Azure Stack HCI a HIPAA

  • Článek

Tento článek obsahuje pokyny k tomu, jak můžou organizace nejefektivněji procházet dodržování předpisů HIPAA pro řešení vytvořená pomocí Azure Stack HCI.

Dodržování předpisů ve zdravotnictví

Zákon o přenositelnosti a odpovědnosti za zdravotní pojištění z roku 1996 (HIPAA) a zdravotnických standardů, jako je health information technology for Economic and Clinical Health Health (HITECH) a Health Information Trust Alliance (HITRUST), chrání důvěrnost, integritu a dostupnost chráněných zdravotních informací pacientů . Tyto předpisy a standardy zajišťují, aby zdravotnické organizace, jako jsou kanceláře lékařů, nemocnice a zdravotní pojišťovny ("pokryté subjekty"), vytvářely, přijímaly, udržovaly, přenášely nebo přistupovaly k PHI odpovídajícím způsobem. Kromě toho se jejich požadavky vztahují na obchodní partnery, kteří poskytují služby, které zahrnují PHI pro pokryté entity. Microsoft je příkladem obchodního spolupracovníka, který poskytuje služby informačních technologií, jako je Azure Stack HCI, které pomáhají zdravotnické společnosti ukládat a zpracovávat PHI efektivněji a bezpečněji. Následující části obsahují informace o tom, jak možnosti platformy Azure Stack HCI pomáhají organizacím splňovat tyto požadavky.

Sdílená odpovědnost

Zákazníci Microsoftu

Jako pokrytá entita, která podléhá zákonům HIPAA, zdravotnické organizace nezávisle analyzují svá jedinečná technologická prostředí a případy použití a pak plánují a implementují zásady a postupy, které splňují požadavky nařízení. Zahrnuté entity zodpovídají za zajištění dodržování předpisů jejich technologických řešení. Pokyny v tomto článku a další zdroje informací, které poskytuje Microsoft, mohou být použity jako referenci.

Microsoft

V souladu s předpisy HIPAA obchodní spolupracovníci neujistí dodržování předpisů HIPAA, ale místo toho vstoupí do smlouvy BAA (Business Associate Agreement) s zahrnutými entitami. Společnost Microsoft nabízí smlouvy HIPAA BAA jako součást podmínek pro produkty Společnosti Microsoft (dříve podmínky pro online služby) všem zákazníkům, kteří jsou pokryti entitami nebo obchodními partnery v rámci HIPAA pro použití se službami Azure v oboru.

Nabídky dodržování předpisů Azure Stack HCI

Azure Stack HCI je hybridní řešení, které hostuje a ukládá virtualizované úlohy v cloudu Azure i v místním datacentru. To znamená, že požadavky HIPAA musí být splněné v cloudu i v místním datovém centru.

Cloudové služby Azure

Vzhledem k tomu, že právní předpisy HIPAA jsou navržené pro zdravotnické společnosti, cloudové služby, jako je Microsoft Azure, se nedají certifikovat. Připojené cloudové služby Azure a Azure Stack HCI ale vyhovují jiným zavedeným architekturám zabezpečení a standardům, které jsou ekvivalentní nebo přísnější než HIPAA a HITECH. Přečtěte si další informace o programu dodržování předpisů Azure pro zdravotnictví v Azure a HIPAA.

Místní prostředí

Azure Stack HCI jako hybridní řešení kombinuje cloudové služby Azure s operačními systémy a infrastrukturou hostovanými místně zákaznickými organizacemi. Microsoft poskytuje řadu funkcí, které organizacím pomáhají splňovat předpisy HIPAA a další standardy zdravotnického průmyslu, a to jak v cloudových, tak místních prostředích.

Možnosti Azure Stack HCI relevantní pro pravidlo zabezpečení HIPAA

Tato část popisuje, jak funkce Azure Stack HCI pomáhají dosáhnout cílů kontroly zabezpečení pravidla zabezpečení HIPAA, které se skládá z následujících pěti řídicích domén:

Důležité

Následující části obsahují pokyny zaměřené na vrstvu platformy. Informace o konkrétních úlohách a vrstvách aplikací jsou mimo rozsah.

