Поделиться через

Локальный и HIPAA Azure

  • Статья

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описано, как организации могут эффективно перемещаться по требованиям HIPAA для решений, созданных с помощью Azure Local.

Соответствие требованиям здравоохранения

Закон о переносимости медицинского страхования и подотчетности 1996 года (HIPAA) и медицинских стандартов, таких как медицинская информационная технология для экономического и клинического здравоохранения (HITECH) и Альянс здравоохранения (HITRUST) защищает конфиденциальность, целостность и доступность защищенных медицинских сведений пациентов (PHI). Эти правила и стандарты гарантируют, что медицинские организации, такие как офисы врачей, больницы и страховщики здравоохранения ("охваченные сущности") создают, получают, поддерживают, передают или получают доступ к PHI соответствующим образом. Кроме того, их требования расширяются для бизнес-партнеров, предоставляющих услуги, которые включают PHI для охваченных сущностей. Корпорация Майкрософт является примером бизнес-партнера, который предоставляет информационные технологии, такие как Azure Local, чтобы помочь компаниям здравоохранения хранить и обрабатывать PHI более эффективно и безопасно. В следующих разделах содержатся сведения о том, как локальные возможности Azure помогают организациям соответствовать этим требованиям.

Совместная ответственность

Клиенты Майкрософт

В качестве охваченной сущности, которая распространяется на законы HIPAA, медицинские организации независимо анализируют свои уникальные технологические среды и варианты использования, а затем планируют и реализуют политики и процедуры, соответствующие требованиям нормативных требований. Охваченные сущности отвечают за обеспечение соответствия их технологическим решениям. Руководство по этой статье и другим ресурсам, предоставляемым корпорацией Майкрософт, можно использовать в качестве ссылки.

Microsoft

В соответствии с правилами HIPAA бизнес-партнеры не обеспечивают соответствие HIPAA, но вместо этого вступают в соглашение об бизнес-помощнике (BAA) с охваченными сущностями. Корпорация Майкрософт предлагает BAA HIPAA в рамках условий использования продуктов Майкрософт (прежнее название — условия онлайн-служб) всем клиентам, которые охватывают сущности или бизнес-партнеры в HIPAA для использования со службами Azure в области.

Предложения по локальному соответствию Azure

Локальное решение Azure — это гибридное решение, в котором размещаются и хранятся виртуализированные рабочие нагрузки как в облаке Azure, так и в локальном центре обработки данных. Это означает, что требования HIPAA должны быть выполнены как в облаке, так и в локальном центре обработки данных.

Облачные службы Azure

Так как законодательство HIPAA предназначено для медицинских компаний, облачные службы, такие как Microsoft Azure, не могут быть сертифицированы. Однако azure и локальные облачные службы Azure соответствуют другим установленным платформам безопасности и стандартам, которые эквивалентны или более строгим, чем HIPAA и HITECH. Дополнительные сведения о программе соответствия Azure для отрасли здравоохранения в Azure и HIPAA.

Локальная среда

В качестве гибридного решения Azure Local объединяет облачные службы Azure с операционными системами и инфраструктурой, размещенными в локальной среде клиентскими организациями. Корпорация Майкрософт предоставляет множество функций, которые помогают организациям соответствовать требованиям HIPAA и другим отраслевым стандартам здравоохранения как в облачных, так и в локальных средах.

Локальные возможности Azure, относящиеся к правилу безопасности HIPAA

В этом разделе описывается, как функции локальной службы Azure помогают достичь целей управления безопасностью правила безопасности HIPAA, который состоит из следующих пяти доменов управления:

Внимание

В следующих разделах содержатся рекомендации, ориентированные на уровень платформы. Сведения о конкретных рабочих нагрузках и уровнях приложений не являются областью действия.

Управление удостоверениями и доступом

Локальный azure предоставляет полный и прямой доступ к базовым системам с помощью нескольких интерфейсов, таких как Azure Arc и Windows PowerShell. Вы можете использовать обычные средства Windows в локальных средах или облачных решениях, таких как Идентификатор Microsoft Entra (ранее Azure Active Directory), для управления удостоверениями и доступом к платформе. В обоих случаях вы можете воспользоваться встроенными функциями безопасности, такими как многофакторная проверка подлинности (MFA), условный доступ, управление доступом на основе ролей (RBAC) и управление привилегированными удостоверениями (PIM), чтобы обеспечить безопасность и соответствие вашей среде.

Дополнительные сведения об управлении локальными удостоверениями и доступом см. в Microsoft Identity Manager и управлении привилегированным доступом для служб домен Active Directory. Дополнительные сведения об облачном управлении удостоверениями и доступом см. в идентификаторе Microsoft Entra.

