Azure Local e HIPAA

Este artigo fornece diretrizes sobre como as organizações podem navegar com mais eficiência pela conformidade com a HIPAA para soluções criadas com o Azure Local.

Conformidade com a saúde

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA) e os padrões de saúde, como Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH) e Health Information Trust Alliance (HITRUST), protegem a confidencialidade, integridade e disponibilidade das informações de saúde protegidas (PHI) dos pacientes. Esses regulamentos e padrões garantem que as organizações de saúde, como consultórios médicos, hospitais e seguradoras de saúde ("entidades cobertas") criem, recebam, mantenham, transmitam ou acessem PHI adequadamente. Além disso, seus requisitos se estendem a parceiros de negócios que prestam serviços que envolvem PHI para as entidades cobertas. A Microsoft é um exemplo de parceiro de negócios que fornece serviços de tecnologia da informação, como o Azure Local, para ajudar as empresas de saúde a armazenar e processar PHI com mais eficiência e segurança. As seções a seguir fornecem informações sobre como os recursos locais do Azure ajudam as organizações a atender a esses requisitos.

Responsabilidades compartilhadas

Clientes da Microsoft

Como uma entidade coberta que está sujeita às leis da HIPAA, as organizações de saúde analisam de forma independente seus ambientes de tecnologia e casos de uso exclusivos e, em seguida, planejam e implementam políticas e procedimentos que cumpram os requisitos dos regulamentos. As entidades cobertas são responsáveis por garantir a conformidade de suas soluções de tecnologia. As diretrizes neste artigo e outros recursos fornecidos pela Microsoft podem ser usados como referência.

Microsoft

De acordo com os regulamentos da HIPAA, os parceiros de negócios não garantem a conformidade com a HIPAA, mas, em vez disso, celebram um Acordo de Parceiro Comercial (BAA) com as entidades cobertas. A Microsoft oferece um BAA da HIPAA como parte dos Termos de Produto da Microsoft (anteriormente Termos de Serviços Online) para todos os clientes que são entidades cobertas ou parceiros de negócios pela HIPAA para uso com serviços do Azure no escopo.

Ofertas de conformidade local do Azure

O Azure Local é uma solução híbrida que hospeda e armazena cargas de trabalho virtualizadas na nuvem do Azure e no datacenter local. Isso significa que os requisitos da HIPAA precisam ser atendidos na nuvem e no data center local.

Serviços de Nuvem do Azure

Como a legislação HIPAA é projetada para empresas de saúde, serviços em nuvem como o Microsoft Azure não podem ser certificados. No entanto, os serviços de nuvem conectados do Azure e do Azure Local estão em conformidade com outras estruturas e padrões de segurança estabelecidos que são equivalentes ou mais rigorosos do que HIPAA e HITECH. Saiba mais sobre o programa de conformidade do Azure para o setor de saúde no Azure e na HIPAA.

Ambiente local

Como uma solução híbrida, o Azure Local combina os serviços de nuvem do Azure com sistemas operacionais e infraestrutura hospedados localmente pelas organizações do cliente. A Microsoft fornece uma variedade de recursos que ajudam as organizações a atender à conformidade com a HIPAA e outros padrões do setor de saúde, tanto em ambientes de nuvem quanto locais.

Recursos locais do Azure relevantes para a regra de segurança HIPAA

Esta seção descreve como os recursos do Azure Local ajudam você a atingir os objetivos de controle de segurança da Regra de Segurança HIPAA, que compreende os cinco domínios de controle a seguir:

• Gerenciamento de identidade e acesso
• Proteção de dados
• Monitoramento e registro em log
• Proteção contra malware
• Backup e recuperação

Gerenciamento de identidade e de acesso

O Azure Local fornece acesso total e direto aos sistemas subjacentes por meio de várias interfaces, como o Azure Arc e o Windows PowerShell. Você pode usar ferramentas convencionais do Windows em ambientes locais ou soluções baseadas em nuvem, como o Microsoft Entra ID (antigo Azure Active Directory) para gerenciar a identidade e o acesso à plataforma. Em ambos os casos, você pode aproveitar os recursos de segurança internos, como MFA (autenticação multifator), acesso condicional, RBAC (controle de acesso baseado em função) e PIM (gerenciamento de identidade privilegiada) para garantir que seu ambiente seja seguro e compatível.

Saiba mais sobre o gerenciamento de identidade e acesso local em Microsoft Identity Manager e Gerenciamento de Acesso Privilegiado para Active Directory Domain Services. Saiba mais sobre o gerenciamento de identidade e acesso baseado em nuvem no Microsoft Entra ID.