Správa identit a přístupu

Platforma Azure Stack HCI poskytuje úplný a přímý přístup k základnímu systému běžícímu na uzlech clusteru prostřednictvím několika rozhraní, jako je Azure Arc a Windows PowerShell. Ke správě identity a přístupu k platformě můžete použít buď běžné nástroje Windows v místních prostředích, nebo cloudová řešení, jako je Microsoft Entra ID (dříve Azure Active Directory). V obou případech můžete využít integrované funkce zabezpečení, jako je vícefaktorové ověřování (MFA), podmíněný přístup, řízení přístupu na základě role (RBAC) a správa privilegovaných identit (PIM), abyste zajistili, že vaše prostředí bude zabezpečené a vyhovující.

Další informace o místní správě identit a přístupu najdete v Microsoft Identity Manageru a Privileged Access Management pro Doména služby Active Directory Services. Další informace o cloudové správě identit a přístupu najdete v Microsoft Entra ID.

Ochrana dat

Šifrování dat pomocí nástroje BitLocker

V clusterech Azure Stack HCI je možné šifrovat všechna neaktivní uložená data prostřednictvím 256bitového šifrování BitLockerU XTS-AES. Ve výchozím nastavení systém doporučí nástroj BitLocker k šifrování všech svazků operačního systému a sdílených svazků clusteru (CSV) ve vašem nasazení Azure Stack HCI. U všech nových svazků úložiště přidaných po nasazení je nutné bitLocker ručně povolit šifrování nového svazku úložiště. Ochrana dat pomocí BitLockeru může organizacím pomoct zůstat v souladu se standardem ISO/IEC 27001. Přečtěte si další informace o použití BitLockeru se sdílenými svazky clusteru (CSV).

Ochrana externího síťového provozu protokolem TLS/DTLS

Ve výchozím nastavení se veškerá komunikace hostitele s místními a vzdálenými koncovými body šifruje pomocí protokolu TLS1.2, TLS1.3 a DTLS 1.2. Platforma zakáže použití starších protokolů nebo hodnot hash, jako je TLS/DTLS 1.1 SMB1. Azure Stack HCI také podporuje silné šifrovací sady, jako jsou tři tečky kompatibilní s SDL, omezené pouze na křivky NIST P-256 a P-384.

Ochrana interního síťového provozu pomocí protokolu SMB (Server Message Block)

Podepisování smb je ve výchozím nastavení povolené pro připojení klientů v hostitelích clusteru Azure Stack HCI. V případě provozu uvnitř clusteru je šifrování SMB možností, které organizace můžou povolit během nebo po nasazení, aby chránily přenášená data mezi clustery. Kryptografické sady AES-256-GCM a AES-256-CCM jsou nyní podporovány protokolem SMB 3.1.1 používaným přenosy souborů klienta a datovými prostředky infrastruktury uvnitř clusteru. Protokol nadále podporuje obecně kompatibilní sadu ES-128. Další informace najdete v vylepšeních zabezpečení protokolu SMB.

Protokolování a monitorování

Místní systémové protokoly

Ve výchozím nastavení se zaznamenávají všechny operace prováděné na platformě Azure Stack HCI, abyste mohli sledovat, kdo co udělal, kdy a kde na platformě. Součástí jsou také protokoly a výstrahy vytvořené programem Windows Defender, které vám pomůžou předcházet, zjišťovat a minimalizovat pravděpodobnost a dopad ohrožení dat. Vzhledem k tomu, že systémový protokol často obsahuje velký objem informací, velká část z nich je nadbytečná k monitorování zabezpečení informací, musíte zjistit, které události jsou relevantní ke shromažďování a využívání pro účely monitorování zabezpečení. Funkce monitorování Azure pomáhají shromažďovat, ukládat, upozorňovat a analyzovat tyto protokoly. Další informace najdete ve standardních hodnotách zabezpečení pro Azure Stack HCI .

Protokoly místních aktivit

Azure Stack HCI Lifecycle Manager vytvoří a uloží protokoly aktivit pro všechny spuštěné akční plány. Tyto protokoly podporují hlubší šetření a monitorování dodržování předpisů.