Защита данных

Шифрование данных с помощью BitLocker

В локальных экземплярах Azure все неактивных данных можно шифровать с помощью шифрования BitLocker XTS-AES 256-разрядного шифрования. По умолчанию система рекомендует включить BitLocker для шифрования всех томов операционной системы и общих томов кластера (CSV) в локальном развертывании Azure. Для всех новых томов хранилища, добавленных после развертывания, необходимо вручную включить BitLocker для шифрования нового тома хранилища. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с ISO/IEC 27001. Дополнительные сведения об использовании BitLocker с общими томами кластера (CSV).

Защита внешнего сетевого трафика с помощью TLS/DTLS

По умолчанию все подключения узла к локальным и удаленным конечным точкам шифруются с помощью TLS1.2, TLS1.3 и DTLS 1.2. Платформа отключает использование старых протоколов и хэшей, таких как TLS/DTLS 1.1 SMB1. Azure Local также поддерживает надежные наборы шифров, такие как SDL-совместимые эллиптические кривые, ограниченные только кривыми NIST P-256 и P-384.

Защита внутреннего сетевого трафика с помощью блока сообщений сервера (SMB)

Подпись SMB включена по умолчанию для клиентских подключений в локальных экземплярах Azure. Для трафика внутри кластера шифрование SMB — это вариант, который организации могут включить во время или после развертывания для защиты данных во время передачи данных между системами. Наборы шифрования AES-256-GCM и AES-256-CCM теперь поддерживаются протоколом SMB 3.1.1, используемым трафиком файлов клиента-сервера и структурой данных внутри кластера. Протокол продолжает поддерживать более широкий набор ES-128. Узнайте больше об улучшениях безопасности SMB.

Ведение журналов и мониторинг

Журналы локальной системы

По умолчанию все операции, выполняемые в локальной среде Azure, записываются таким образом, чтобы отслеживать, кто сделал что, когда и где на платформе. Журналы и оповещения, созданные Защитником Windows, также включаются для предотвращения, обнаружения и минимизации вероятности и влияния компрометации данных. Так как системный журнал часто содержит большой объем информации, большую часть из них не является дополнительным для мониторинга информационной безопасности, необходимо определить, какие события относятся к сбору и использованию для мониторинга безопасности. Возможности мониторинга Azure помогают собирать, хранить, оповещать и анализировать эти журналы. Дополнительные сведения см. в базовой конфигурации безопасности для локальной службы Azure.

Локальные журналы действий

Локальная служба Azure создает и сохраняет журналы действий для любого плана действий, выполняемого. Эти журналы поддерживают более глубокое исследование и мониторинг соответствия требованиям.

Журналы действий в облаке

Регистрируя кластеры в Azure, вы можете использовать журналы действий Azure Monitor для записи операций с каждым ресурсом на уровне подписки, чтобы определить, кто и когда для любых операций записи (поместить, опубликовать или удалить) для ресурсов в подписке.

Журналы удостоверений облака

Если вы используете идентификатор Microsoft Entra для управления удостоверениями и доступом к платформе, вы можете просматривать журналы в отчетах Azure AD или интегрировать их с Azure Monitor, Microsoft Sentinel или другими средствами SIEM/monitoring для сложных вариантов мониторинга и анализа. Если вы используете локальная служба Active Directory, используйте решение Microsoft Defender для удостоверений для использования локальная служба Active Directory сигналы для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных действий предварительной оценки, направленных на вашу организацию.

Интеграция SIEM

Microsoft Defender для облака и Microsoft Sentinel изначально интегрированы с локальными компьютерами Azure с поддержкой Arc. Вы можете включить и подключить журналы к Microsoft Sentinel, который обеспечивает управление событиями безопасности (SIEM) и автоматическое реагирование системы безопасности (SOAR). Microsoft Sentinel, как и другие облачные службы Azure, соответствует многим хорошо установленным стандартам безопасности, таким как HIPAA и HITRUST, которые могут помочь вам в процессе аккредитации. Кроме того, Azure Local предоставляет собственный средство пересылки событий системного журнала для отправки системных событий сторонним решениям SIEM.

Локальная аналитика Azure

Azure Local Insights позволяет отслеживать сведения о работоспособности, производительности и использовании для систем, подключенных к Azure и зарегистрированных в мониторинге. Во время настройки Аналитики создается правило сбора данных, указывающее собираемые данные. Эти данные хранятся в рабочей области Log Analytics, которая затем агрегируется, фильтруется и анализируется для предоставления предварительно созданных панелей мониторинга с помощью книг Azure. Данные мониторинга для отдельных узлов или систем с несколькими узлами можно просмотреть на странице локальных ресурсов Azure или Azure Monitor. Дополнительные сведения см. в справочнике по Azure Local с помощью Аналитики.

Локальные метрики Azure

Метрики хранят числовые данные из отслеживаемых ресурсов в базу данных временных рядов. Обозреватель метрик Azure Monitor можно использовать для интерактивного анализа данных в базе данных метрик и диаграммы значений нескольких метрик с течением времени. С помощью метрик можно создавать диаграммы из значений метрик и визуально сопоставлять тенденции.

