Empfehlungen zur Microsoft Entra-Konfiguration für HITRUST-Steuerelemente
Die Anleitung in diesem Artikel hilft Ihnen bei der Navigation in Details und bietet Empfehlungen für Dienste und Features in Microsoft Entra ID, um die Ausrichtung mit HITRUST-Steuerelementen zu unterstützen. Verwenden Sie die Informationen, um das Health Information Trust Alliance(HITRUST)-Framework zu verstehen, und unterstützen Sie Ihre Verantwortung dafür, dass Ihre Organisation mit dem Health Insurance Portability and Accountability Act (HIPAA) von 1996 konform ist. Bewertungen umfassen das Arbeiten mit zertifizierten HITRUST-Prüfer*innen, die sich mit dem Framework auskennen und erforderlich sind, um Sie durch den Prozess zu führen und die Anforderungen zu verstehen.
Akronyme
In der folgenden Tabelle sind die Akronyme und ihre Schreibweise in diesem Artikel aufgeführt.
| Akronym | Rechtschreibung |
|---|---|
| CE | Covered Entity (Abgedeckte Entität) |
| CSF | Common Security Framework |
| HIPAA | Health Insurance Portability and Accountability Act von 1996 |
| HSR | HIPAA Security Rule (HIPAA-Sicherheitsregel) |
| HITRUST | Health Information Trust Alliance |
| IAM (IAM) | Identitäts- und Zugriffsverwaltung |
| IdP | Identitätsanbieter |
| ISO | International Organization for Standardization (Internationale Organisation für Normung) |
| ISMS | Informationssicherheitsverwaltungssystem |
| mit JEA | Just Enough Access |
| JML | Join, Move, Leave (Eintreten, Wechseln, Austreten) |
| MFA | Multi-Faktor-Authentifizierung in Microsoft Entra |
| NIST | National Institute of Standards and Technology, US Dept. of Commerce |
| PHI | Protected Health Information (Geschützte Gesundheitsinformationen) |
| PIM | Privileged Identity Management |
| SSO | Einmaliges Anmelden |
| TAP | Temporary Access Pass (Befristeter Zugriffspass) |
Health Information Trust Alliance
Die HITRUST-Organisation hat das Common Security Framework (CSF) eingerichtet, um Sicherheits- und Datenschutzanforderungen für Organisationen in der Gesundheitsbranche zu standardisieren und zu optimieren. HITRUST CSF wurde im Jahr 2007 gegründet, um sich mit dem komplexen regulatorischen Umfeld, den Herausforderungen in Bezug auf die Sicherheit und den Datenschutzbedenken auseinanderzusetzen, mit denen Organisationen bei der Verarbeitung von personenbezogenen Daten und PHI-Daten (geschützte Gesundheitsinformationen) konfrontiert sind. Das CSF besteht aus 14 Steuerelementkategorien, die 49 Steuerelementziele und 156 Steuerelementbesonderheiten umfassen. Es basiert auf den Hauptprinzipien der ISO 27001 und ISO 27002 (Internationale Organisation für Normung).
Das HITRUST MyCSF-Tool ist in Azure Marketplace verfügbar. Verwenden Sie es zum Verwalten von Informationssicherheitsrisiken, Datengovernance, zur Einhaltung von Datenschutzbestimmungen sowie zur Einhaltung nationaler und internationaler Standards und bewährter Methoden.
Hinweis
Bei der ISO 27001 handelt es sich um einen Verwaltungsstandard, der die Anforderungen an ein Verwaltungssystem für Informationssicherheit (Information Security Management System, ISMS) angibt. Bei der ISO 27002 handelt es sich um eine Reihe bewährter Methoden zum Auswählen und Implementieren von Sicherheitskontrollen im ISO 27001-Framework.
