Azure Stack HCI et HIPAA
Cet article fournit des conseils sur la façon dont les organisations peuvent parcourir efficacement la conformité HIPAA pour les solutions créées avec Azure Stack HCI.
Conformité aux soins de santé
La Loi sur la portabilité et la responsabilité de l’assurance maladie de 1996 (HIPAA) et les normes de santé telles que Health Information Technology for Economic and Clinical Health Health (HITECH) et Health Information Trust Alliance (HITRUST) protègent la confidentialité, l’intégrité et la disponibilité des informations médicales protégées des patients (PHI). Ces réglementations et normes garantissent que les organismes de santé tels que les bureaux de médecins, les hôpitaux et les assureurs médicaux (« entités couvertes ») créent, reçoivent, maintiennent, transmettent ou accèdent correctement à PHI. En outre, leurs exigences s’étendent aux associés commerciaux qui fournissent des services qui impliquent PHI pour les entités couvertes. Microsoft est un exemple d’associé commercial qui fournit des services informatiques comme Azure Stack HCI pour aider les entreprises de santé à stocker et traiter PHI plus efficacement et en toute sécurité. Les sections suivantes fournissent des informations sur la façon dont les fonctionnalités de plateforme d’Azure Stack HCI aident les organisations à répondre à ces exigences.
Responsabilités partagées
Clients Microsoft
En tant qu’entité couverte qui est soumise aux lois HIPAA, les organisations de santé analysent indépendamment leurs environnements technologiques uniques et leurs cas d’usage, puis planifient et implémentent des stratégies et procédures conformes aux exigences des réglementations. Les entités couvertes sont responsables de la conformité de leurs solutions technologiques. Les conseils fournis dans cet article et d’autres ressources fournies par Microsoft peuvent être utilisés comme référence.
Microsoft
Conformément aux réglementations HIPAA, les associés commerciaux ne garantissent pas la conformité HIPAA, mais entrent plutôt dans un contrat d’association d’entreprise (BAA) avec des entités couvertes. Microsoft propose une loi HIPAA BAA dans le cadre des conditions du produit Microsoft (anciennement conditions des services en ligne) à tous les clients qui sont couverts par des entités ou des associés commerciaux sous HIPAA pour une utilisation avec les services Azure dans l’étendue.
Offres de conformité Azure Stack HCI
Azure Stack HCI est une solution hybride qui héberge et stocke des charges de travail virtualisées sur le cloud Azure et votre centre de données local. Cela signifie que les exigences HIPAA doivent être satisfaites dans le cloud et dans votre centre de données local.
Services cloud Azure
Comme la législation HIPAA est conçue pour les entreprises de santé, les services cloud tels que Microsoft Azure ne peuvent pas être certifiés. Toutefois, les services cloud connectés d’Azure et Azure Stack HCI sont conformes à d’autres infrastructures et normes de sécurité établies qui sont équivalentes ou plus strictes que HIPAA et HITECH. En savoir plus sur le programme de conformité Azure pour le secteur de la santé dans Azure et HIPAA.
Environnement local
En tant que solution hybride, Azure Stack HCI combine les services cloud Azure avec des systèmes d’exploitation et une infrastructure hébergée localement par les organisations clientes. Microsoft fournit un ensemble de fonctionnalités qui aident les organisations à respecter la conformité avec HIPAA et d’autres normes du secteur de la santé, à la fois dans les environnements cloud et locaux.
Fonctionnalités Azure Stack HCI pertinentes pour la règle de sécurité HIPAA
Cette section décrit comment les fonctionnalités d’Azure Stack HCI vous aident à atteindre les objectifs de contrôle de sécurité de la règle de sécurité HIPAA, qui comprennent les cinq domaines de contrôle suivants :
- Gestion de l’identité et de l’accès
- Protection des données
- Journalisation et supervision
- Protection contre les programmes malveillants
- Sauvegarde et récupération
Important
Les sections suivantes fournissent des conseils axés sur la couche plateforme. Les informations sur les charges de travail et les couches d’application spécifiques sont hors portée.