Оповещения журнала в Azure Monitor

Чтобы указать проблемы в режиме реального времени, можно настроить оповещения для локальных систем Azure, используя предварительно существующие запросы журналов, такие как средний ЦП сервера, доступная память, доступная емкость тома и многое другое. Узнайте больше о настройке оповещений для локальных систем Azure.

Оповещения метрики

Правило генерации оповещений по метрике отслеживает ресурс, оценивая условия для метрик ресурсов через регулярные интервалы. При соблюдении условий создается оповещение. Временные ряды метрик — это ряд значений метрик, зарегистрированных за определенный период времени. Эти метрики можно использовать для создания правил генерации оповещений. Дополнительные сведения о создании оповещений метрик см. в оповещениях метрик.

Оповещения службы и устройства

Локальная служба Azure предоставляет оповещения на основе служб для подключения, обновлений ОС, конфигурации Azure и т. д. Кроме того, доступны оповещения на основе устройств для сбоев работоспособности кластера. Вы также можете отслеживать локальные экземпляры Azure и их базовые компоненты с помощью PowerShell или служба работоспособности.

Защита от вредоносных программ

Антивирусная программа "Защитник Windows"

Антивирусная программа Защитника Windows — это приложение, которое позволяет применять проверку системы в режиме реального времени и периодическое сканирование для защиты платформы и рабочих нагрузок от вирусов, вредоносных программ, шпионских программ и других угроз. По умолчанию антивирусная программа в Microsoft Defender включен в локальной среде Azure. Корпорация Майкрософт рекомендует использовать антивирусная программа в Microsoft Defender с локальной средой Azure, а не сторонними антивирусными программами и службами обнаружения вредоносных программ, так как они могут повлиять на способность операционной системы получать обновления. Дополнительные сведения см. в антивирусная программа в Microsoft Defender в Windows Server.

Управление приложениями

Управление приложениями по умолчанию в Azure Local позволяет управлять тем, какие драйверы и приложения разрешены выполнять непосредственно на каждом сервере, что помогает предотвратить доступ к системе вредоносными программами. Дополнительные сведения о базовых политиках, включенных в локальную версию Azure, и о создании дополнительных политик в разделе Управление контролем приложений для Azure Local.

Microsoft Defender для облака

Microsoft Defender для облака с Endpoint Protection (включено с помощью плана Defender для серверов) предоставляет решение для управления безопасностью с расширенными возможностями защиты от угроз. Он предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Она выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание с помощью автоматической подготовки и защиты с помощью служб Azure. Дополнительные сведения см. в Microsoft Defender для облака.

Резервное копирование и восстановление

Растянутый кластер

Локальная служба Azure обеспечивает встроенную поддержку аварийного восстановления виртуализированных рабочих нагрузок с помощью растянутой кластеризации (доступно в локальной версии 22H2). Развернув растянутый локальный экземпляр Azure, вы можете синхронно реплицировать свои виртуализированные рабочие нагрузки в двух отдельных локальных расположениях и автоматически выполнять отработку отказа между ними. Плановая отработка отказа сайта может происходить без возникновения простоя с помощью динамической миграции Hyper-V.

Узлы кластера Kubernetes

Если вы используете azure Local для размещения развертываний на основе контейнеров, платформа помогает повысить гибкость и устойчивость, присущую развертываниям Azure Kubernetes. Локальная служба Azure управляет автоматической отработкой отказа виртуальных машин, работающих в качестве узлов кластера Kubernetes, если имеется локализованный сбой базовых физических компонентов. Эта конфигурация дополняет высокий уровень доступности, встроенный в Kubernetes, который автоматически перезапускает контейнеры сбоем на той же или другой виртуальной машине.

Azure Site Recovery

Эта служба позволяет реплицировать рабочие нагрузки, выполняемые на локальных локальных виртуальных машинах Azure в облако, чтобы информационная система была восстановлена, если произошел инцидент, сбой или потеря носителя хранилища. Как и другие облачные службы Azure, Azure Site Recovery имеет длинный список сертификатов безопасности, включая HITRUST, которые можно использовать для поддержки процесса аккредитации. Дополнительные сведения о защите рабочих нагрузок виртуальных машин с помощью Azure Site Recovery на локальной платформе Azure.

Microsoft Azure Backup Server (MABS)

Эта служба позволяет создавать резервные копии локальных виртуальных машин Azure, указывая требуемую частоту и период хранения. Для резервного копирования большинства ресурсов в среде можно использовать MABS, в том числе:

  • Состояние системы или восстановление без операционной системы (BMR) локального узла Azure
  • Гостевые виртуальные машины в системе с локальным или непосредственно подключенным хранилищем
  • Гостевые виртуальные машины в локальном экземпляре Azure с хранилищем CSV
  • Перемещение виртуальной машины в кластере

Узнайте больше о резервном копировании локальных виртуальных машин Azure с помощью Azure Backup Server.