombinerar Azure Local Azure-molntjänster med operativsystem och infrastruktur som hanteras lokalt av kundorganisationer. Microsoft tillhandahåller en uppsättning funktioner som hjälper organisationer att uppfylla efterlevnaden av HIPAA och andra standarder för sjukvårdsbranschen, både i molnmiljöer och i lokala miljöer.

Lokala Azure-funktioner som är relevanta för HIPAA-säkerhetsregeln

I det här avsnittet beskrivs hur funktionerna i Azure Local hjälper dig att uppnå målen för säkerhetskontroll i HIPAA-säkerhetsregeln, som består av följande fem kontrolldomäner:

Viktigt!

Följande avsnitt innehåller vägledning som fokuserar på plattformsskiktet. Information om specifika arbetsbelastningar och programlager ligger utanför omfånget.

Identitets- och åtkomsthantering

Azure Local ger fullständig och direkt åtkomst till de underliggande systemen via flera gränssnitt som Azure Arc och Windows PowerShell. Du kan använda antingen konventionella Windows-verktyg i lokala miljöer eller molnbaserade lösningar som Microsoft Entra ID (tidigare Azure Active Directory) för att hantera identitet och åtkomst till plattformen. I båda fallen kan du dra nytta av inbyggda säkerhetsfunktioner, till exempel multifaktorautentisering (MFA), villkorlig åtkomst, rollbaserad åtkomstkontroll (RBAC) och privilegierad identitetshantering (PIM) för att säkerställa att din miljö är säker och kompatibel.

Läs mer om lokal identitets- och åtkomsthantering i Microsoft Identity Manager och Privileged Access Management för Active Directory-domäntjänster. Läs mer om molnbaserad identitets- och åtkomsthantering i Microsoft Entra ID.

Dataskydd

Kryptera data med BitLocker

På lokala Azure-instanser kan alla vilande data krypteras via BitLocker XTS-AES 256-bitarskryptering. Som standard rekommenderar systemet att du aktiverar BitLocker för att kryptera alla operativsystemvolymer (OS) och klusterdelade volymer (CSV) i din lokala Azure-distribution. För alla nya lagringsvolymer som lagts till efter distributionen måste du manuellt aktivera BitLocker för att kryptera den nya lagringsvolymen. Att använda BitLocker för att skydda data kan hjälpa organisationer att hålla sig kompatibla med ISO/IEC 27001. Läs mer i Använda BitLocker med klusterdelade volymer (CSV).

Skydda extern nätverkstrafik med TLS/DTLS

Som standard krypteras all värdkommunikation till lokala slutpunkter och fjärrslutpunkter med TLS1.2, TLS1.3 och DTLS 1.2. Plattformen inaktiverar användningen av äldre protokoll/hashar, till exempel TLS/DTLS 1.1 SMB1. Azure Local har också stöd för starka chiffersviter som SDL-kompatibla elliptiska kurvor, begränsade till ENDAST NIST-kurvorna P-256 och P-384.

Skydda intern nätverkstrafik med SMB (Server Message Block)

SMB-signering är aktiverat som standard för klientanslutningar i lokala Azure-instanser. För trafik inom klustret är SMB-kryptering ett alternativ som organisationer kan aktivera under eller efter distributionen för att skydda data under överföring mellan system. Krypteringssviterna AES-256-GCM och AES-256-CCM stöds nu av SMB 3.1.1-protokollet som används av klientserverns filtrafik och datainfrastrukturen inom klustret. Protokollet fortsätter att stödja den mer allmänt kompatibla ES-128-sviten. Läs mer på SMB-säkerhetsförbättringar.

Loggning och övervakning

Lokala systemloggar

Som standard registreras alla åtgärder som utförs i Azure Local så att du kan spåra vem som gjorde vad, när och var på plattformen. Loggar och aviseringar som skapats av Windows Defender ingår också för att hjälpa dig att förhindra, identifiera och minimera sannolikheten för och effekten av en datakompromiss. Eftersom systemloggen ofta innehåller en stor mängd information, som till stor del är onödig för övervakning av informationssäkerhet, måste du identifiera vilka händelser som är relevanta för att samlas in och användas i säkerhetsövervakningssyfte. Azure-övervakningsfunktioner hjälper dig att samla in, lagra, avisera och analysera loggarna. Mer information finns i Säkerhetsbaslinje för Azure Local .

