Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Azure Local 2311.2 et versions ultérieures
Cet article réunit des recommandations sur la manière de gérer au mieux la conformité HIPAA pour les solutions créées avec Azure Local.
Conformité dans le domaine de la santé
La loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996 et différentes normes applicables au domaine de la santé, telles que Health Information Technology for Economic and Clinical Health (HITECH) et Health Information Trust Alliance (HITRUST) protègent la confidentialité, l’intégrité et la disponibilité des informations de santé protégées des patients (PHI). Ces réglementations et normes garantissent que les structures de santé, comme les cabinets médicaux, les hôpitaux et les assureurs santé (les « entités couvertes »), créent, reçoivent, maintiennent, transmettent ou accèdent aux données PHI de manière appropriée. Leurs stipulations s’appliquent également aux professionnels associés qui fournissent des services impliquant des données PHI aux entités couvertes. Microsoft fait partie de ces partenaires qui fournissent des services informatiques comme Azure Local pour aider les entreprises du secteur de la santé à stocker et traiter les données PHI de manière plus efficace et sécurisée. Les sections suivantes expliquent comment les fonctionnalités Azure Local aident les organisations à répondre à ces obligations.
Responsabilités partagées
Clients Microsoft
En tant qu’entités couvertes soumises à l’HIPAA, les organisations de santé analysent indépendamment leurs environnements technologiques et leurs cas d’usage uniques, puis planifient et implémentent des stratégies et procédures conformes aux exigences de ces réglementations. Les entités couvertes sont responsables de la conformité de leurs solutions technologiques. Les recommandations de cet article et d’autres ressources fournies par Microsoft peuvent servir de référence.
Microsoft
Aux termes de l’HIPAA, il n’incombe pas aux partenaires commerciaux de garantir la conformité HIPAA, mais de conclure un contrat Business Associate Agreement (BAA) avec les entités couvertes. Microsoft propose un BAA HIPAA dans le cadre des Conditions des Produits Microsoft (anciennement les Conditions d’utilisation des services en ligne) à tous les clients qui sont des entités couvertes ou des associés commerciaux en vertu de l’HIPAA pour une utilisation avec les services Azure concernés.
Offres de conformité Azure Local
Azure Local est une solution hybride qui héberge et stocke des charges de travail virtualisées à la fois sur le cloud Azure et dans votre centre de données local. Cela signifie que les exigences HIPAA doivent être satisfaites aussi bien dans le cloud que dans votre centre de données local.
Services cloud Azure
La législation HIPAA étant conçue pour les entreprises de santé, les services cloud comme Microsoft Azure ne peuvent pas être certifiés. Toutefois, les services cloud connectés Azure et Azure Local sont conformes à d’autres frameworks et normes de sécurité établis, équivalents ou plus stricts que l’HIPAA et HITECH. Pour en savoir plus sur le programme de conformité Azure pour le secteur de la santé, consultez Azure et HIPAA.
Environnement local
En tant que solution hybride, Azure Local combine les services cloud Azure avec les systèmes d’exploitation et l’infrastructure hébergée localement par les organisations clientes. Microsoft fournit un ensemble de fonctionnalités qui aident les organisations à respecter la conformité à l’HIPAA et d’autres normes du secteur de la santé, à la fois dans les environnements cloud et locaux.
Fonctionnalités locales Azure pertinentes pour la règle de sécurité HIPAA
Cette section décrit comment les fonctionnalités d’Azure Local vous aident à atteindre les objectifs de contrôle de sécurité de la règle de sécurité HIPAA, qui comprennent les cinq domaines de contrôle suivants :
- Gestion de l’identité et de l’accès
- Protection des données
- Journalisation et supervision
- Protection contre les programmes malveillants
- Sauvegarde et récupération
Importante
Les sections suivantes fournissent des recommandations axées sur la couche plateforme. Les informations sur les charges de travail et les couches d’application spécifiques sortent du cadre de cet article.
