이 문서의 지침은 세부 정보를 탐색하는 데 도움이 되며 HITRUST 컨트롤과의 맞춤을 지원하기 위해 Microsoft Entra ID의 서비스 및 기능에 대한 권장 사항을 제공합니다. 이 정보를 사용하여 HITRUST(Health Information Trust Alliance) 프레임워크를 이해하고 조직이 1996년 HIPAA(건강 보험 이식성 및 책임법)를 준수하는지 확인하는 책임을 지원합니다. 평가에는 프레임워크에 대해 잘 알고 있으며 프로세스를 안내하고 요구 사항을 이해하는 데 필요한 공인 HITRUST 평가자와 함께 작업하는 작업이 포함됩니다.
약어
다음 표에는 이 문서의 머리글자어와 해당 맞춤법이 나와 있습니다.
| 약어 | 맞춤법 |
|---|---|
| CE | 보호 대상 엔터티 |
| CSF | 공통 보안 프레임워크 |
| HIPAA | 1996년 건강 보험 이식성 및 책임법 |
| 고속철도 | HIPAA 보안 규칙 |
| HITRUST | 건강 정보 신뢰 동맹 |
| IAM | ID 및 액세스 관리 |
| IdP | ID 공급자 |
| ISO | 국제표준화기구 |
| ISMS | 정보 보안 관리 시스템 |
| JEA | 충분한 액세스 권한 |
| JML | 조인, 이동, 나가기 |
| 다중 인증 (assuming "MFA" refers to Multi-Factor Authentication) | Microsoft Entra 다단계 인증 |
| NIST | 미국 상무부 국립표준기술원 |
| 피 | 보호된 건강 정보 |
| PIM | 특권 아이덴티티 관리 |
| SSO (단일 로그인) | 통합 로그인 |
| 탭 | 임시 액세스 패스 |
건강 정보 신뢰 동맹
HITRUST 조직은 의료 산업의 조직에 대한 보안 및 개인 정보 요구 사항을 표준화하고 간소화하기 위해 CSF(Common Security Framework)를 설립했습니다. HITRUST CSF는 2007년에 설립되어 조직이 개인 데이터 및 PHI(보호된 건강 정보) 데이터를 처리할 때 직면하는 복잡한 규제 환경, 보안 문제 및 개인 정보 보호 문제를 해결합니다. CSF는 49개의 컨트롤 목표와 156개의 컨트롤 세부 정보로 구성된 14개의 컨트롤 범주로 구성됩니다. ISO(International Organization for Standardization) 27001 및 ISO 27002의 기본 원칙을 기반으로 구축되었습니다.
HITRUST MyCSF 도구는 Azure Marketplace에서 사용할 수 있습니다. 정보 보안 위험, 데이터 거버넌스를 관리하고, 정보 보호 규정을 준수하고, 국내 및 국제 표준 및 모범 사례를 준수하는 데 사용합니다.
비고
ISO 27001은 ISMS(정보 보안 관리 시스템)에 대한 요구 사항을 지정하는 관리 표준입니다. ISO 27002는 ISO 27001 프레임워크에서 보안 제어를 선택하고 구현하는 모범 사례 집합입니다.
HIPAA 보안 규칙
HIPAA 보안 규칙(HSR)은 의료 계획, 의료 정보 보호 기관 또는 의료 공급자인 CE(적용 대상 엔터티)에서 생성, 수신, 사용 또는 유지 관리하는 개인의 전자 개인 건강 정보를 보호하기 위한 표준을 설정합니다. 미국 보건 복지부(HHS)는 HSR을 관리합니다. HHS는 전자 PHI의 기밀성, 무결성 및 보안을 보장하기 위해 관리, 물리적 및 기술적 안전 장치가 필요합니다.