Lokala aktivitetsloggar

Azure Local skapar och lagrar aktivitetsloggar för alla åtgärdsplaner som körs. Dessa loggar stöder djupare undersöknings- och efterlevnadsövervakning.

Molnaktivitetsloggar

Genom att registrera dina kluster med Azure kan du använda Azure Monitor-aktivitetsloggar för att registrera åtgärder på varje resurs på prenumerationsnivå för att fastställa vad, vem och när för skrivåtgärder (placera, publicera eller ta bort) som tagits på resurserna i din prenumeration.

Molnidentitetsloggar

Om du använder Microsoft Entra-ID för att hantera identitet och åtkomst till plattformen kan du visa loggar i Azure AD-rapportering eller integrera dem med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg för avancerade användningsfall för övervakning och analys. Om du använder lokala Active Directory ska du använda Microsoft Defender för Identitet-lösningen för att använda de lokala Active Directory-signalerna för att identifiera, upptäcka och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder som riktas mot din organisation.

SIEM-integration

Microsoft Defender för molnet och Microsoft Sentinel är inbyggt integrerade med Arc-aktiverade lokala Azure-datorer. Du kan aktivera och koppla loggarna till Microsoft Sentinel, som tillhandahåller SIEM-funktioner (Security Information Event Management) och SOAR-funktioner (Security Orchestration Automated Response). Microsoft Sentinel, liksom andra Azure-molntjänster, uppfyller många väletablerade säkerhetsstandarder som HIPAA och HITRUST, vilket kan hjälpa dig med ackrediteringsprocessen. Dessutom tillhandahåller Azure Local en intern syslog-händelsevidare för att skicka systemhändelserna till SIEM-lösningar från tredje part.

Azure Local Insights

Med Azure Local Insights kan du övervaka information om hälsa, prestanda och användning för system som är anslutna till Azure och som registreras i övervakningen. Under Insights-konfigurationen skapas en datainsamlingsregel som anger vilka data som ska samlas in. Dessa data lagras på en Log Analytics-arbetsyta, som sedan aggregeras, filtreras och analyseras för att tillhandahålla fördefinierade övervakningsinstrumentpaneler med hjälp av Azure-arbetsböcker. Du kan visa övervakningsdata för system med en nod eller flera noder från din lokala Azure-resurssida eller Azure Monitor. Läs mer i Övervaka Azure Local med Insights.

Lokala Azure-mått

Metrik sparar numeriska data från övervakade resurser i en tidsseriedatabas. Du kan använda Azure Monitor Metrics Explorer för att interaktivt analysera data i din måttdatabas och kartlägga värdena för flera mått över tid. Med Mått kan du skapa diagram från måttvärden och visuellt korrelera trender.

Loggvarningar

För att indikera problem i realtid kan du ställa in aviseringar för lokala Azure-system med hjälp av befintliga exempelloggfrågor som genomsnittlig serverprocessor, tillgängligt minne, tillgänglig volymkapacitet med mera. Läs mer i Konfigurera aviseringar för lokala Azure-system.

Måttaviseringar

En måttaviseringsregel övervakar en resurs genom att utvärdera villkor för resursmåtten med jämna mellanrum. Om villkoren uppfylls utlöses en avisering. En tidsserie för mått är en serie måttvärden som samlats in under en tidsperiod. Du kan använda dessa mått för att skapa aviseringsregler. Läs mer om hur du skapar måttaviseringar i Måttaviseringar.

Tjänst- och enhetsaviseringar

Azure Local tillhandahåller tjänstbaserade aviseringar för anslutning, OS-uppdateringar, Azure-konfiguration med mera. Enhetsbaserade aviseringar för klusterhälsofel är också tillgängliga. Du kan också övervaka lokala Azure-instanser och deras underliggande komponenter med hjälp av PowerShell eller Hälsotjänst.

