Delen via

Azure Stack HCI en HIPAA

  • Artikel

Dit artikel bevat richtlijnen over hoe organisaties het efficiëntst kunnen navigeren in HIPAA-naleving voor oplossingen die zijn gebouwd met Azure Stack HCI.

Naleving van gezondheidszorg

De Health Insurance Portability and Accountability Act van 1996 (HIPAA) en gezondheidszorgstandaarden zoals Health Information Technology for Economic and Clinical Health (HITECH) en Health Information Trust Alliance (HITRUST) beschermen de vertrouwelijkheid, integriteit en beschikbaarheid van beschermde gezondheidsinformatie van patiënten (PHI). Deze voorschriften en standaarden zorgen ervoor dat zorgorganisaties zoals artsenkantoren, ziekenhuizen en zorgverzekeraars ('gedekte entiteiten') een phi op de juiste wijze creëren, ontvangen, onderhouden, verzenden of openen. Daarnaast gelden hun vereisten voor zakelijke medewerkers die services leveren die PHI voor de gedekte entiteiten betrekken. Microsoft is een voorbeeld van een zakelijke partner die informatietechnologieservices zoals Azure Stack HCI biedt om zorgbedrijven te helpen PHI efficiënter en veiliger op te slaan en te verwerken. De volgende secties bevatten informatie over hoe de platformmogelijkheden van Azure Stack HCI organisaties helpen aan deze vereisten te voldoen.

Gedeelde verantwoordelijkheden

Microsoft-klanten

Als gedekte entiteit die onderworpen is aan HIPAA-wetten, analyseren gezondheidszorgorganisaties onafhankelijk hun unieke technologieomgevingen en gebruiksvoorbeelden en plan en implementeer vervolgens beleidsregels en procedures die voldoen aan de vereisten van de regelgeving. Gedekte entiteiten zijn verantwoordelijk voor het garanderen van naleving van hun technologieoplossingen. De richtlijnen in dit artikel en andere bronnen van Microsoft kunnen als referentie worden gebruikt.

Microsoft

Onder HIPAA-regelgeving garanderen zakelijke medewerkers geen HIPAA-naleving, maar gaan ze in plaats daarvan een Business Associate Agreement (BAA) in met gedekte entiteiten. Microsoft biedt een HIPAA BAA aan als onderdeel van de Microsoft-productvoorwaarden (voorheen onlineservicesvoorwaarden) voor alle klanten die gedekte entiteiten of zakelijke partners onder HIPAA zijn voor gebruik met Azure-services binnen het bereik.

Nalevingsaanbiedingen voor Azure Stack HCI

Azure Stack HCI is een hybride oplossing die gevirtualiseerde workloads host en opslaat in zowel de Azure-cloud als uw on-premises datacenter. Dit betekent dat aan HIPAA-vereisten moet worden voldaan in zowel de cloud als uw lokale datacenter.

Azure-cloudservices

Omdat HIPAA-wetgeving is ontworpen voor zorgbedrijven, kunnen cloudservices zoals Microsoft Azure niet worden gecertificeerd. De verbonden cloudservices van Azure en Azure Stack HCI voldoen echter aan andere vastgestelde beveiligingsframeworks en -standaarden die gelijk zijn aan of strenger zijn dan HIPAA en HITECH. Meer informatie over het Azure-complianceprogramma voor de gezondheidszorg in Azure en HIPAA.

On-premises omgeving

Als hybride oplossing combineert Azure Stack HCI Azure-cloudservices met besturingssystemen en infrastructuur die on-premises worden gehost door klantorganisaties. Microsoft biedt een scala aan functies waarmee organisaties voldoen aan de naleving van HIPAA- en andere standaarden voor de gezondheidszorg, zowel in cloud- als on-premises omgevingen.

Azure Stack HCI-mogelijkheden die relevant zijn voor de HIPAA-beveiligingsregel

In deze sectie wordt beschreven hoe de functies van Azure Stack HCI u helpen de beveiligingsbeheerdoelstellingen van de HIPAA-beveiligingsregel te bereiken, die bestaat uit de volgende vijf besturingsdomeinen:

Belangrijk

De volgende secties bevatten richtlijnen die zijn gericht op de platformlaag. Informatie over specifieke workloads en toepassingslagen valt buiten het bereik.

