Azure Stack HCI und HIPAA
Dieser Artikel enthält Anleitungen dazu, wie Organisationen die HIPAA-Compliance für Lösungen, die mit Azure Stack HCI erstellt wurden, am effizientesten navigieren können.
Compliance im Gesundheitswesen
Das Health Insurance Portability and Accountability Act von 1996 (HIPAA) und Gesundheitsstandards wie Health Information Technology for Economic and Clinical Health (HITECH) und Health Information Trust Alliance (HITRUST) schützen die Vertraulichkeit, Integrität und Verfügbarkeit der geschützten Gesundheitsinformationen der Patienten (PHI). Diese Vorschriften und Standards stellen sicher, dass Gesundheitsorganisationen wie Arztstellen, Krankenhäuser und Krankenversicherer ("abgedeckte Einrichtungen") angemessen PHI erstellen, empfangen, Standard beibehalten, übertragen oder darauf zugreifen. Darüber hinaus erstrecken sich ihre Anforderungen auf Geschäftspartner, die Dienstleistungen bereitstellen, die PHI für die abgedeckten Entitäten umfassen. Microsoft ist ein Beispiel für einen Geschäftspartner, der Informationstechnologiedienste wie Azure Stack HCI bereitstellt, um Gesundheitsunternehmen dabei zu helfen, PHI effizienter und sicherer zu verarbeiten. In den folgenden Abschnitten finden Sie Informationen dazu, wie die Plattformfunktionen von Azure Stack HCI Organisationen dabei helfen, diese Anforderungen zu erfüllen.
Gemeinsame Verantwortung
Microsoft-Kunden
Als abgedeckte Entität, die HIPAA-Gesetzen unterliegt, analysieren Gesundheitsorganisationen unabhängig ihre einzigartigen Technologieumgebungen und Anwendungsfälle und planen und implementieren Sie dann Richtlinien und Verfahren, die den Anforderungen der Vorschriften entsprechen. Die erfassten Entitäten sind dafür verantwortlich, die Einhaltung ihrer Technologielösungen sicherzustellen. Die Anleitungen in diesem Artikel und andere von Microsoft bereitgestellte Ressourcen können als Referenz verwendet werden.
Microsoft
Nach HIPAA-Vorschriften gewährleisten Geschäftspartner keine HIPAA-Compliance, sondern treten stattdessen einen Business Associate Agreement (BAA) mit erfassten Entitäten ein. Microsoft bietet allen Kunden, die gedeckte Entitäten oder Geschäftspartner unter HIPAA sind, als Teil der Microsoft-Produktbedingungen (ehemals Onlinedienstebedingungen) einen HIPAA-Vertrag für die Verwendung mit in-Scope Azure-Diensten an.
Azure Stack HCI Compliance-Angebote
Azure Stack HCI ist eine Hybridlösung, die virtualisierte Workloads sowohl in der Azure-Cloud als auch im lokalen Rechenzentrum hostet und speichert. Dies bedeutet, dass DIE HIPAA-Anforderungen sowohl in der Cloud als auch in Ihrem lokalen Rechenzentrum erfüllt werden müssen.
Azure Cloud Services
Da DIE HIPAA-Gesetzgebung für Unternehmen im Gesundheitswesen entwickelt wurde, können Clouddienste wie Microsoft Azure nicht zertifiziert werden. Die verbundenen Clouddienste von Azure und Azure Stack HCI entsprechen jedoch anderen etablierten Sicherheitsframeworks und Standards, die mit HIPAA und HITECH übereinstimmen oder strenger sind. Erfahren Sie mehr über das Azure Compliance-Programm für die Gesundheitsbranche in Azure und HIPAA.
Lokale Umgebung
Als Hybridlösung kombiniert Azure Stack HCI Azure-Clouddienste mit Betriebssystemen und Infrastruktur, die lokal von Kundenorganisationen gehostet werden. Microsoft bietet eine Reihe von Features, die Organisationen dabei helfen, die Einhaltung von HIPAA- und anderen Standards für die Gesundheitsbranche sowohl in Cloud- als auch in lokalen Umgebungen zu erfüllen.