Protokoly aktivit cloudu

Registrací clusterů v Azure můžete pomocí protokolů aktivit služby Azure Monitor zaznamenávat operace jednotlivých prostředků ve vrstvě předplatného a určit, kdo a kdy pro všechny operace zápisu (put, post nebo delete) pořízené s prostředky ve vašem předplatném.

Protokoly cloudových identit

Pokud ke správě identit a přístupu k platformě používáte Microsoft Entra ID, můžete zobrazit protokoly v sestavách Azure AD nebo je integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikované případy použití monitorování a analýz. Pokud používáte místní Active Directory, použijte řešení Microsoft Defenderu for Identity ke zpracování místní Active Directory signálů k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů zaměřených na vaši organizaci.

Integrace SIEM

Microsoft Defender pro cloud a Microsoft Sentinel je nativně integrovaný s uzly Azure Stack HCI s podporou Arc. Protokoly můžete povolit a připojit ke službě Microsoft Sentinel, která poskytuje správu událostí zabezpečení (SIEM) a funkci automatické orchestrace zabezpečení (SOAR). Microsoft Sentinel, podobně jako jiné cloudové služby Azure, splňuje řadu dobře zavedených standardů zabezpečení, jako jsou HIPAA a HITRUST, které vám můžou pomoct s procesem akreditace. Kromě toho Azure Stack HCI poskytuje nativní předávání událostí syslog pro odesílání systémových událostí do řešení SIEM třetích stran.

Přehledy Azure Stack HCI

Azure Stack HCI Přehledy umožňuje monitorovat stav, výkon a informace o využití pro clustery připojené k Azure a jsou zaregistrované v monitorování. Během konfigurace Přehledy se vytvoří pravidlo shromažďování dat, které určuje data, která se mají shromažďovat. Tato data se ukládají v pracovním prostoru služby Log Analytics, který se pak agreguje, filtruje a analyzuje, aby poskytoval předem připravené řídicí panely monitorování pomocí sešitů Azure. Data monitorování pro jeden cluster nebo více clusterů můžete zobrazit na stránce prostředků Azure Stack HCI nebo azure Monitoru. Další informace najdete v nástroji Monitor Azure Stack HCI s využitím Přehledy.

Metriky Azure Stack HCI

Metriky ukládají číselná data z monitorovaných prostředků do databáze časových řad. Pomocí Průzkumníka metrik služby Azure Monitor můžete interaktivně analyzovat data v databázi metrik a vymapovat hodnoty více metrik v průběhu času. Pomocí metrik můžete vytvářet grafy z hodnot metrik a vizuálně korelovat trendy.

Upozornění protokolu

Pokud chcete indikovat problémy v reálném čase, můžete nastavit výstrahy pro systémy Azure Stack HCI pomocí předem existujících ukázkových dotazů protokolu, jako jsou průměrné využití procesoru serveru, dostupná paměť, dostupná kapacita svazku a další. Další informace najdete v informacích o nastavení upozornění pro systémy Azure Stack HCI.

Upozornění na metriky

Pravidlo upozornění metriky monitoruje prostředek vyhodnocením podmínek na metrikách prostředků v pravidelných intervalech. Pokud jsou splněné podmínky, aktivuje se upozornění. Časová řada metrik je řada hodnot metrik zachycených v určitém časovém období. Tyto metriky můžete použít k vytvoření pravidel upozornění. Přečtěte si další informace o vytváření upozornění metrik v upozorněních metrik.

Upozornění služby a zařízení

Azure Stack HCI poskytuje upozornění založená na službách pro připojení, aktualizace operačního systému, konfiguraci Azure a další. K dispozici jsou také výstrahy na základě zařízení pro chyby stavu clusteru. Clustery Azure Stack HCI a jejich základní komponenty můžete monitorovat také pomocí PowerShellu nebo služby Health Service.