Identiteits- en toegangsbeheer

Het Azure Stack HCI-platform biedt volledige en directe toegang tot het onderliggende systeem dat wordt uitgevoerd op clusterknooppunten via meerdere interfaces, zoals Azure Arc en Windows PowerShell. U kunt conventionele Windows-hulpprogramma's gebruiken in lokale omgevingen of cloudoplossingen zoals Microsoft Entra ID (voorheen Azure Active Directory) om identiteit en toegang tot het platform te beheren. In beide gevallen kunt u profiteren van ingebouwde beveiligingsfuncties, zoals meervoudige verificatie (MFA), voorwaardelijke toegang, op rollen gebaseerd toegangsbeheer (RBAC) en PIM (Privileged Identity Management) om ervoor te zorgen dat uw omgeving veilig en compatibel is.

Meer informatie over lokaal identiteits- en toegangsbeheer in Microsoft Identity Manager en Privileged Access Management voor Active Directory-domein Services. Meer informatie over identiteits- en toegangsbeheer in de cloud vindt u in Microsoft Entra ID.

Gegevensbescherming

Gegevens versleutelen met BitLocker

In Azure Stack HCI-clusters kunnen alle data-at-rest worden versleuteld via BitLocker XTS-AES 256-bits versleuteling. Standaard wordt u aangeraden BitLocker in te schakelen voor het versleutelen van alle besturingssysteemvolumes en gedeelde clustervolumes (CSV) in uw Azure Stack HCI-implementatie. Voor nieuwe opslagvolumes die na de implementatie zijn toegevoegd, moet u BitLocker handmatig inschakelen om het nieuwe opslagvolume te versleutelen. Door BitLocker te gebruiken om gegevens te beveiligen, kunnen organisaties voldoen aan ISO/IEC 27001. Meer informatie vindt u in BitLocker met gedeelde clustervolumes (CSV).

Extern netwerkverkeer beveiligen met TLS/DTLS

Standaard worden alle hostcommunicatie naar lokale en externe eindpunten versleuteld met TLS1.2, TLS1.3 en DTLS 1.2. Het platform schakelt het gebruik van oudere protocollen/hashes, zoals TLS/DTLS 1.1 SMB1, uit. Azure Stack HCI biedt ook ondersteuning voor sterke coderingssuites, zoals elliptische SDL-compatibele elliptische curven, beperkt tot NIST-curven P-256 en P-384.

Intern netwerkverkeer beveiligen met Server Message Block (SMB)

SMB-ondertekening is standaard ingeschakeld voor clientverbindingen in Azure Stack HCI-clusterhosts. Voor verkeer tussen clusters is SMB-versleuteling een optie die organisaties tijdens of na de implementatie kunnen inschakelen om gegevens in transit tussen clusters te beveiligen. Cryptografische AES-256-GCM- en AES-256-CCM-suites worden nu ondersteund door het SMB 3.1.1-protocol dat wordt gebruikt door client-serverbestandsverkeer en de gegevensinfrastructuur binnen het cluster. Het protocol blijft ook ondersteuning bieden voor de breder compatibele ES-128-suite. Meer informatie over SMB-beveiligingsverbeteringen.

Logboekregistratie en controle

Lokale systeemlogboeken

Standaard worden alle bewerkingen die worden uitgevoerd binnen het Azure Stack HCI-platform vastgelegd, zodat u kunt bijhouden wie wat heeft gedaan, wanneer en waar op het platform. Logboeken en waarschuwingen die door Windows Defender zijn gemaakt, worden ook opgenomen om u te helpen bij het voorkomen, detecteren en minimaliseren van de kans en impact van een inbreuk op gegevens. Omdat het systeemlogboek vaak een grote hoeveelheid informatie bevat, is veel informatie overbodig voor informatiebeveiligingscontrole, moet u bepalen welke gebeurtenissen relevant zijn om te worden verzameld en gebruikt voor beveiligingsbewakingsdoeleinden. Azure-bewakingsmogelijkheden helpen bij het verzamelen, opslaan, waarschuwen en analyseren van deze logboeken. Raadpleeg de beveiligingsbasislijn voor Azure Stack HCI voor meer informatie.

Lokale activiteitenlogboeken

Azure Stack HCI Lifecycle Manager maakt activiteitenlogboeken en slaat deze op voor elk actieplan dat wordt uitgevoerd. Deze logboeken ondersteunen dieper onderzoek en nalevingscontrole.