Gestion de l’identité et de l’accès
Azure Local fournit un accès complet et direct aux systèmes sous-jacents via plusieurs interfaces comme Azure Arc et Windows PowerShell. Vous pouvez utiliser des outils Windows classiques dans des environnements locaux ou bien des solutions cloud telles que Microsoft Entra ID (anciennement Azure Active Directory) pour gérer les identités et accès à la plateforme. Dans les deux cas, vous pouvez tirer parti des fonctionnalités de sécurité intégrées, comme l’authentification multifacteur (MFA), l’accès conditionnel, le contrôle d’accès en fonction du rôle (RBAC) et la gestion des identités privilégiées (PIM), pour garantir que votre environnement est sécurisé et conforme.
Pour en savoir plus sur la gestion des identités et des accès locaux, consultez Microsoft Identity Manager et Privileged Access Management pour services de domaine Active Directory. Pour en savoir plus sur la gestion des identités et des accès sur le cloud, consultez Microsoft Entra ID.
Protection des données
Chiffrement des données avec BitLocker
Sur les instances Azure Local, tous les données au repos peuvent être chiffrées via le chiffrement XTS-AES 256 bits BitLocker. Par défaut, le système vous recommande d’autoriser BitLocker à chiffrer tous les volumes du système d’exploitation (OS) et les volumes partagés de cluster (CSV) dans votre déploiement Azure Local. Pour les nouveaux volumes de stockage ajoutés après le déploiement, vous devez activer manuellement BitLocker pour chiffrer le nouveau volume de stockage. L’utilisation de BitLocker pour protéger les données peut aider les organisations à rester conformes à la norme ISO/IEC 27001. Pour en savoir plus, consultez Utiliser BitLocker avec des volumes partagés de cluster (CSV).
Protection du trafic réseau externe avec TLS/DTLS
Par défaut, toutes les communications de l’hôte vers des points de terminaison locaux et distants sont chiffrées à l’aide de TLS1.2, TLS1.3 et DTLS 1.2. La plateforme désactive l’utilisation des anciens protocoles/hachages comme TLS/DTLS 1.1 SMB1. Azure Local prend également en charge des suites de chiffrement robustes comme les courbes elliptiques conformes SDL, limitées aux courbes NIST P-256 et P-384 uniquement.
Protection du trafic réseau interne avec Server Message Block (SMB)
La signature SMB est activée par défaut pour les connexions client dans les instances Azure Local. Pour le trafic intra-cluster, le chiffrement SMB est une option que les organisations peuvent activer pendant ou après le déploiement afin de protéger les données en transit entre différents systèmes. Les suites de chiffrement AES-256-GCM et AES-256-CCM sont désormais prises en charge par le protocole SMB 3.1.1 utilisé par le trafic de fichiers client-serveur et l’infrastructure de données intra-cluster. Le protocole continue également de prendre en charge la suite ES-128 plus largement compatible. Pour en savoir plus, consultez les Améliorations en matière de sécurité SMB.
Journalisation et supervision
Journaux d’activité du système local
Par défaut, toutes les opérations réalisées dans Azure Local sont enregistrées afin que vous puissiez suivre qui a fait quoi, quand et où sur la plateforme. Les journaux et les alertes créés par Windows Defender sont également inclus pour vous aider à prévenir, détecter et réduire la probabilité et l’impact d’une compromission des données. Le journal système contenant généralement un grand volume d’informations, la plupart non essentielles pour la surveillance de la sécurité des informations, vous devez identifier quels événements il est pertinent de collecter et d’utiliser à des fins de surveillance de la sécurité. Les fonctionnalités de surveillance Azure permettent de collecter, de stocker, d’alerter et d’analyser ces journaux. Reportez-vous à Base de référence de la sécurité pour Azure Local pour en savoir plus.
Journaux d’activité locaux
Azure Local crée et stocke les journaux d’activité pour tout plan d’action exécuté. Ces journaux prennent en charge les enquêtes plus approfondies et le contrôle de la conformité.
Journaux d’activité sur le cloud
En enregistrant vos clusters avec Azure, vous pouvez utiliser les journaux d’activité Azure Monitor pour enregistrer les opérations sur chaque ressource au niveau de la couche d’abonnement afin de déterminer « qui, quand et quoi » pour toutes les opérations d’écriture (PUT, POST, DELETE) effectuées sur les ressources de votre abonnement.