Proteção de dados

Criptografando dados com o BitLocker

Em instâncias locais do Azure, todos os dados em repouso podem ser criptografados por meio da criptografia BitLocker XTS-AES de 256 bits. Por padrão, o sistema recomendará que você habilite o BitLocker para criptografar todos os volumes do sistema operacional (SO) e CSV (volumes compartilhados clusterizados) em sua implantação local do Azure. Para todos os novos volumes de armazenamento adicionados após a implantação, você precisa habilitar manualmente o BitLocker para criptografar o novo volume de armazenamento. O uso do BitLocker para proteger dados pode ajudar as organizações a permanecerem em conformidade com a ISO/IEC 27001. Saiba mais em Usar o BitLocker com CSV (Volumes Compartilhados Clusterizados).

Protegendo o tráfego de rede externa com TLS/DTLS

Por padrão, todas as comunicações de host para pontos de extremidade locais e remotos são criptografadas usando TLS1.2, TLS1.3 e DTLS 1.2. A plataforma desabilita o uso de protocolos/hashes mais antigos, como TLS/DTLS 1.1 SMB1. O Azure Local também dá suporte a conjuntos de criptografia fortes, como curvas elípticas compatíveis com SDL, limitadas apenas às curvas NIST P-256 e P-384.

Protegendo o tráfego de rede interna com o Server Message Block (SMB)

A assinatura SMB é habilitada por padrão para conexões de cliente em instâncias locais do Azure. Para tráfego intracluster, a criptografia SMB é uma opção que as organizações podem habilitar durante ou após a implantação para proteger os dados em trânsito entre sistemas. Os pacotes criptográficos AES-256-GCM e AES-256-CCM agora são suportados pelo protocolo SMB 3.1.1 usado pelo tráfego de arquivos cliente-servidor e pela malha de dados intracluster. O protocolo continua a suportar o pacote ES-128 mais amplamente compatível também. Saiba mais em Aprimoramentos de segurança para PMEs.

Log e monitoramento

Logs do sistema local

Por padrão, todas as operações executadas no Azure Local são registradas para que você possa acompanhar quem fez o quê, quando e onde na plataforma. Logs e alertas criados pelo Windows Defender também estão incluídos para ajudá-lo a prevenir, detectar e minimizar a probabilidade e o impacto de um comprometimento de dados. Como o log do sistema geralmente contém um grande volume de informações, muitas delas estranhas ao monitoramento de segurança da informação, você precisa identificar quais eventos são relevantes para serem coletados e utilizados para fins de monitoramento de segurança. Os recursos de monitoramento do Azure ajudam a coletar, armazenar, alertar e analisar esses logs. Consulte a Linha de Base de Segurança do Azure Local para saber mais.

Registros de atividades locais

O Azure Local cria e armazena logs de atividades para qualquer plano de ação executado. Esses logs dão suporte a uma investigação mais profunda e ao monitoramento de conformidade.

Logs de atividades na nuvem

Ao registrar seus clusters no Azure, você pode usar os logs de atividades do Azure Monitor para registrar operações em cada recurso na camada de assinatura para determinar o quê, quem e quando para qualquer operação de gravação (colocar, postar ou excluir) executada nos recursos em sua assinatura.

Registros de identidade na nuvem

Se você estiver usando a ID do Microsoft Entra para gerenciar a identidade e o acesso à plataforma, poderá exibir logs nos relatórios do Azure AD ou integrá-los ao Azure Monitor, ao Microsoft Sentinel ou a outras ferramentas de SIEM/monitoramento para casos de uso sofisticados de monitoramento e análise. Se você estiver usando o Active Directory local, use a solução Microsoft Defender para Identidade para consumir seus sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização.

Integração ao SIEM

O Microsoft Defender para Nuvem e o Microsoft Sentinel são integrados nativamente aos computadores locais do Azure habilitados para Arc. Você pode habilitar e integrar seus logs ao Microsoft Sentinel, que fornece o recurso SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada de orquestração de segurança). O Microsoft Sentinel, assim como outros serviços de nuvem do Azure, está em conformidade com muitos padrões de segurança bem estabelecidos, como HIPAA e HITRUST, que podem ajudá-lo com seu processo de credenciamento. Além disso, o Azure Local fornece um encaminhador de eventos de syslog nativo para enviar os eventos do sistema para soluções SIEM de terceiros.

Insights locais do Azure

O Azure Local Insights permite que você monitore informações de integridade, desempenho e uso para sistemas conectados ao Azure e registrados no monitoramento. Durante a configuração do Insights, é criada uma regra de coleta de dados, que especifica os dados a serem coletados. Esses dados são armazenados em um workspace do Log Analytics, que é agregado, filtrado e analisado para fornecer painéis de monitoramento predefinidos usando pastas de trabalho do Azure. Você pode exibir os dados de monitoramento para sistemas de nó único ou de vários nós na página de recursos locais do Azure ou no Azure Monitor. Saiba mais em Monitorar o Azure Local com o Insights.

Métricas locais do Azure

As métricas armazenam dados numéricos de recursos monitorados em um banco de dados de série temporal. Você pode usar o gerenciador de métricas do Azure Monitor para analisar interativamente os dados em seu banco de dados de métricas e traçar os valores de várias métricas ao longo do tempo. Com o Metrics, você pode criar gráficos a partir de valores de métricas e correlacionar tendências visualmente.