HIPAA-Sicherheitsregel
Die HIPAA-Sicherheitsregel (HIPAA Security Rule, HSR) legt Standards zum Schutz elektronischer personenbezogener Gesundheitsdaten fest, die von einer abgedeckten Entität (Covered Entity, CE) erstellt, empfangen, verwendet oder verwaltet werden, bei der es sich um einen Gesundheitsplan, ein Clearinghouse im Gesundheitswesen oder Gesundheitsdienstleister*innen handelt. Der Standard für Das Ministerium für Gesundheitspflege und Soziale Dienste (Department of Health and Human Services, HHS) verwaltet die HSR. Das HHS erfordert administrative, physische und technische Sicherheitsvorkehrungen, um die Vertraulichkeit, Integrität und Sicherheit elektronischer PHI sicherzustellen.
HITRUST und HIPAA
HITRUST hat das CSF entwickelt, das Sicherheits- und Datenschutzstandards zur Unterstützung von Gesundheitsbestimmungen umfasst. CSF-Steuerelemente und bewährte Methoden vereinfachen die Konsolidierung von Quellen, um die Einhaltung von Bundesgesetzen, HIPAA-Sicherheit und Datenschutzregeln sicherzustellen. HISTRUST CSF ist ein zertifiziertes Sicherheits- und Datenschutzframework mit Steuerelementen und Anforderungen zur Veranschaulichung der HIPAA-Compliance. Organisationen im Gesundheitswesen haben das Framework weitgehend übernommen. Weitere Informationen zu Steuerelementen finden Sie in der folgenden Tabelle.
| Steuerelementkategorie | Name der Steuerelementkategorie |
|---|---|
| 0 | Verwaltungsprogramm für Informationssicherheit |
| 1 | Zugriffssteuerung |
| 2 | Sicherheit des Personals |
| 3 | Risikomanagement |
| 4 | Sicherheitsrichtlinie |
| 5 | Organisation der Informationssicherheit |
| 6 | Kompatibilität |
| 7 | Ressourcenverwaltung |
| 8 | Physische und Umgebungssicherheit |
| 9 | Kommunikations- und Betriebsverwaltung |
| 10 | Beschaffung, Entwicklung und Verwaltung von Informationssystemen |
| 11 | Management von Informationssicherheitszwischenfällen |
| 12 | Betriebskontinuitätsmanagement |
| 13 | Datenschutzpraktiken |
Erfahren Sie mehr unter Microsoft Azure-Plattform ist HITRUST CSF-zertifiziert, einschließlich Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM):
- Microsoft Entra ID, früher als Azure Active Directory bezeichnet
- Rechteverwaltung mit Microsoft Purview
- Multi-Faktor-Authentifizierung (MFA) in Microsoft Entra
Zugriffssteuerungskategorien und Empfehlungen
In der folgenden Tabelle sind die Zugriffssteuerungskategorie für Identitäts- und Zugriffsverwaltung (IAM) und Entra-Empfehlungen aufgeführt, um die Anforderungen an die Kategorie der Steuerelemente zu erfüllen. Details stammen aus der Version „HITRUST MyCSF v11“, die sich auf die HIPAA-Sicherheitsregel bezieht, die dem entsprechenden Steuerelement hinzugefügt wird.
| HITRUST-Steuerelement, Ziel und HSR | Leitfaden und Empfehlung für Microsoft Entra |
|---|---|
| CSF Control V11 01.b Benutzerregistrierung Steuerelementkategorie Zugriffssteuerung – Benutzerregistrierung und -abmeldung Steuerelementspezifikation Die Organisation verwendet einen formellen Benutzerregistrierungs- und -abmeldeprozess, um die Zuweisung von Zugriffsrechten zu ermöglichen. Zielname Autorisierter Zugriff auf Informationssysteme HIPAA-Sicherheitsregel § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID ist eine Identitätsplattform für die Überprüfung, Authentifizierung und Verwaltung von Anmeldeinformationen, wenn sich eine Identität bei ihrem Gerät, ihrer Anwendung oder ihrem Server anmeldet. Es handelt sich um einen cloudbasierten Dienst für die Identitäts- und Zugriffsverwaltung mit einmaligem Anmelden (Single Sign-On, SSO), Multi-Faktor-Authentifizierung und bedingtem Zugriff zum Schutz vor Angriffen auf