Azure Stack HCI-Funktionen, die für die HIPAA-Sicherheitsregel relevant sind
In diesem Abschnitt wird beschrieben, wie Die Features von Azure Stack HCI Ihnen dabei helfen, die Ziele der HIPAA-Sicherheitsregel zu erreichen, die die folgenden fünf Steuerelemente umfasst Standard s:
- Identitäts- und Zugriffsverwaltung
- Datenschutz
- Protokollierung und Überwachung
- Schutz vor Schadsoftware
- Sicherung und Wiederherstellung:
Wichtig
In den folgenden Abschnitten finden Sie Anleitungen, die sich auf die Plattformebene konzentrieren. Informationen zu bestimmten Workloads und Anwendungsebenen sind außerhalb des Gültigkeitsbereichs.
Identitäts- und Zugriffsverwaltung
Die Azure Stack HCI-Plattform bietet vollständigen und direkten Zugriff auf das zugrunde liegende System, das auf Clusterknoten über mehrere Schnittstellen wie Azure Arc und Windows PowerShell ausgeführt wird. Sie können entweder herkömmliche Windows-Tools in lokalen Umgebungen oder cloudbasierte Lösungen wie Microsoft Entra ID (früher Azure Active Directory) verwenden, um Identität und Zugriff auf die Plattform zu verwalten. In beiden Fällen können Sie integrierte Sicherheitsfeatures nutzen, z. B. mehrstufige Authentifizierung (MFA), bedingter Zugriff, rollenbasierte Zugriffssteuerung (RBAC) und Privileged Identity Management (PIM), um sicherzustellen, dass Ihre Umgebung sicher und kompatibel ist.
Erfahren Sie mehr über die lokale Identitäts- und Zugriffsverwaltung bei Microsoft Identity Manager und Privileged Access Management für Active Directory-Domäne Services. Erfahren Sie mehr über cloudbasierte Identitäts- und Zugriffsverwaltung bei Microsoft Entra ID.
Datenschutz
Verschlüsseln von Daten mit BitLocker
Auf Azure Stack HCI-Clustern können alle ruhenden Daten über bitLocker XTS-AES 256-Bit-Verschlüsselung verschlüsselt werden. Standardmäßig wird vom System empfohlen, BitLocker zum Verschlüsseln aller Betriebssystemvolumes und freigegebener Clustervolumes (Cluster Shared Volumes, CSV) in Ihrer Azure Stack HCI-Bereitstellung zu aktivieren. Für alle neuen Speichervolumes, die nach der Bereitstellung hinzugefügt wurden, müssen Sie BitLocker manuell aktivieren, um das neue Speichervolume zu verschlüsseln. Die Verwendung von BitLocker zum Schutz von Daten kann Organisationen dabei helfen, mit ISO/IEC 27001 konform zu bleiben. Weitere Informationen finden Sie unter "Verwenden von BitLocker mit freigegebenen Clustervolumes (CSV)".
Schützen des externen Netzwerkdatenverkehrs mit TLS/DTLS
Standardmäßig werden alle Hostkommunikationen an lokale und Remoteendpunkte mit TLS1.2, TLS1.3 und DTLS 1.2 verschlüsselt. Die Plattform deaktiviert die Verwendung älterer Protokolle/Hashes wie TLS/DTLS 1.1 SMB1. Azure Stack HCI unterstützt auch starke Verschlüsselungssammlungen wie SDL-kompatible elliptische Kurven, die nur auf NIST-Kurven P-256 und P-384 beschränkt sind.