Activiteitenlogboeken van de cloud

Door uw clusters te registreren bij Azure, kunt u activiteitenlogboeken van Azure Monitor gebruiken om bewerkingen op elke resource op de abonnementslaag vast te leggen om te bepalen wat, wie en wanneer voor schrijfbewerkingen (put, post of delete) op de resources in uw abonnement is genomen.

Cloudidentiteitslogboeken

Als u Microsoft Entra-id gebruikt om identiteit en toegang tot het platform te beheren, kunt u logboeken in Azure AD-rapportage bekijken of integreren met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerde gebruiksscenario's voor bewaking en analyse. Als u on-premises Active Directory gebruikt, gebruikt u de Microsoft Defender for Identity-oplossing om uw on-premises Active Directory-signalen te gebruiken om geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke insideracties te identificeren, te detecteren en te onderzoeken die zijn gericht op uw organisatie.

Integratie van SIEM

Microsoft Defender voor Cloud en Microsoft Sentinel is systeemeigen geïntegreerd met Azure Stack HCI-knooppunten met Arc. U kunt uw logboeken inschakelen en onboarden naar Microsoft Sentinel, dat de mogelijkheid biedt voor siem (Security Information Event Management) en soar-functionaliteit (Security Orchestration Automated Response). Microsoft Sentinel, net als andere Azure-cloudservices, voldoet aan veel bekende beveiligingsstandaarden, zoals HIPAA en HITRUST, die u kunnen helpen bij uw accreditatieproces. Daarnaast biedt Azure Stack HCI een systeemeigen syslog-gebeurtenisstuurserver voor het verzenden van de systeem gebeurtenissen naar SIEM-oplossingen van derden.

Azure Stack HCI Insights

Met Azure Stack HCI Insights kunt u status-, prestatie- en gebruiksgegevens bewaken voor clusters die zijn verbonden met Azure en zijn ingeschreven bij bewaking. Tijdens de configuratie van Insights wordt een regel voor gegevensverzameling gemaakt, waarmee de gegevens worden opgegeven die moeten worden verzameld. Deze gegevens worden opgeslagen in een Log Analytics-werkruimte, die vervolgens wordt geaggregeerd, gefilterd en geanalyseerd om vooraf gemaakte bewakingsdashboards te bieden met behulp van Azure-werkmappen. U kunt de bewakingsgegevens voor één cluster of meerdere clusters bekijken vanaf uw Azure Stack HCI-resourcepagina of Azure Monitor. Meer informatie vindt u in Monitor Azure Stack HCI met Insights.

Metrische gegevens van Azure Stack HCI

Metrische gegevens slaan numerieke gegevens van bewaakte resources op in een tijdreeksdatabase. U kunt Azure Monitor Metrics Explorer gebruiken om de gegevens in uw metrische database interactief te analyseren en de waarden van meerdere metrische gegevens in de loop van de tijd in kaart te brengen. Met metrische gegevens kunt u grafieken maken op basis van metrische waarden en trends visueel correleren.

Logboekwaarschuwingen

Als u in realtime problemen wilt aangeven, kunt u waarschuwingen instellen voor Azure Stack HCI-systemen, met behulp van bestaande voorbeeldlogboekquery's zoals gemiddelde server-CPU, beschikbaar geheugen, beschikbare volumecapaciteit en meer. Meer informatie over het instellen van waarschuwingen voor Azure Stack HCI-systemen.

Waarschuwingen voor metrische gegevens

Een waarschuwingsregel voor metrische gegevens bewaakt een resource door met regelmatige tussenpozen voorwaarden voor de metrische gegevens van de resource te evalueren. Als aan deze voorwaarden wordt voldaan, wordt er een waarschuwing geactiveerd. Een metrische tijdreeks is een reeks metrische waarden die gedurende een bepaalde periode zijn vastgelegd. U kunt deze metrische gegevens gebruiken om waarschuwingsregels te maken. Meer informatie over het maken van metrische waarschuwingen bij metrische waarschuwingen.

Service- en apparaatwaarschuwingen

Azure Stack HCI biedt servicegebaseerde waarschuwingen voor connectiviteit, updates van het besturingssysteem, Azure-configuratie en meer. Op apparaten gebaseerde waarschuwingen voor clusterstatusfouten zijn ook beschikbaar. U kunt ook Azure Stack HCI-clusters en hun onderliggende onderdelen bewaken met behulp van PowerShell of Health Service.