die Sicherheit. Die Authentifizierung stellt sicher, dass nur autorisierte Identitäten Zugriff auf Ressourcen und Daten erhalten. Lebenszyklus-Workflows ermöglichen Identitätsgovernance, um den Joiner-Mover-Leaver-Lebenszyklus (JML) zu automatisieren. Der Workflowprozess wird mithilfe der integrierten Vorlagen zentralisiert, oder Sie erstellen benutzerdefinierte Workflows. Diese Vorgehensweise trägt dazu bei, dass manuelle Aufgaben im Rahmen von JML-Strategieanforderungen der Organisation verringert oder sogar ganz entfernt werden. Navigieren Sie im Azure-Portal im Microsoft Entra ID-Menü zu Identity Governance, um Aufgaben für Ihre Organisationsanforderungen zu überprüfen oder zu konfigurieren. Microsoft Entra Connect integriert lokale Verzeichnisse in Microsoft Entra ID und unterstützt die Verwendung einzelner Identitäten für den Zugriff auf lokale Anwendungen und Clouddienste wie Microsoft 365. Es orchestriert die Synchronisierung zwischen Active Directory (AD) und Microsoft Entra ID. Um mit Microsoft Entra Connect zu beginnen, überprüfen Sie die Voraussetzungen. Beachten Sie die Serveranforderungen und die Vorbereitung Ihres Microsoft Entra-Mandanten für die Verwaltung. Die Microsoft Entra Connect-Synchronisierung ist ein in der Cloud verwalteter Bereitstellungs-Agent, der die Synchronisierung mit Microsoft Entra ID aus einer nicht verbundenen AD-Umgebung mit mehreren Gesamtstrukturen unterstützt. Verwenden Sie die einfachen Agents mit Microsoft Entra Connect. Wir empfehlen die Kennworthashsynchronisierung, um die Anzahl von Kennwörtern zu verringern und vor der Erkennung kompromittierter Anmeldeinformationen zu schützen. |
| CSF Control V11 01.c Berechtigungsverwaltung Steuerelementkategorie Zugriffssteuerung – Privilegierte Konten Steuerelementspezifikation Die Organisation stellt sicher, dass autorisierte Benutzerkonten registriert, nachverfolgt und regelmäßig überprüft werden, um nicht autorisierten Zugriff auf Informationssysteme zu verhindern Zielname Autorisierter Zugriff auf Informationssysteme HIPAA-Sicherheitsregel § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) ist ein Dienst in Microsoft Entra ID zum Verwalten, Steuern und Überwachen des Zugriffs auf wichtige Ressourcen innerhalb einer Organisation. Der Dienst minimiert die Anzahl der Personen mit Zugriff auf sichere Informationen, um zu verhindern, dass böswillige Akteur*innen Zugriff erhalten. PIM verfügt über zeit- und genehmigungsbasierten Zugriff, um die Risiken übermäßiger, unnötiger oder missbräuchlich verwendeter Zugriffsberechtigungen zu minimieren. Es unterstützt dabei, privilegierte Konten zu identifizieren und zu analysieren, um sicherzustellen, dass Sie Just Enough Access (JEA) für eine*n Benutzer*in bereitstellen, um seine bzw. ihre Rolle auszuführen. Das Überwachen und Generieren von Warnungen verhindert verdächtige Aktivitäten, die Benutzer*innen und Rollen auflisten, die die Warnung auslösen, während das Risiko eines nicht autorisierten Zugriffs reduziert wird. Passen Sie Warnungen für die Sicherheitsstrategie Ihrer Organisation an. Zugriffsüberprüfungen ermöglichen es Organisationen, Rollenzuweisungen und Gruppenmitgliedschaften effizient zu verwalten. Verwalten Sie Sicherheit und Compliance, indem Sie prüfen, welche Konten Zugriff haben, und sicherstellen, dass der Zugriff bei Bedarf widerrufen wird, wodurch die Risiken aufgrund übermäßiger oder veralteter Berechtigungen minimiert werden. |