HITRUST 및 HIPAA
HITRUST는 의료 규정을 지원하기 위해 보안 및 개인 정보 보호 표준을 포함하는 CSF를 개발했습니다. CSF 제어 및 모범 사례는 원본을 통합하여 연방 법률, HIPAA 보안 및 개인 정보 보호 규칙을 준수하도록 하는 작업을 간소화합니다. HITRUST CSF는 HIPAA 규정 준수를 입증하기 위한 제어 및 요구 사항을 갖춘 인증 가능한 보안 및 개인 정보 보호 프레임워크입니다. 의료 조직은 프레임워크를 광범위하게 채택했습니다. 다음 표를 사용하여 컨트롤에 대해 알아봅니다.
| 제어 범주 | 컨트롤 범주 이름 |
|---|---|
| 0 | 정보 보안 관리 프로그램 |
| 1 | 액세스 제어 |
| 2 | 인적 자원 보안 |
| 3 | 위험 관리 |
| 4 | 보안 정책 |
| 5 | 정보 보안 구성 |
| 6 | 컴플라이언스 |
| 7 | 자산 관리 |
| 8 (여덟) | 물리적 및 환경 보안 |
| 9 | 통신 및 운영 관리 |
| 10 | 정보 시스템 취득, 개발 및 유지 관리 |
| 11 | 정보 보안 인시던트 관리 |
| 12 | 비즈니스 연속성 관리 |
| 13 | 개인 정보 취급 방침 |
ID 및 액세스 관리를 포함하는 HITRUST CSF 인증을 받은 Microsoft Azure 플랫폼에 대해 자세히 알아보세요.
- 이전에 Azure Active Directory로 알려진 Microsoft Entra ID
- Microsoft Purview를 사용하여 권한 관리
- Microsoft Entra MFA(다단계 인증)
액세스 제어 범주 및 권장 사항
다음 표에는 IAM(ID 및 액세스 관리)에 대한 액세스 제어 범주와 컨트롤 범주 요구 사항을 충족하는 데 도움이 되는 Microsoft Entra 권장 사항이 있습니다. 자세한 내용은 HIPAA 보안 규칙을 참조하는 HITRUST MyCSF v11에서 해당 컨트롤에 추가됩니다.
| HITRUST 컨트롤, 목표 및 HSR | Microsoft Entra 지침 및 권장 사항 |
|---|---|
|
CSF 컨트롤 V11 01.b 사용자 등록 제어 범주 액세스 제어 – 사용자 등록 및 De-Registration 컨트롤 사양 조직은 공식적인 사용자 등록 및 등록 취소 프로세스를 사용하여 액세스 권한 할당을 사용하도록 설정합니다. 목표 이름 정보 시스템에 대한 권한 있는 액세스 HIPAA 보안 규칙 § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID 는 ID가 디바이스, 애플리케이션 또는 서버에 로그인할 때 확인, 인증 및 자격 증명 관리를 위한 ID 플랫폼입니다. SSO(Single Sign-On), MFA 및 조건부 액세스를 사용하여 보안 공격을 방지할 수 있는 클라우드 기반 ID 및 액세스 관리 서비스입니다. 인증을 통해 권한 있는 ID만 리소스 및 데이터에 액세스할 수 있습니다. 수명 주기 워크플로를 사용하면 ID 거버넌스가 조인자, 이동자, 휴가자(JML) 수명 주기를 자동화할 수 있습니다. 기본 제공 템플릿을 사용하여 워크플로 프로세스를 중앙 집중화하거나 사용자 지정 워크플로를 만듭니다. 이 방법은 조직 JML 전략 요구 사항에 대한 수동 작업을 줄이거나 잠재적으로 제거하는 데 도움이 됩니다. Azure Portal에서 Microsoft Entra ID 메뉴의 ID 거버넌스 로 이동하여 조직 요구 사항에 대한 작업을 검토하거나 구성합니다. Microsoft Entra Connect는 온-프레미스 디렉터리를 Microsoft Entra ID 통합하고 단일 ID를 사용하여 온-프레미스 애플리케이션 및 Microsoft 365와 같은 클라우드 서비스에 액세스할 수 있도록 지원합니다. AD(Active Directory)와 Microsoft Entra ID 간의 동기화를 오케스트레이션합니다. Microsoft Entra Connect를 시작하려면 필수 구성 요소를 검토합니다. 서버 요구 사항 및 관리를 위해 Microsoft Entra 테넌트 준비 방법을 확인합니다. Microsoft Entra Connect Sync 는 클라우드에서 관리되는 프로비저닝 에이전트로, 다중 포리스트 연결이 끊긴 AD 환경에서 Microsoft Entra ID에 대한 동기화를 지원합니다. Microsoft Entra Connect에서 경량 에이전트를 사용합니다. 암호 해시 동기화를 사용하여 암호 수를 줄이고 유출된 자격 증명 검색으로부터 보호하는 것이 좋습니다. |