Schützen des internen Netzwerkdatenverkehrs mit SMB (Server Message Block)
Die SMB-Signatur ist standardmäßig für Clientverbindungen in Azure Stack HCI-Clusterhosts aktiviert. Bei datenverkehrsinternen Clustern ist die SMB-Verschlüsselung eine Option, die Organisationen während oder nach der Bereitstellung aktivieren können, um Daten während der Übertragung zwischen Clustern zu schützen. AES-256-GCM- und AES-256-CCM-Kryptografiesammlungen werden jetzt vom SMB 3.1.1-Protokoll unterstützt, das vom Clientserverdateidatenverkehr und der Datenstruktur innerhalb des Clusters verwendet wird. Das Protokoll unterstützt weiterhin die umfassendere ES-128-Suite. Weitere Informationen finden Sie unter SMB-Sicherheitsverbesserungen.
Protokollierung und Überwachung
Lokale Systemprotokolle
Standardmäßig werden alle Vorgänge, die innerhalb der Azure Stack HCI-Plattform ausgeführt werden, aufgezeichnet, sodass Sie nachverfolgen können, wer was getan hat, wann und wo auf der Plattform. Protokolle und Warnungen, die von Windows Defender erstellt wurden, sind ebenfalls enthalten, um Die Wahrscheinlichkeit und Auswirkungen einer Datenkompromittierung zu verhindern, zu erkennen und zu minimieren. Da das Systemprotokoll häufig eine große Menge von Informationen enthält, von denen ein Großteil der Informationssicherheitsüberwachung überflüssig ist, müssen Sie ermitteln, welche Ereignisse für die Erfassung und Verwendung für Sicherheitsüberwachungszwecke relevant sind. Azure-Überwachungsfunktionen helfen beim Sammeln, Speichern, Warnen und Analysieren dieser Protokolle. Weitere Informationen finden Sie unter Security Baseline für Azure Stack HCI .
Lokale Aktivitätsprotokolle
Azure Stack HCI Lifecycle Manager erstellt und speichert Aktivitätsprotokolle für jeden ausgeführten Aktionsplan. Diese Protokolle unterstützen eine eingehendere Untersuchung und Complianceüberwachung.
Cloudaktivitätsprotokolle
Indem Sie Ihre Cluster bei Azure registrieren, können Sie Azure Monitor-Aktivitätsprotokolle verwenden, um Vorgänge auf jeder Ressource auf der Abonnementebene aufzuzeichnen, um zu bestimmen, was, wer und wann für schreibvorgänge (Put, Posten oder Löschen) für die Ressourcen in Ihrem Abonnement übernommen wurde.
Cloudidentitätsprotokolle
Wenn Sie Microsoft Entra-ID zum Verwalten von Identität und Zugriff auf die Plattform verwenden, können Sie Protokolle in der Azure AD-Berichterstellung anzeigen oder in Azure Monitor, Microsoft Sentinel oder andere SIEM/Monitoring-Tools für komplexe Überwachungs- und Analyseanwendungsfälle integrieren. Wenn Sie lokales Active Directory verwenden, verwenden Sie die Microsoft Defender for Identity-Lösung, um Ihre lokales Active Directory Signale zu nutzen, um erweiterte Bedrohungen, kompromittierte Identitäten und bösartige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen, die an Ihre Organisation gerichtet sind.
SIEM-Integration
Microsoft Defender für Cloud und Microsoft Sentinel sind nativ in Arc-fähige Azure Stack HCI-Knoten integriert. Sie können Ihre Protokolle in Microsoft Sentinel aktivieren und integrieren, das sicherheitsrelevante Informationsereignisverwaltung (SECURITY Information Event Management, SIEM) und automatisierte Reaktionsfunktionen (Security Orchestration Automated Response, SOAR) bereitstellt. Microsoft Sentinel, wie andere Azure-Clouddienste, erfüllt viele bewährte Sicherheitsstandards wie HIPAA und HITRUST, die Ihnen bei Ihrem Akkreditierungsprozess helfen können. Darüber hinaus stellt Azure Stack HCI eine systemeigene Syslog-Ereignisweiterleitung bereit, um die Systemereignisse an SIEM-Lösungen von Drittanbietern zu senden.