Alertas de registro

Para indicar problemas em tempo real, você pode configurar alertas para sistemas locais do Azure, usando consultas de log de exemplo pré-existentes, como CPU média do servidor, memória disponível, capacidade de volume disponível e muito mais. Saiba mais em Configurar alertas para sistemas locais do Azure.

Alertas de métricas

Uma regra de alerta de métrica monitora um recurso avaliando as condições nas métricas de recurso em intervalos regulares. Se as condições forem atendidas, um alerta será acionado. Uma série temporal de métrica é uma série de valores de métrica capturados em um período de tempo. Você pode usar essas métricas para criar regras de alerta. Saiba mais sobre como criar alertas de métrica em Alertas de métrica.

Alertas de serviço e dispositivo

O Azure Local fornece alertas baseados em serviço para conectividade, atualizações do sistema operacional, configuração do Azure e muito mais. Alertas baseados em dispositivo para falhas de integridade do cluster também estão disponíveis. Você também pode monitorar instâncias locais do Azure e seus componentes subjacentes usando o PowerShell ou o Serviço de Integridade.

Proteção contra malware

Windows Defender Antivírus

O Windows Defender Antivírus é um aplicativo utilitário que permite a imposição da verificação do sistema em tempo real e da verificação periódica para proteger a plataforma e as cargas de trabalho contra vírus, malware, spyware e outras ameaças. Por padrão, o Microsoft Defender Antivírus está habilitado no Azure Local. A Microsoft recomenda usar o Microsoft Defender Antivírus com o Azure Local em vez de antivírus de terceiros e software e serviços de detecção de malware, pois eles podem afetar a capacidade do sistema operacional de receber atualizações. Saiba mais em Microsoft Defender Antivírus no Windows Server.

Controle de aplicativo

O Controle de Aplicativos é habilitado por padrão no Azure Local para controlar quais drivers e aplicativos têm permissão para serem executados diretamente em cada servidor, ajudando a impedir que malware acesse o sistema. Saiba mais sobre as políticas base incluídas no Azure Local e como criar políticas complementares em Gerenciar o Controle de Aplicativos para o Azure Local.

Microsoft Defender para Nuvem

Microsoft Defender para Nuvem com Endpoint Protection (habilitado por meio do plano Defender para Servidores) fornece uma solução de gerenciamento de postura de segurança com recursos avançados de proteção contra ameaças. Ele fornece ferramentas para avaliar o status de segurança de sua infraestrutura, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e lidar com ameaças futuras. Ele executa todos esses serviços em alta velocidade na nuvem, sem sobrecarga de implantação por meio de provisionamento automático e proteção com serviços do Azure. Saiba mais em Microsoft Defender para Nuvem.

Backup e recuperação

Cluster estendido

O Azure Local fornece suporte interno para recuperação de desastre de cargas de trabalho virtualizadas por meio de clustering estendido (disponível no Azure Local, versão 22H2). Ao implantar uma instância local do Azure estendida, você pode replicar de forma síncrona suas cargas de trabalho virtualizadas em dois locais separados e fazer failover automaticamente entre eles. Os failovers de site planejados podem ocorrer sem tempo de inatividade usando a migração dinâmica do Hyper-V.

Nós de cluster do Kubernetes

Se você usar o Azure Local para hospedar implantações baseadas em contêiner, a plataforma ajudará a aprimorar a agilidade e a resiliência inerentes às implantações do Kubernetes do Azure. O Azure Local gerencia o failover automático de VMs que servem como nós de cluster do Kubernetes se houver uma falha localizada dos componentes físicos subjacentes. Essa configuração complementará a alta disponibilidade incorporada ao Kubernetes, que reiniciará contêineres com falha de modo automático na mesma VM ou em outra.

Azure Site Recovery

Esse serviço permite replicar cargas de trabalho em execução em suas VMs locais locais do Azure para a nuvem para que seu sistema de informações possa ser restaurado se houver um incidente, falha ou perda de mídia de armazenamento. Como outros serviços de nuvem do Azure, o Azure Site Recovery tem um longo histórico de certificados de segurança, incluindo HITRUST, que você pode usar para dar suporte ao seu processo de credenciamento. Saiba mais em Proteger cargas de trabalho de VM com o Azure Site Recovery no Azure Local.

MABS (Servidor de Backup do Microsoft Azure)

Esse serviço permite que você faça backup de máquinas virtuais locais do Azure, especificando uma frequência e um período de retenção desejados. Você pode usar o MABS para fazer backup da maioria dos seus recursos em todo o ambiente, incluindo:

• BMR (Recuperação Bare-Metal) do Estado do Sistema do Host Local do Azure
• VMs convidadas em um sistema que tem armazenamento local ou diretamente conectado
• VMs convidadas na instância local do Azure com armazenamento CSV
• VM Mover dentro de um cluster

Saiba mais em Fazer backup de máquinas virtuais locais do Azure com o Servidor de Backup do Azure.