|
CSF 컨트롤 V11 01.c 권한 관리 제어 범주 액세스 제어 – 권한 있는 계정 컨트롤 사양 조직은 정보 시스템에 대한 무단 액세스를 방지하기 위해 권한 있는 사용자 계정이 등록, 추적 및 주기적으로 검증되도록 합니다. 목표 이름 정보 시스템에 대한 권한 있는 액세스 HIPAA 보안 규칙 § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
PIM(Privileged Identity Management) 은 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하는 Microsoft Entra ID의 서비스입니다. 악의적인 행위자가 액세스하지 못하도록 보안 정보에 액세스할 수 있는 사용자 수를 최소화합니다. PIM에는 과도한 액세스 권한, 불필요한 액세스 권한 또는 오용된 액세스 권한의 위험을 완화하기 위한 시간과 승인 기반 액세스 권한이 있습니다. 권한 있는 계정을 식별하고 분석하여 사용자가 자신의 역할을 수행할 수 있는 충분한 액세스(JEA)를 제공하는 데 도움이 됩니다. 경고 모니터링 및 생성은 의심스러운 활동을 방지하고, 경고를 트리거하는 사용자 및 역할을 나열하는 동시에 무단 액세스의 위험을 줄입니다. 조직 보안 전략에 대한 경고를 사용자 지정합니다. 액세스 검토를 통해 조직은 역할 할당 및 그룹 멤버 자격을 효율적으로 관리할 수 있습니다. 액세스 권한이 있는 계정을 평가하고 필요할 때 액세스가 해지되도록 하여 보안 및 규정 준수를 유지 관리하여 과도한 권한 또는 오래된 권한으로 인한 위험을 최소화합니다. |
|
CSF 컨트롤 V11 0.1d 사용자 암호 관리 제어 범주 Access Control - 절차 컨트롤 사양 정보 시스템에 대한 무단 액세스를 방지하기 위해 권한이 부여된 사용자 계정이 등록, 추적 및 주기적으로 유효성을 검사하도록 합니다. 목표 이름 정보 시스템에 대한 권한 있는 액세스 HIPAA 보안 규칙 §164.308(a)(5)(ii)(D) |
암호 관리는 보안 인프라의 중요한 측면입니다. 강력한 보안 태세를 만들기 위한 모범 사례에 맞게 Microsoft Entra ID는 포괄적인 전략 지원을 용이하게 합니다. SSO 및 MFA 는 FIDO2 보안 키 및 WHfB(Windows Hello for Business)와 같은 암호 없는 인증도 사용자 위험을 완화하고 사용자 인증 환경을 간소화합니다. Microsoft Entra 암호 보호는 알려진 취약한 암호를 감지하고 차단합니다. 암호 정책을 통합하고 사용자 지정 암호 목록을 정의하고 암호 사용을 보호하기 위한 암호 관리 전략을 유연하게 구축할 수 있습니다. HITRUST 암호 길이 및 강도 요구 사항은 암호에 대해 최소 8자 또는 가장 권한이 있는 액세스 권한이 있는 계정의 경우 15자를 포함하는 국립 표준 기술 연구소 NIST 800-63B와 일치합니다. 복잡성 기준에는 권한 있는 계정을 위해 하나 이상의 숫자 및/또는 특수 문자와 하나 이상의 대문자 및 소문자를 포함해야 합니다. |
|
CSF 컨트롤 V11 01.p 보안 로그온 절차 제어 범주 액세스 제어 – 보안 로그온 컨트롤 사양 조직은 보안 로그온 절차를 사용하여 정보 자산에 대한 액세스를 제어합니다. 목표 이름 운영 체제 액세스 제어 HIPAA 보안 규칙 § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