Skydd mot skadlig kod

Windows Defender Antivirus

Windows Defender Antivirus är ett verktygsprogram som möjliggör tillämpning av systemgenomsökning i realtid och regelbunden genomsökning för att skydda plattform och arbetsbelastningar mot virus, skadlig kod, spionprogram och andra hot. Som standard är Microsoft Defender Antivirus aktiverat på Azure Local. Microsoft rekommenderar att du använder Microsoft Defender Antivirus med Azure Local i stället för program och tjänster för identifiering av antivirus och skadlig kod från tredje part eftersom de kan påverka operativsystemets möjlighet att ta emot uppdateringar. Läs mer på Microsoft Defender Antivirus på Windows Server.

Programkontroll

Programkontroll är aktiverat som standard på Azure Local för att styra vilka drivrutiner och program som tillåts köras direkt på varje server, vilket förhindrar att skadlig kod kommer åt systemet. Läs mer om basprinciper som ingår i Azure Local och hur du skapar tilläggsprinciper på Hantera programkontroll för Azure Local.

Microsoft Defender for Cloud

Microsoft Defender för molnet med Endpoint Protection (aktiverat via Defender för servrar-planen) tillhandahåller en lösning för hantering av säkerhetsstatus med avancerade funktioner för skydd mot hot. Det ger dig verktyg för att utvärdera säkerhetsstatusen för din infrastruktur, skydda arbetsbelastningar, skapa säkerhetsaviseringar och följa specifika rekommendationer för att åtgärda attacker och hantera framtida hot. Den utför alla dessa tjänster med hög hastighet i molnet utan några distributionskostnader genom automatisk etablering och skydd med Azure-tjänster. Läs mer på Microsoft Defender för molnet.

Säkerhetskopiering och återställning

Utsträckt kluster

Azure Local har inbyggt stöd för katastrofåterställning av virtualiserade arbetsbelastningar via utsträckt klustring (finns i Azure Local, version 22H2). Genom att distribuera en utsträckt lokal Azure-instans kan du synkront replikera dess virtualiserade arbetsbelastningar på två separata lokala platser och automatiskt redundansväxla mellan dem. Planerade platsredundansväxlingar kan inträffa utan avbrott med hjälp av Hyper-V-direktmigrering.

Kubernetes-klusternoder

Om du använder Azure Local som värd för containerbaserade distributioner hjälper plattformen dig att förbättra flexibiliteten och motståndskraften i Azure Kubernetes-distributioner. Azure Local hanterar automatisk redundansväxling av virtuella datorer som fungerar som Kubernetes-klusternoder om det uppstår ett lokaliserat fel i de underliggande fysiska komponenterna. Den här konfigurationen kompletterar den höga tillgänglighet som är inbyggd i Kubernetes, som automatiskt startar om misslyckade containrar på samma eller en annan virtuell dator.

Azure Site Recovery

Med den här tjänsten kan du replikera arbetsbelastningar som körs på dina lokala lokala Azure-datorer till molnet så att informationssystemet kan återställas om det uppstår en incident, ett fel eller en förlust av lagringsmedia. Precis som andra Azure-molntjänster har Azure Site Recovery en lång erfarenhet av säkerhetscertifikat, inklusive HITRUST, som du kan använda för att stödja ackrediteringsprocessen. Läs mer i Skydda vm-arbetsbelastningar med Azure Site Recovery på Azure Local.

Microsoft Azure Backup Server (MABS)

Med den här tjänsten kan du säkerhetskopiera virtuella Azure Local-datorer och ange önskad frekvens och kvarhållningsperiod. Du kan använda MABS för att säkerhetskopiera de flesta av dina resurser i miljön, inklusive:

  • Systemtillstånd/Bare Metal Recovery (BMR) för Azure lokal värd
  • Virtuella gästdatorer i ett system som har lokal eller direkt ansluten lagring
  • Virtuella gästdatorer på en lokal Azure-instans med CSV-lagring
  • Flytta virtuell dator inom ett kluster

Läs mer i Säkerhetskopiera lokala virtuella Azure-datorer med Azure Backup Server.