Journaux d’identité cloud
Si vous utilisez Microsoft Entra ID pour gérer les identités et accès à la plateforme, vous pouvez afficher les journaux d’activité dans les rapports Azure AD ou les intégrer à Azure Monitor, Microsoft Sentinel ou d’autres outils de surveillance/SIEM pour des cas d’utilisation sophistiqués de surveillance et d’analyse. Si vous utilisez Active Directory sur site, utilisez la solution Microsoft Defender pour Identity pour utiliser vos signaux Active Directory locaux afin d’identifier, de détecter et d’investiguer les menaces avancées, les identités compromises et les actions des utilisateurs internes malveillants dirigées contre votre entreprise.
Intégration SIEM
Microsoft Defender pour cloud et Microsoft Sentinel sont intégrés en mode natif aux serveurs avec Arc. Vous pouvez activer et intégrer vos journaux à Microsoft Sentinel, qui offre des fonctions de gestion des événements de sécurité (SIEM) et de réponse automatisée à l’orchestration de la sécurité (SOAR). Microsoft Sentinel, comme d’autres services cloud Azure, est conforme à de nombreuses normes de sécurité bien établies telles que HIPAA et HITRUST, qui peuvent vous aider à utiliser votre processus d’accréditation. En outre, Azure Local fournit un redirecteur d’événements syslog natif pour envoyer les événements système à des solutions SIEM tierces.
Azure Local Insights
Azure Local Insights vous permet de surveiller les informations sur l’intégrité, les performances et l’utilisation des systèmes connectés à Azure et inscrits dans la surveillance. Pendant la configuration d’Insights, une règle de collecte de données est créée, spécifiant les données à collecter. Ces données sont stockées dans un espace de travail Log Analytics, qui est ensuite agrégé, filtré et analysé pour fournir des tableaux de bord de surveillance prédéfinis à l’aide de classeurs Azure. Vous pouvez afficher les données de surveillance pour les systèmes à nœud unique ou à plusieurs nœuds à partir de votre page de ressources Azure Local ou Azure Monitor. Pour en savoir plus, consultez Surveiller Azure Local avec Insights.
Métriques Azure Local
Les métriques stockent des données numériques provenant de ressources surveillées dans une base de données de séries chronologiques. Vous pouvez utiliser Azure Monitor metrics explorer pour analyser de façon interactive les données dans votre base de données de métriques et représenter les valeurs de plusieurs métriques au fil du temps dans un graphique. Avec ce composant, vous pouvez créer des graphiques à partir de valeurs de métriques et corréler visuellement des tendances.
Alertes de journal
Pour indiquer les problèmes en temps réel, vous pouvez configurer des alertes pour les systèmes Azure Local en utilisant des exemples de requêtes de journaux préexistantes, telles que l’utilisation moyenne du CPU du serveur, la mémoire disponible, la capacité de volume disponible, et plus encore. Pour en savoir plus, consultez Configurer des alertes pour les systèmes Azure Local.
Alertes de métrique
Une règle d’alerte de métrique supervise une ressource en évaluant les conditions sur les métriques de ressource à intervalles réguliers. Si les conditions sont remplies, une alerte est déclenchée. Une série chronologique de métriques est une série de valeurs de métriques capturées sur une période donnée. Vous pouvez utiliser ces métriques pour créer des règles d’alerte. Pour en savoir plus sur la création d’alertes avec les métriques, consultez Alertes de métrique.
Alertes de service et d’appareil
Azure Local fournit des alertes basées sur le service pour la connectivité, les mises à jour du système d’exploitation, la configuration Azure et bien plus encore. Des alertes basées sur les appareils sont également disponibles pour les problèmes d'intégrité des clusters. Vous pouvez également surveiller les instances Azure Local et leurs composants sous-jacents avec PowerShell ou Health Service.