보안 로그인은 시스템에 액세스하려고 할 때 ID를 안전하게 인증하는 프로세스입니다. 이 컨트롤은 운영 체제에 중점을 둡니다. Microsoft Entra 서비스는 보안 로그인을 강화하는 데 도움이 됩니다. 조건부 액세스 정책은 조직이 승인된 애플리케이션, 리소스에 대한 액세스를 제한하고 디바이스의 보안을 보장하는 데 도움이 됩니다. Microsoft Entra ID는 ID, 위치 또는 디바이스의 조건부 액세스 정책 의 신호를 분석하여 결정을 자동화하고 리소스 및 데이터에 액세스하기 위한 조직 정책을 적용합니다. RBAC(역할 기반 액세스 제어) 를 사용하면 조직에서 액세스 및 관리되는 리소스를 관리할 수 있습니다. RBAC는 최소 권한 원칙을 구현하여 사용자가 작업을 수행하는 데 필요한 권한을 갖도록 합니다. 이 작업은 우발적이거나 의도적인 잘못된 구성의 위험을 최소화합니다. 컨트롤 0.1d 사용자 암호 관리에 대해 언급했듯이 암호 없는 인증은 위조하기 어렵기 때문에 생체 인식을 사용하므로 더 안전한 인증을 제공합니다. |
|
CSF 컨트롤 V11 01.q 사용자 식별 및 인증 제어 범주 해당 없음(N/A) 컨트롤 사양 모든 사용자는 개인 용도로만 고유한 식별자(사용자 ID)를 가져야 하며, 사용자의 클레임된 ID를 입증하기 위한 인증 기술이 구현되어야 합니다. 목표 이름 해당 없음(N/A) HIPAA 보안 규칙 § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Microsoft Entra ID의 계정 프로비저닝 을 사용하여 사용자 계정을 만들고 업데이트하고 관리합니다. 각 사용자와 개체에는 개체 ID라고 하는 UID(고유 식별자)가 할당됩니다. UID는 사용자 또는 개체를 만들 때 자동으로 생성되는 전역 고유 식별자입니다. Microsoft Entra ID는 시스템 및 애플리케이션에 대한 자동화된 사용자 프로비저닝을 지원 합니다. 자동화된 프로비저닝은 사람들이 조직에서 팀에 참가할 때 올바른 시스템에 새 계정을 만듭니다. 자동화된 프로비전 해제는 사용자가 떠날 때 계정을 비활성화합니다. |
|
CSF 컨트롤 V11 01.u 연결 시간 제한 제어 범주 액세스 제어 - 보안 로그온 컨트롤 사양 조직은 보안 로그온 절차를 사용하여 정보 자산에 대한 액세스를 제어합니다. 목표 이름 운영 체제 액세스 제어 HIPAA 보안 규칙 § 164.312(a)(2)(iii) |
이 컨트롤은 운영 체제에 중점을 둡니다. Microsoft Entra 서비스는 보안 로그인을 강화하는 데 도움이 됩니다. 보안 로그인은 시스템에 액세스하려고 할 때 ID를 안전하게 인증하는 프로세스입니다. Microsoft Entra는 사용자를 인증하고 사용자 및 리소스에 대한 정보를 사용하여 보안 기능을 제공합니다. 정보에는 액세스 토큰, 새로 고침 토큰 및 ID 토큰이 포함됩니다. 애플리케이션 액세스에 대한 조직의 요구 사항에 따라 구성합니다. 주로 모바일 및 데스크톱 클라이언트에 대해 이 지침을 사용합니다. 조건부 액세스 정책은 인증된 세션의 웹 브라우저 제한에 대한 구성 설정을 지원합니다. Microsoft Entra ID는 운영 체제 간에 통합되어 나열된 암호 없는 인증 방법에 대한 향상된 사용자 환경 및 지원을 제공합니다. macOS용 플랫폼 SSO는 macOS 용 SSO 기능을 확장합니다. 사용자는 암호 없는 자격 증명 또는 Microsoft Entra ID로 유효성이 검사된 암호 관리를 사용하여 Mac에 로그인합니다. Windows 암호 없는 환경 은 Microsoft Entra 조인 디바이스에서 암호 없이 인증 환경을 촉진합니다. 암호 없는 인증을 사용하면 피싱 공격, 암호 재사용 및 암호 키 로거 가로채기와 같은 기존 암호 기반 인증과 관련된 취약성과 위험을 줄일 수 있습니다. Windows용 웹 로그인은 Windows 11에서 비즈니스용 Windows Hello, TAP(임시 액세스 패스) 및 페더레이션 ID를 포함하는 웹 로그인 기능을 확장하는 자격 증명 공급자입니다. Azure Virtual Desktop은 SSO 및 암호 없는 인증을 지원합니다. SSO를 사용하면 Microsoft Entra ID와 페더레이션되는 암호 없는 인증 및 타사 ID 공급자(ID 공급자)를 사용하여 Azure Virtual Desktop 리소스에 로그인할 수 있습니다. 세션 호스트에 인증할 때 SSO 환경이 있습니다. 세션의 Microsoft Entra 리소스에 SSO를 제공하도록 세션을 구성합니다. |