Richtlijnen voor beveiliging van toegangsbeheer
Microsoft Entra ID voldoet aan identiteitsgerelateerde praktijkvereisten voor het implementeren van HIPAA-beveiliging (Health Insurance Portability and Accountability Act of 1996). Als u HIPAA-compatibel wilt zijn, implementeert u de beveiligingen met behulp van deze richtlijnen. Mogelijk moet u andere configuraties of processen wijzigen.
Om inzicht te hebben in de gebruikersidentificatiebeveiliging, raden we u aan om onderzoek te doen en doelstellingen te stellen waarmee u het volgende kunt doen:
Zorg ervoor dat id's uniek zijn voor iedereen die verbinding moet maken met het domein.
Een Joiner-, Mover- en Leaver-proces (JML) opzetten.
Enabler auditing voor identiteitstracering.
Stel voor de geautoriseerde beveiliging voor toegangsbeheer doelstellingen in, zodat:
Systeemtoegang is beperkt tot geautoriseerde gebruikers.
Geautoriseerde gebruikers worden geïdentificeerd.
Toegang tot persoonlijke gegevens is beperkt tot geautoriseerde gebruikers.
Voor de bescherming van de toegangsprocedure voor noodgevallen:
Hoge beschikbaarheid van kernservices garanderen.
Elimineer single points of failure.
Stel een noodherstelplan in.
Back-ups van gegevens met een hoog risico garanderen.
Accounts voor noodtoegang tot stand brengen en onderhouden.
Voor de automatische afmeldingsbeveiliging:
Stel een procedure in die een elektronische sessie beëindigt na een vooraf vastgestelde tijd van inactiviteit.
Een beleid voor automatisch afmelden configureren en implementeren.
Unieke gebruikersidentificatie
De volgende tabel bevat beveiligingen voor toegangsbeheer van de HIPAA-richtlijnen voor unieke gebruikersidentificatie. Zoek microsoft-aanbevelingen om te voldoen aan de beveiligingsvereisten voor de implementatie.
HIPAA-beveiliging - unieke gebruikersidentificatie
Assign a unique name and/or number for identifying and tracking user identity.
| Aanbeveling | Actie |
|---|---|
| Hybride instellen voor gebruik van Microsoft Entra-id | Microsoft Entra Connect integreert on-premises mappen met Microsoft Entra ID, waarbij het gebruik van één identiteit wordt ondersteund voor toegang tot on-premises toepassingen en cloudservices zoals Microsoft 365. Hiermee wordt synchronisatie tussen Active Directory (AD) en Microsoft Entra-id ingedeeld. Als u aan de slag wilt gaan met Microsoft Entra Connect, moet u de vereisten van de server noteren en uw Microsoft Entra-tenant voorbereiden voor beheer. Microsoft Entra Connect-synchronisatie is een inrichtingsagent die wordt beheerd in de cloud. De inrichtingsagent ondersteunt synchronisatie met Microsoft Entra-id vanuit een niet-verbonden AD-omgeving met meerdere forests. Lichtgewicht agents worden geïnstalleerd en kunnen worden gebruikt met Microsoft Entra Connect. U wordt aangeraden wachtwoord-hashsynchronisatie te gebruiken om het aantal wachtwoorden te verminderen en te beschermen tegen detectie van gelekte referenties. |
| Gebruikersaccounts inrichten | Microsoft Entra ID is een cloudservice voor identiteits- en toegangsbeheer die eenmalige aanmelding, meervoudige verificatie en voorwaardelijke toegang biedt ter bescherming tegen beveiligingsaanvallen. Als u een gebruikersaccount wilt maken, meldt u zich als gebruikerbeheerder aan bij het Microsoft Entra-beheercentrum en maakt u een nieuw account door te navigeren naar alle gebruikers in het menu. Microsoft Entra ID biedt ondersteuning voor geautomatiseerde inrichting van gebruikers voor systemen en toepassingen. Mogelijkheden zijn onder andere het maken, bijwerken en verwijderen van een gebruikersaccount. Met geautomatiseerde inrichting worden nieuwe accounts gemaakt in de juiste systemen voor nieuwe personen wanneer ze lid worden van een team in een organisatie en worden accounts gedeactiveerd wanneer mensen het team verlaten. Configureer het inrichten door naar het Microsoft Entra-beheercentrum te navigeren en bedrijfstoepassingen te selecteren om de app-instellingen toe te voegen en te beheren. |
| Inrichting op basis van HR | Het integreren van Microsoft Entra-accountinrichting binnen een HR-systeem (Human Resources) vermindert het risico op overmatige toegang en toegang niet meer nodig. Het HR-systeem wordt het begin van de instantie, voor nieuw gemaakte accounts, waardoor de mogelijkheden worden uitgebreid tot het ongedaan maken van de inrichting van accounts. Automation beheert de identiteitslevenscyclus en vermindert het risico op overinrichting. Deze benadering volgt de aanbevolen beveiligingsprocedures voor het bieden van toegang tot minimale bevoegdheden. |
| Levenscycluswerkstromen maken | Levenscycluswerkstromen bieden identiteitsbeheer voor het automatiseren van de levenscyclus van joiner/mover/leaver (JML). Levenscycluswerkstromen centraliseren het werkstroomproces met behulp van de ingebouwde sjablonen of het maken van uw eigen aangepaste werkstromen. deze procedure helpt bij het verminderen of mogelijk verwijderen van handmatige taken voor organisatie-JML-strategievereisten. Navigeer in Azure Portal naar Identiteitsbeheer in het menu Microsoft Entra om taken te controleren of te configureren die binnen uw organisatievereisten passen. |