Ochrana před malwarem

Antivirová ochrana v programu Windows Defender

Antivirová ochrana v programu Windows Defender je utility aplikace, která umožňuje vynucování kontroly systému v reálném čase a pravidelné kontroly za účelem ochrany platforem a úloh před viry, malwarem, spywarem a dalšími hrozbami. Ve výchozím nastavení je ve službě Azure Stack HCI povolená Antivirová ochrana v programu Microsoft Defender. Microsoft doporučuje používat Antivirová ochrana v programu Microsoft Defender se službou Azure Stack HCI místo antivirového softwaru a softwaru pro detekci malwaru a služeb třetích stran, protože můžou mít vliv na schopnost operačního systému přijímat aktualizace. Další informace najdete v Antivirová ochrana v programu Microsoft Defender na Windows Serveru.

Řízení aplikací programu Windows Defender

Řízení aplikací v programu Windows Defender (WDAC) je ve výchozím nastavení ve službě Azure Stack HCI povoleno řídit, které ovladače a aplikace se můžou spouštět přímo na každém serveru, což pomáhá zabránit malwaru v přístupu k systému. Přečtěte si další informace o základních zásadách zahrnutých ve službě Azure Stack HCI a o vytváření doplňkových zásad v tématu Správa řízení aplikací v programu Windows Defender pro Azure Stack HCI.

Microsoft Defender for Cloud

Microsoft Defender pro cloud se službou Endpoint Protection (povolený prostřednictvím plánů serverů) poskytuje řešení správy stavu zabezpečení s pokročilými možnostmi ochrany před hrozbami. Poskytuje vám nástroje pro posouzení stavu zabezpečení vaší infrastruktury, ochranu úloh, vyvolání výstrah zabezpečení a sledování konkrétních doporučení k nápravě útoků a řešení budoucích hrozeb. Všechny tyto služby provádí vysokorychlostním způsobem v cloudu bez režijních nákladů na nasazení prostřednictvím automatického zřizování a ochrany se službami Azure. Další informace najdete v programu Microsoft Defender for Cloud.

Zálohování a obnovování

Roztažený cluster

Azure Stack HCI poskytuje integrovanou podporu zotavení po havárii virtualizovaných úloh prostřednictvím roztaženého clusteringu. Nasazením roztaženého clusteru Azure Stack HCI můžete synchronně replikovat své virtualizované úlohy do dvou samostatných místních umístění a automaticky mezi nimi provést převzetí služeb při selhání. K plánovanému převzetí služeb při selhání lokality může dojít bez výpadků při migraci hyper-V za provozu.

Uzly clusteru Kubernetes

Pokud k hostování nasazení založených na kontejnerech používáte Azure Stack HCI, pomůže vám platforma vylepšit flexibilitu a odolnost, která je součástí nasazení Azure Kubernetes. Azure Stack HCI spravuje automatické převzetí služeb při selhání virtuálních počítačů, které slouží jako uzly clusteru Kubernetes, pokud dojde k lokalizované chybě základních fyzických komponent. Tato konfigurace doplňuje vysokou dostupnost integrovanou do Kubernetes, která automaticky restartuje neúspěšné kontejnery na stejném nebo jiném virtuálním počítači.

Azure Site Recovery

Tato služba umožňuje replikovat úlohy spuštěné na místních virtuálních počítačích Azure Stack HCI do cloudu, aby bylo možné obnovit informační systém, pokud dojde k incidentu, selhání nebo ztrátě média úložiště. Stejně jako u jiných cloudových služeb Azure má Azure Site Recovery dlouhý záznam o certifikátech zabezpečení, včetně HITRUST, které můžete použít k podpoře procesu akreditace. Další informace najdete v modulu Ochrana úloh virtuálních počítačů pomocí Azure Site Recovery ve službě Azure Stack HCI.

Microsoft Azure Backup Server (MABS)

Tato služba umožňuje zálohovat virtuální počítače Azure Stack HCI a zadat požadovanou frekvenci a dobu uchovávání. Pomocí MABS můžete zálohovat většinu prostředků v celém prostředí, včetně:

  • Stav systému / Úplné obnovení (BMR) hostitele Azure Stack HCI
  • Virtuální počítače hosta v clusteru, který má místní nebo přímo připojené úložiště
  • Hostovaný virtuální počítač v clusteru Azure Stack HCI s úložištěm CSV
  • Přesun virtuálního počítače v rámci clusteru

Další informace najdete v části Zálohování virtuálních počítačů Azure Stack HCI pomocí Azure Backup Serveru.