Erkenntnisse zu Azure Stack HCI
Mit Azure Stack HCI Insights können Sie Integritäts-, Leistungs- und Nutzungsinformationen für Cluster überwachen, die mit Azure verbunden sind und bei der Überwachung registriert sind. Während der Insights-Konfiguration wird eine Datensammlungsregel erstellt, die die zu erfassenden Daten angibt. Diese Daten werden in einem Log Analytics-Arbeitsbereich gespeichert, der dann aggregiert, gefiltert und analysiert wird, um vordefinierte Überwachungsdashboards mithilfe von Azure-Arbeitsmappen bereitzustellen. Sie können die Überwachungsdaten für einen einzelnen Cluster oder mehrere Cluster über Ihre Azure Stack HCI-Ressourcenseite oder Azure Monitor anzeigen. Erfahren Sie mehr unter Monitor Azure Stack HCI mit Insights.
Azure Stack HCI-Metriken
Metriken speichern numerische Daten aus überwachten Ressourcen in einer Zeitreihendatenbank. Sie können den Azure Monitor-Metrik-Explorer verwenden, um die Daten in Ihrer Metrikdatenbank interaktiv zu analysieren und die Werte mehrerer Metriken im Laufe der Zeit zu diagrammen. Mit Metriken können Sie Diagramme aus Metrikwerten erstellen und Trends visuell korrelieren.
Protokollwarnungen
Um Probleme in Echtzeit anzugeben, können Sie Warnungen für Azure Stack HCI-Systeme einrichten, indem Sie bereits vorhandene Beispielprotokollabfragen wie die durchschnittliche Server-CPU, verfügbaren Arbeitsspeicher, verfügbare Volumenkapazität und vieles mehr verwenden. Weitere Informationen finden Sie unter Einrichten von Warnungen für Azure Stack HCI-Systeme.
Metrikwarnungen
Eine Metrikwarnungsregel überwacht eine Ressource, indem Die Bedingungen für die Ressourcenmetriken in regelmäßigen Abständen ausgewertet werden. Wenn die Bedingungen erfüllt sind, wird eine Warnung ausgelöst. Bei einer Metrikzeitreihe handelt es sich um eine Reihe von Metrikwerten, die über einen Zeitraum erfasst werden. Sie können diese Metriken verwenden, um Warnungsregeln zu erstellen. Erfahren Sie mehr über das Erstellen von metrischen Warnungen bei metrischen Warnungen.
Dienst- und Gerätewarnungen
Azure Stack HCI bietet dienstbasierte Warnungen für Konnektivität, Betriebssystemupdates, Azure-Konfiguration und vieles mehr. Gerätebasierte Warnungen für Clusterintegritätsfehler sind ebenfalls verfügbar. Sie können auch Azure Stack HCI-Cluster und ihre zugrunde liegenden Komponenten mithilfe von PowerShell oder Integritätsdienst überwachen.
Schutz vor Schadsoftware
Windows Defender Antivirus
Windows Defender Antivirus ist eine Hilfsanwendung, die die Durchsetzung von Echtzeit-Systemüberprüfungen und regelmäßigem Scannen ermöglicht, um Plattform und Workloads vor Viren, Schadsoftware, Spyware und anderen Bedrohungen zu schützen. Standardmäßig ist Microsoft Defender Antivirus auf Azure Stack HCI aktiviert. Microsoft empfiehlt die Verwendung von Microsoft Defender Antivirus mit Azure Stack HCI anstelle von Antivirensoftware und Schadsoftware und -diensten von Drittanbietern, da sie sich auf die Fähigkeit des Betriebssystems zum Empfangen von Updates auswirken können. Weitere Informationen finden Sie unter Microsoft Defender Antivirus auf Windows Server.