| CSF Control V11 0.1d Verwaltung von Benutzerkennwörtern Steuerelementkategorie Zugriffssteuerung – Prozeduren Steuerelementspezifikation Um sicherzustellen, dass autorisierte Benutzerkonten registriert, nachverfolgt und regelmäßig überprüft werden, um nicht autorisierten Zugriff auf Informationssysteme zu verhindern. Zielname Autorisierter Zugriff auf Informationssysteme HIPAA-Sicherheitsregel §164.308(a)(5)(ii)(D) |
Kennwortverwaltung ist ein wichtiger Aspekt der Sicherheitsinfrastruktur. Richten Sie sich an bewährten Methoden aus, um einen robusten Sicherheitsstatus zu erstellen; Microsoft Entra ID hilft mit einer umfassenden Strategieunterstützung: SSO, MFA und auch kennwortlose Authentifizierung, z. B. FIDO2-Sicherheitsschlüssel und Windows Hello for Business (WHfB) verringern das Benutzerrisiko und optimieren die Authentifizierungsumgebung. Microsoft Entra Passwortschutz erkennt und blockiert bekannte schwache Passwörter. Er enthält Kennwort-Richtlinien und bietet die Flexibilität, eine benutzerdefinierte Kennwortliste zu definieren und eine Kennwortverwaltungsstrategie zu erstellen, um die Kennwortverwendung zu schützen. Die Anforderungen an die HITRUST-Kennwortlänge und -sicherheit entsprechen der Veröffentlichung NIST 800-63B des National Institute of Standards and Technology, die eine Mindestanzahl von acht Zeichen für Kennwörter oder eine Mindestanzahl von 15 Zeichen für Konten mit den höchsten Zugriffsberechtigungen vorsieht. Die Komplexität umfasst mindestens eine Zahl und/oder ein Sonderzeichen und mindestens einen Groß- und Kleinbuchstaben bei privilegierten Konten. |
| CSF Control V11 01.p Sichere Anmeldeprozeduren Steuerelementkategorie Zugriffssteuerung – Sichere Anmeldung Steuerelementspezifikation Die Organisation steuert den Zugriff auf Informationsressourcen mithilfe einer sicheren Anmeldeprozedur. Zielname Zugriffssteuerung für das Betriebssystem HIPAA-Sicherheitsregel § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
Die sichere Anmeldung ist der Prozess zum sicheren Authentifizieren einer Identität, wenn versucht wird, auf ein System zuzugreifen. Das Steuerelement konzentriert sich auf das Betriebssystem, Microsoft Entra-Dienste helfen, die sichere Anmeldung zu stärken. Richtlinien für bedingten Zugriff unterstützen Organisationen dabei, den Zugriff auf genehmigte Anwendungen und Ressourcen einzuschränken und sicherzustellen, dass Geräte sicher sind. Microsoft Entra ID analysiert die Signale der Richtlinien für bedingten Zugriff von Identität, Standort oder Gerät, um die Entscheidung zu automatisieren und Organisationsrichtlinien für den Zugriff auf Ressourcen und Daten zu erzwingen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) unterstützt Sie bei der Verwaltung des Zugriffs und von verwalteten Ressourcen in Ihrer Organisation. Die RBAC unterstützt beim Implementieren des Prinzips der geringsten Rechte, um sicherzustellen, dass Benutzer*innen über die Berechtigungen verfügen, die sie zum Ausführen ihrer Aufgaben benötigen. Diese Aktion minimiert das Risiko einer versehentlichen oder absichtlichen Fehlkonfiguration. Wie für das Steuerelement „0.1d Verwaltung von Benutzerkennwörtern“ angegeben, verwendet die kennwortlose Authentifizierung biometrische Daten, da sie schwierig zu fälschen sind und somit eine sicherere Authentifizierung bieten. |