Bescherming tegen malware

Windows Defender Antivirus

Windows Defender Antivirus is een hulpprogrammatoepassing waarmee realtime systeemscans en periodieke scans kunnen worden uitgevoerd om platformen en workloads te beschermen tegen virussen, malware, spyware en andere bedreigingen. Microsoft Defender Antivirus is standaard ingeschakeld in Azure Stack HCI. Microsoft raadt het gebruik van Microsoft Defender Antivirus aan met Azure Stack HCI in plaats van software en services van derden voor het detecteren van antivirus- en malwaredetectie, omdat dit van invloed kan zijn op de mogelijkheid van het besturingssysteem om updates te ontvangen. Meer informatie vindt u in Microsoft Defender Antivirus op Windows Server.

Windows Defender Application Control

Windows Defender Application Control (WDAC) is standaard ingeschakeld op Azure Stack HCI om te bepalen welke stuurprogramma's en toepassingen rechtstreeks op elke server mogen worden uitgevoerd, waardoor malware geen toegang heeft tot het systeem. Meer informatie over basisbeleid dat is opgenomen in Azure Stack HCI en hoe u aanvullende beleidsregels maakt op Windows Defender Application Control beheren voor Azure Stack HCI.

Microsoft Defender for Cloud

Microsoft Defender voor Cloud met Endpoint Protection (ingeschakeld via serverplannen) biedt een oplossing voor beveiligingspostuurbeheer met geavanceerde mogelijkheden voor beveiliging tegen bedreigingen. Het biedt u hulpprogramma's voor het beoordelen van de beveiligingsstatus van uw infrastructuur, het beveiligen van workloads, het genereren van beveiligingswaarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het oplossen van toekomstige bedreigingen. Het voert al deze services met hoge snelheid uit in de cloud zonder implementatieoverhead via automatische inrichting en beveiliging met Azure-services. Meer informatie vindt u op Microsoft Defender voor Cloud.

Back-up en herstel

Stretched cluster

Azure Stack HCI biedt ingebouwde ondersteuning voor herstel na noodgevallen van gevirtualiseerde workloads via stretched clustering. Door een stretched Azure Stack HCI-cluster te implementeren, kunt u de gevirtualiseerde workloads synchroon repliceren over twee afzonderlijke on-premises locaties en er automatisch een failover tussen uitvoeren. Geplande sitefailovers kunnen plaatsvinden zonder uitvaltijd met behulp van Hyper-V-livemigratie.

Kubernetes-clusterknooppunten

Als u Azure Stack HCI gebruikt voor het hosten van implementaties op basis van containers, helpt het platform u de flexibiliteit en tolerantie te verbeteren die inherent zijn aan Azure Kubernetes-implementaties. Azure Stack HCI beheert automatische failover van VM's die fungeren als Kubernetes-clusterknooppunten als er een gelokaliseerde fout opgetreden is van de onderliggende fysieke onderdelen. Deze configuratie vormt een aanvulling op de hoge beschikbaarheid die is ingebouwd in Kubernetes, waardoor mislukte containers automatisch opnieuw worden opgestart op dezelfde of een andere VIRTUELE machine.

Azure Site Recovery

Met deze service kunt u workloads repliceren die worden uitgevoerd op uw on-premises Azure Stack HCI-VM's naar de cloud, zodat uw informatiesysteem kan worden hersteld als er sprake is van een incident, storing of verlies van opslagmedia. Net als andere Azure-cloudservices heeft Azure Site Recovery een lange trackrecord met beveiligingscertificaten, waaronder HITRUST, die u kunt gebruiken om uw accreditatieproces te ondersteunen. Meer informatie over VM-workloads beveiligen met Azure Site Recovery in Azure Stack HCI.

Microsoft Azure Backup Server (MABS)

Met deze service kunt u een back-up maken van virtuele Azure Stack HCI-machines, waarbij u een gewenste frequentie en bewaarperiode opgeeft. U kunt MABS gebruiken om een back-up te maken van de meeste resources in de hele omgeving, waaronder:

  • Systeemstatus/Bare-Metal Recovery (BMR) van Azure Stack HCI-host
  • Gast-VM's in een cluster met lokale of rechtstreeks gekoppelde opslag
  • Gast-VM's in Een Azure Stack HCI-cluster met CSV-opslag
  • VM verplaatsen binnen een cluster

Meer informatie vindt u in Back-up van virtuele Azure Stack HCI-machines met Azure Backup Server.