Windows Defender Application Control
Windows Defender Application Control (WDAC) ist in Azure Stack HCI standardmäßig aktiviert, um zu steuern, welche Treiber und Anwendungen direkt auf jedem Server ausgeführt werden dürfen, wodurch verhindert wird, dass Schadsoftware auf das System zugreift. Erfahren Sie mehr über Basisrichtlinien, die in Azure Stack HCI enthalten sind, und erfahren Sie, wie Sie zusätzliche Richtlinien unter Verwalten der Windows Defender-Anwendungssteuerung für Azure Stack HCI erstellen.
Microsoft Defender für Cloud
Microsoft Defender für Cloud mit Endpoint Protection (aktiviert über Serverpläne) bietet eine Sicherheitsstatusverwaltungslösung mit erweiterten Bedrohungsschutzfunktionen. Es bietet Ihnen Tools, um den Sicherheitsstatus Ihrer Infrastruktur zu bewerten, Workloads zu schützen, Sicherheitswarnungen auszuheben und bestimmte Empfehlungen zur Behebung von Angriffen zu befolgen und zukünftige Bedrohungen zu beheben. Sie führt alle diese Dienste mit hoher Geschwindigkeit in der Cloud ohne Bereitstellungsaufwand durch automatische Bereitstellung und Schutz mit Azure-Diensten aus. Weitere Informationen finden Sie unter Microsoft Defender für Cloud.
Sicherung und Wiederherstellung
Stretched Cluster
Azure Stack HCI bietet mithilfe von Stretched Cluster-Technologie integrierte Unterstützung für die Notfallwiederherstellung virtualisierter Workloads. Durch die Bereitstellung eines gestreckten Azure Stack HCI-Clusters können Sie seine virtualisierten Workloads synchron über zwei separate lokale Speicherorte replizieren und automatisch failovern. Geplante Site-Failover können ohne Ausfallzeiten mithilfe der Hyper-V-Livemigration erfolgen.
Kubernetes-Clusterknoten
Wenn Sie Azure Stack HCI zum Hosten containerbasierter Bereitstellungen verwenden, hilft Ihnen die Plattform, die Flexibilität und Resilienz zu verbessern, die Azure Kubernetes-Bereitstellungen inhärent. Azure Stack HCI verwaltet das automatische Failover von VMs, die als Kubernetes-Clusterknoten dienen, wenn ein lokalisierter Fehler der zugrunde liegenden physischen Komponenten auftritt. Diese Konfiguration ergänzt die integrierte Hochverfügbarkeit von Kubernetes, durch die ausgefallene Container automatisch auf derselben oder einer anderen VM neu gestartet werden.
Azure Site Recovery
Mit diesem Dienst können Sie Workloads replizieren, die auf Ihren lokalen Azure Stack HCI-VMs ausgeführt werden, in die Cloud, sodass Ihr Informationssystem wiederhergestellt werden kann, wenn ein Vorfall, ein Fehler oder ein Speichermedium verloren geht. Wie andere Azure-Clouddienste verfügt Azure Site Recovery über einen langen Überblick über Sicherheitszertifikate, einschließlich HITRUST, mit denen Sie Ihren Akkreditierungsprozess unterstützen können. Weitere Informationen finden Sie unter Schützen von VM-Workloads mit Azure Site Recovery auf Azure Stack HCI.
Microsoft Azure Backup Server (MABS)
Mit diesem Dienst können Sie virtuelle Azure Stack HCI-Computer sichern und einen gewünschten Zeitraum für Häufigkeit und Aufbewahrung angeben. Sie können MABS verwenden, um die meisten Ihrer Ressourcen in der gesamten Umgebung zu sichern, einschließlich:
- Systemstatus/Bare-Metal-Wiederherstellung (BMR) des Azure Stack HCI-Hosts
- Gast-VMs in einem Cluster mit lokalem oder direkt angefügtem Speicher
- Gast-VMs im Azure Stack HCI-Cluster mit CSV-Speicher
- VM-Verschiebung innerhalb eines Clusters
Weitere Informationen finden Sie auf virtuellen Azure Stack HCI-Computern mit Azure Backup Server.