Gestion des identités et des accès
La plateforme Azure Stack HCI fournit un accès complet et direct au système sous-jacent s’exécutant sur des nœuds de cluster via plusieurs interfaces telles qu’Azure Arc et Windows PowerShell. Vous pouvez utiliser des outils Windows classiques dans des environnements locaux ou des solutions cloud telles que Microsoft Entra ID (anciennement Azure Active Directory) pour gérer l’identité et l’accès à la plateforme. Dans les deux cas, vous pouvez tirer parti des fonctionnalités de sécurité intégrées, telles que l’authentification multifacteur (MFA), l’accès conditionnel, le contrôle d’accès en fonction du rôle (RBAC) et la gestion des identités privilégiées (PIM) pour garantir que votre environnement est sécurisé et conforme.
En savoir plus sur la gestion des identités et des accès locaux dans Microsoft Identity Manager et Privileged Access Management pour services de domaine Active Directory. En savoir plus sur la gestion des identités et des accès basées sur le cloud sur Microsoft Entra ID.
Protection des données
Chiffrement des données avec BitLocker
Sur les clusters Azure Stack HCI, toutes les données au repos peuvent être chiffrées via le chiffrement XTS-AES 256 bits BitLocker. Par défaut, le système vous recommande d’autoriser BitLocker à chiffrer tous les volumes du système d’exploitation et les volumes partagés de cluster (CSV) dans votre déploiement Azure Stack HCI. Pour les nouveaux volumes de stockage ajoutés après le déploiement, vous devez activer manuellement BitLocker pour chiffrer le nouveau volume de stockage. L’utilisation de BitLocker pour protéger les données peut aider les organisations à rester conformes à iso/IEC 27001. Pour en savoir plus, consultez Utiliser BitLocker avec des volumes partagés de cluster (CSV).
Protection du trafic réseau externe avec TLS/DTLS
Par défaut, toutes les communications de l’hôte vers des points de terminaison locaux et distants sont chiffrées à l’aide de TLS1.2, TLS1.3 et DTLS 1.2. La plateforme désactive l’utilisation de protocoles/hachages plus anciens, tels que TLS/DTLS 1.1 S Mo 1. Azure Stack HCI prend également en charge des suites de chiffrement fortes comme les courbes elliptiques compatibles SDL, limitées aux courbes NIST P-256 et P-384 uniquement.
Protection du trafic réseau interne avec le bloc de messages serveur (S Mo)
La signature S Mo est activée par défaut pour les connexions clientes dans les hôtes de cluster Azure Stack HCI. Pour le trafic intra-cluster, le chiffrement S Mo est une option que les organisations peuvent activer pendant ou après le déploiement pour protéger les données en transit entre les clusters. Les suites de chiffrement AES-256-GCM et AES-256-CCM sont désormais prises en charge par le protocole S Mo 3.1.1 utilisé par le trafic de fichiers client-serveur et l’infrastructure de données intra-cluster. Le protocole continue également de prendre en charge la suite ES-128 plus largement compatible. En savoir plus sur les améliorations de sécurité de S Mo.
Journalisation et supervision
Journaux système locaux
Par défaut, toutes les opérations effectuées dans la plateforme Azure Stack HCI sont enregistrées afin de pouvoir suivre qui a fait quoi, quand et où sur la plateforme. Les journaux et les alertes créés par Windows Defender sont également inclus pour vous aider à prévenir, détecter et réduire la probabilité et l’impact d’une compromission des données. Étant donné que le journal système contient souvent un grand volume d’informations, la plupart d’entre elles sont superflues pour la surveillance de la sécurité des informations, vous devez identifier quels événements sont pertinents pour être collectés et utilisés à des fins de surveillance de la sécurité. Les fonctionnalités de supervision Azure aident à collecter, stocker, alerter et analyser ces journaux. Référencez la base de référence de sécurité pour Azure Stack HCI pour en savoir plus.
Journaux d’activité locaux
Azure Stack HCI Lifecycle Manager crée et stocke les journaux d’activité pour tout plan d’action exécuté. Ces journaux prennent en charge l’examen approfondi et la surveillance de la conformité.