Protection contre les programmes malveillants
Antivirus Windows Defender
L’antivirus Windows Defender est une application utilitaire qui permet une analyse système en temps réel et une analyse périodique pour protéger la plateforme et les charges de travail contre les virus, les logiciels malveillants, les logiciels espions et d’autres menaces. Par défaut, l’antivirus Microsoft Defender est activé sur Azure Local. Microsoft recommande d’utiliser Microsoft Defender Antivirus avec Azure Local plutôt que des logiciels et services antivirus et de détection de logiciels malveillants tiers qui risqueraient d’impacter la capacité du système d’exploitation à recevoir des mises à jour. Pour en savoir plus, consultez Microsoft Defender Antivirus sur Windows Server.
Contrôle d’application
Le contrôle des applications est activé par défaut sur Azure Local pour contrôler quels pilotes et applications sont autorisés à s’exécuter directement sur chaque serveur, ce qui permet d’empêcher les logiciels malveillants d’accéder au système. Pour en savoir plus sur les stratégies de base incluses dans Azure Local et sur la manière de créer des stratégies supplémentaires, consultez Gestion d’Application Control pour Azure Local.
Microsoft Defender pour le cloud
Microsoft Defender pour le cloud avec Endpoint Protection (activé via le plan Defender pour serveurs) fournit une solution de gestion de la posture de sécurité avec des fonctionnalités avancées de protection contre les menaces. Cette solution vous fournit des outils pour évaluer l’état de sécurité de votre infrastructure, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et résoudre les menaces futures. Elle prend en charge tous ces services à grande vitesse dans le cloud, sans surcharge de déploiement via le provisionnement automatique et la protection avec les services Azure. Pour en savoir plus, consultez Microsoft Defender pour le cloud.
Sauvegarde et récupération
Cluster étendu
Azure Local fournit une prise en charge intégrée de la reprise d’activité après sinistre des charges de travail virtualisées par le biais d’un clustering étendu (disponible dans Azure Local, version 22H2). En déployant une instance Azure Local étendue, vous pouvez répliquer de manière synchrone ses charges de travail virtualisées sur deux emplacements locaux distincts et basculer automatiquement de l’un à l’autre. Les basculements de site planifiés peuvent se produire sans temps d’arrêt à l’aide de la migration dynamique Hyper-V.
Nœuds de cluster Kubernetes
Si vous utilisez Azure Local pour héberger des déploiements basés sur des conteneurs, la plateforme vous aide à améliorer l’agilité et la résilience inhérentes aux déploiements Azure Kubernetes. Azure Local gère le basculement automatique des machines virtuelles qui servent de nœuds de cluster Kubernetes en cas de défaillance localisée des composants physiques sous-jacents. Cette configuration complète la haute disponibilité intégrée dans Kubernetes, qui permet de redémarrer automatiquement les conteneurs défaillants sur la même machine virtuelle ou sur une autre.
Azure Site Recovery (Récupération de site Azure)
Ce service vous permet de répliquer des charges de travail s’exécutant sur vos machines virtuelles locales Azure Local vers le cloud afin que votre système d’information puisse être restauré en cas d’incident, de défaillance ou de perte de support de stockage. Comme d’autres services cloud Azure, Azure Site Recovery a un long historique de certificats de sécurité, y compris HITRUST, que vous pouvez utiliser pour prendre en charge votre processus d’accréditation. Pour en savoir plus, consultez Protéger les charges de travail de machine virtuelle avec Azure Site Recovery sur Azure Local.
Serveur Sauvegarde Microsoft Azure (MABS)
Ce service vous permet de sauvegarder des machines virtuelles Azure Local, en spécifiant une fréquence et une période de rétention souhaitées. Vous pouvez utiliser MABS pour sauvegarder la plupart de vos ressources dans l’environnement, notamment :
- État du système/récupération Bare Metal (BMR) de l'hôte local Azure
- Machines virtuelles invitées dans un système disposant d’un stockage local ou directement attaché
- Machines virtuelles invitées sur une instance Azure Local avec stockage CSV
- Déplacement d’une machine virtuelle dans un cluster
Pour en savoir plus, consultez Sauvegarder des machines virtuelles Azure Local avec le serveur de sauvegarde Azure.