| CSF Control V11 01.q Identifizierung und Authentifizierung von Benutzer*innen Steuerelementkategorie N/V Steuerelementspezifikation Alle Benutzer*innen müssen nur einen eindeutigen Bezeichner (Benutzer-ID) für ihren persönlichen Gebrauch haben, und eine Authentifizierungsmethode muss implementiert werden, um die angegebene Identität eines Benutzers bzw. einer Benutzerin zu belegen. Zielname N/V HIPAA-Sicherheitsregel § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Verwenden Sie die Kontobereitstellung in Microsoft Entra ID, um Benutzerkonten zu erstellen, zu aktualisieren und zu verwalten. Jedem bzw. jeder Benutzer*in und jedem Objekt wird ein eindeutiger Bezeichner (UID) zugewiesen, der als Objekt-ID bezeichnet wird. Die UID ist ein global eindeutiger Bezeichner, der automatisch generiert wird, wenn ein*e Benutzer*in oder ein Objekt erstellt wird. Microsoft Entra ID bietet Unterstützung bei der automatisierten Benutzerbereitstellung für Systeme und Anwendungen. Die automatisierte Bereitstellung erstellt neue Konten in den richtigen Systemen, wenn Personen einem Team in einer Organisation beitreten. Durch die automatisierte Aufhebung der Bereitstellung werden Konten deaktiviert, wenn Personen austreten. |
| CSF Control V11 01.u Einschränkung der Verbindungszeit Steuerelementkategorie Zugriffssteuerung – Sichere Anmeldung Steuerelementspezifikation Die Organisation steuert den Zugriff auf Informationsressourcen mithilfe einer sicheren Anmeldeprozedur. Zielname Zugriffssteuerung für das Betriebssystem HIPAA-Sicherheitsregel § 164.312(a)(2)(iii) |
Das Steuerelement konzentriert sich auf das Betriebssystem, Microsoft Entra-Dienste helfen, die sichere Anmeldung zu stärken. Die sichere Anmeldung ist der Prozess zum sicheren Authentifizieren einer Identität, wenn versucht wird, auf ein System zuzugreifen. Microsoft Entra authentifiziert Benutzer*innen und verfügt über Sicherheitsfunktionen mit Informationen über den bzw. die Benutzer*in und die Ressource. Die Informationen umfassen das Zugriffstoken, das Aktualisierungstoken und das ID-Token. Konfigurieren Sie in Übereinstimmung mit Ihren Organisationsanforderungen für den Anwendungszugriff. Verwenden Sie diese Anleitung hauptsächlich für mobile und Desktopclients. Richtlinien für bedingten Zugriff unterstützen Konfigurationseinstellungen für die Webbrowser-Einschränkung authentifizierter Sitzungen. Microsoft Entra ID verfügt über Integrationen über Betriebssysteme hinweg, um ein besseres Benutzererlebnis und Unterstützung für kennwortlose Authentifizierungsmethoden bereitzustellen: SSO für Plattform für macOS erweitert die SSO-Funktionen für macOS. Benutzer*innen melden sich mithilfe kennwortloser Anmeldeinformationen oder der kennwortlosen Kennwortverwaltung, die von Microsoft Entra ID überprüft wird, bei einem Mac an. Die kennwortlose Windows-Benutzeroberfläche unterstützt eine Authentifizierungsumgebung ohne Kennwörter für in Microsoft Entra eingebundene Geräte. Die Verwendung der kennwortlosen Authentifizierung reduziert Sicherheitsrisiken und Risiken im Zusammenhang mit der herkömmlichen kennwortbasierten Authentifizierung, z. B. Phishingangriffe, die Wiederverwendung von Kennwörtern und das Abfangen von mit Keylogger protokollierten Kennwörtern. Die Webanmeldung für Windows ist ein Anmeldeinformationsanbieter, der die Funktionen der Webanmeldung in Windows 11 erweitert, wobei Windows Hello for Business, der befristete Zugriffspass (Temporary Access Pass, TAP) und Verbundidentitäten abgedeckt sind. Azure Virtual Desktop unterstützt SSO und die kennwortlose Authentifizierung. Mit SSO können Sie die kennwortlose Authentifizierung und Identitätsanbieter von Dritten verwenden, die einen Verbund mit Microsoft Entra ID bilden, um sich bei Ihren Azure Virtual Desktop-Ressourcen anzumelden. Bei der Authentifizierung beim Sitzungshost steht eine SSO-Umgebung zur Verfügung. Die Sitzung wird konfiguriert, um SSO für Microsoft Entra-Ressourcen in der Sitzung bereitzustellen. |
Nächste Schritte
Konfigurieren von Microsoft Entra-HIPAA-Sicherheitsvorkehrungen für die Zugriffssteuerung
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für