Journaux d’activité cloud
En inscrivant vos clusters auprès d’Azure, vous pouvez utiliser les journaux d’activité Azure Monitor pour enregistrer les opérations sur chaque ressource de la couche d’abonnement afin de déterminer qui, et quand, pour toutes les opérations d’écriture (put, post ou delete) effectuées sur les ressources de votre abonnement.
Journaux des identités cloud
Si vous utilisez Microsoft Entra ID pour gérer l’identité et l’accès à la plateforme, vous pouvez afficher les journaux d’activité dans les rapports Azure AD ou les intégrer à Azure Monitor, Microsoft Sentinel ou à d’autres outils SIEM/monitoring pour des cas d’utilisation sophistiqués de surveillance et d’analyse. Si vous utilisez Active Directory local, utilisez la solution de Microsoft Defender pour Identity pour consommer vos signaux Active Directory local pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées vers votre Organisation.
Intégration de SIEM
Microsoft Defender pour le cloud et Microsoft Sentinel sont intégrés en mode natif aux nœuds Azure Stack HCI avec Arc. Vous pouvez activer et intégrer vos journaux à Microsoft Sentinel, qui fournit une fonctionnalité SIEM (Security Information Event Management) et une réponse automatisée de l’orchestration de la sécurité (SOAR). Microsoft Sentinel, comme d’autres services cloud Azure, est conforme à de nombreuses normes de sécurité bien établies telles que HIPAA et HITRUST, qui peuvent vous aider à utiliser votre processus d’accréditation. En outre, Azure Stack HCI fournit un redirecteur d’événements syslog natif pour envoyer les événements système aux solutions SIEM tierces.
Insights Azure Stack HCI
Azure Stack HCI Recommandations vous permet de surveiller l’intégrité, les performances et les informations d’utilisation des clusters connectés à Azure et inscrits dans la supervision. Pendant Recommandations configuration, une règle de collecte de données est créée, qui spécifie les données à collecter. Ces données sont stockées dans un espace de travail Log Analytics, qui est ensuite agrégé, filtré et analysé pour fournir des tableaux de bord de surveillance prédéfinis à l’aide de classeurs Azure. Vous pouvez afficher les données de surveillance pour un cluster unique ou plusieurs clusters à partir de votre page de ressources Azure Stack HCI ou d’Azure Monitor. En savoir plus sur Monitor Azure Stack HCI avec Recommandations.
Métriques Azure Stack HCI
Les métriques stockent des données numériques à partir de ressources surveillées dans une base de données de série chronologique. Vous pouvez utiliser l’Explorateur de métriques Azure Monitor pour analyser de manière interactive les données de votre base de données de métriques et tracer les valeurs de plusieurs métriques au fil du temps. Avec Métriques, vous pouvez créer des graphiques à partir de valeurs de métriques et mettre en corrélation visuellement les tendances.
Alertes de journal
Pour indiquer des problèmes en temps réel, vous pouvez configurer des alertes pour les systèmes Azure Stack HCI à l’aide d’exemples de requêtes de journal préexistantes telles que le processeur moyen du serveur, la mémoire disponible, la capacité de volume disponible et bien plus encore. Pour en savoir plus, consultez Configurer des alertes pour les systèmes Azure Stack HCI.
Alertes de métrique
Une règle d’alerte de métrique supervise une ressource en évaluant les conditions sur les métriques de ressource à intervalles réguliers. Si les conditions sont remplies, une alerte est déclenchée. Une série chronologique de métriques est une série de valeurs de métriques capturées sur une période donnée. Vous pouvez utiliser ces métriques pour créer des règles d’alerte. Apprenez-en davantage sur la création d’alertes de métrique sur les alertes de métrique.
Alertes de service et d’appareil
Azure Stack HCI fournit des alertes basées sur le service pour la connectivité, les mises à jour du système d’exploitation, la configuration Azure et bien plus encore. Les alertes basées sur les appareils pour les erreurs d’intégrité du cluster sont également disponibles. Vous pouvez également surveiller les clusters Azure Stack HCI et leurs composants sous-jacents à l’aide de PowerShell ou du service d’intégrité.
Protection contre les programmes malveillants
Antivirus Windows Defender
L’antivirus Windows Defender est une application utilitaire qui permet l’application de l’analyse système en temps réel et de l’analyse périodique pour protéger la plateforme et les charges de travail contre les virus, les logiciels malveillants, les logiciels espions et d’autres menaces. Par défaut, Antivirus Microsoft Defender est activé sur Azure Stack HCI. Microsoft recommande d’utiliser Antivirus Microsoft Defender avec Azure Stack HCI plutôt que les logiciels et services de détection de programmes malveillants tiers, car ils peuvent avoir un impact sur la capacité du système d’exploitation à recevoir des mises à jour. En savoir plus sur Antivirus Microsoft Defender sur Windows Server.
Windows Defender Application Control
Windows Defender Application Control (WDAC) est activé par défaut sur Azure Stack HCI pour contrôler quels pilotes et applications sont autorisés à s’exécuter directement sur chaque serveur, ce qui permet d’empêcher les programmes malveillants d’accéder au système. En savoir plus sur les stratégies de base incluses dans Azure Stack HCI et comment créer des stratégies supplémentaires dans Gérer windows Defender Application Control pour Azure Stack HCI.
Microsoft Defender for Cloud
Microsoft Defender pour le cloud avec Endpoint Protection (activé via des plans de serveur) fournit une solution de gestion de la posture de sécurité avec des fonctionnalités avancées de protection contre les menaces. Il vous fournit des outils pour évaluer l’état de sécurité de votre infrastructure, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et résoudre les menaces futures. Il effectue tous ces services à grande vitesse dans le cloud sans surcharge de déploiement via le provisionnement automatique et la protection avec les services Azure. En savoir plus sur Microsoft Defender pour le cloud.
Sauvegarde et récupération
Cluster étendu
Azure Stack HCI offre une prise en charge intégrée de la récupération d’urgence des charges de travail virtualisées via le clustering étendu. En déployant un cluster Azure Stack HCI étendu, vous pouvez répliquer de manière synchrone ses charges de travail virtualisées entre deux emplacements locaux distincts et basculer automatiquement entre eux. Les basculements de site planifiés peuvent se produire sans temps d’arrêt à l’aide de la migration dynamique Hyper-V.
Nœuds de cluster Kubernetes
Si vous utilisez Azure Stack HCI pour héberger des déploiements basés sur des conteneurs, la plateforme vous aide à améliorer l’agilité et la résilience inhérentes aux déploiements Azure Kubernetes. Azure Stack HCI gère le basculement automatique des machines virtuelles servant de nœuds de cluster Kubernetes en cas de défaillance localisée des composants physiques sous-jacents. Cette configuration complète la haute disponibilité intégrée dans Kubernetes, qui permet de redémarrer automatiquement les conteneurs défaillants sur la même machine virtuelle ou sur une autre.
Azure Site Recovery
Ce service vous permet de répliquer des charges de travail s’exécutant sur vos machines virtuelles Azure Stack HCI locales vers le cloud afin que votre système d’information puisse être restauré en cas d’incident, d’échec ou de perte de support de stockage. Comme d’autres services cloud Azure, Azure Site Recovery a un long historique des certificats de sécurité, y compris HITRUST, que vous pouvez utiliser pour prendre en charge votre processus d’accréditation. Pour en savoir plus, consultez Protéger les charges de travail de machine virtuelle avec Azure Site Recovery sur Azure Stack HCI.
Serveur Sauvegarde Microsoft Azure (MABS)
Ce service vous permet de sauvegarder des machines virtuelles Azure Stack HCI, en spécifiant une fréquence et une période de rétention souhaitées. Vous pouvez utiliser MABS pour sauvegarder la plupart de vos ressources dans l’environnement, notamment :
- État système/récupération complète (BMR) de l’hôte Azure Stack HCI
- Machines virtuelles invitées dans un cluster disposant d’un stockage local ou directement attaché
- Machines virtuelles invitées sur un cluster Azure Stack HCI avec stockage CSV
- Déplacement d’une machine virtuelle dans un cluster
Pour en savoir plus, consultez Sauvegarder des machines virtuelles Azure Stack HCI avec Sauvegarde Azure Server.