| Bevoegde identiteiten beheren | Met Microsoft Entra Privileged Identity Management (PIM) kunt u de toegang beheren, beheren en bewaken. U geeft toegang wanneer dit nodig is, op basis van een op tijd gebaseerde en op goedkeuring gebaseerde rolactivering. Deze aanpak beperkt het risico van overmatige, onnodige of misbruikte toegangsmachtigingen. |
| Bewaking en waarschuwingen | Microsoft Entra ID Protection biedt een geconsolideerd overzicht van risicogebeurtenissen en potentiële beveiligingsproblemen die van invloed kunnen zijn op de identiteiten van een organisatie. Als u de beveiliging inschakelt, worden de bestaande mogelijkheden voor anomaliedetectie van Microsoft Entra toegepast en worden risicogebeurtenissentypen geïntroduceerd die afwijkingen in realtime detecteren. Via het Microsoft Entra-beheercentrum kunt u zich aanmelden, controleren en inrichtingslogboeken bekijken. De logboeken kunnen worden gedownload, gearchiveerd en gestreamd naar uw SIEM-hulpprogramma (Security Information and Event Management). Microsoft Entra-logboeken kunnen zich bevinden in de bewakingssectie van het Microsoft Entra-menu. De logboeken kunnen ook naar Azure Monitor worden verzonden met behulp van een Azure Log Analytics-werkruimte waar u waarschuwingen kunt instellen voor de verbonden gegevens. Microsoft Entra ID identificeert gebruikers op unieke wijze via de id-eigenschap op het respectieve mapobject. Met deze methode kunt u filteren op specifieke identiteiten in de logboekbestanden. |
Geautoriseerd toegangsbeheer
De volgende tabel bevat HIPAA-richtlijnen voor de beveiliging van toegangsbeheer voor geautoriseerd toegangsbeheer. Zoek microsoft-aanbevelingen om te voldoen aan de beveiligingsvereisten voor de implementatie.
HIPAA-beveiliging - geautoriseerd toegangsbeheer
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
| Aanbeveling | Actie |
|---|---|
| Meervoudige verificatie (MFA) inschakelen | MFA in Microsoft Entra ID beschermt identiteiten door een andere beveiligingslaag toe te voegen. De extra laagverificatie is effectief bij het voorkomen van onbevoegde toegang. Met behulp van een MFA-methode kunt u tijdens het verificatieproces meer validatie van aanmeldingsreferenties vereisen. Voorbeelden hiervan zijn het instellen van de Authenticator-app voor verificatie met één klik of het inschakelen van verificatie zonder wachtwoord. |
| Beleid voor voorwaardelijke toegang inschakelen | Met beleid voor voorwaardelijke toegang kunnen organisaties de toegang tot goedgekeurde toepassingen beperken. Microsoft Entra analyseert signalen van de gebruiker, het apparaat of de locatie om beslissingen te automatiseren en organisatiebeleid af te dwingen voor toegang tot resources en gegevens. |
| Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen | RBAC biedt beveiliging op ondernemingsniveau met het concept scheiding van taken. Met RBAC kunt u machtigingen aanpassen en controleren om vertrouwelijkheid, privacy- en toegangsbeheer voor resources en gevoelige gegevens samen met de systemen te beschermen. Microsoft Entra ID biedt ondersteuning voor ingebouwde rollen. Dit is een vaste set machtigingen die niet kunnen worden gewijzigd. U kunt ook uw eigen aangepaste rollen maken, waar u een vooraf ingestelde lijst kunt toevoegen. |
| Op kenmerken gebaseerd toegangsbeheer (ABAC) inschakelen | ABAC definieert toegang op basis van kenmerken die zijn gekoppeld aan beveiligingsprincipes, resources en omgeving. Het biedt gedetailleerd toegangsbeheer en vermindert het aantal roltoewijzingen. Het gebruik van ABAC kan worden afgestemd op de inhoud binnen de toegewezen Azure-opslag. |
| Toegang tot gebruikersgroepen configureren in SharePoint | SharePoint-groepen zijn een verzameling gebruikers. De machtigingen zijn gericht op het niveau van de siteverzameling voor toegang tot de inhoud. De toepassing van deze beperking kan worden beperkt tot serviceaccounts waarvoor toegang tot de gegevensstroom tussen toepassingen is vereist. |
Procedure voor toegang tot noodgevallen
De volgende tabel bevat HIPAA-richtlijnen voor de beveiliging van toegangsbeheer voor noodgevallen. Zoek microsoft-aanbevelingen om te voldoen aan de beveiligingsvereisten voor de implementatie.
HIPAA-beveiliging - procedure voor toegang tot noodgevallen
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
| Aanbeveling | Actie |
|---|---|
| Azure Recovery Services gebruiken | Azure Backups biedt de ondersteuning die nodig is voor het maken van back-ups van essentiële en gevoelige gegevens. Dekking omvat opslag/databases en cloudinfrastructuur, samen met on-premises Windows-apparaten naar de cloud. Maak back-upbeleid om risico's voor back-up- en herstelprocessen aan te pakken. Zorg ervoor dat gegevens veilig worden opgeslagen en kunnen worden opgehaald met minimale downtime. Azure Site Recovery biedt bijna constante gegevensreplicatie om ervoor te zorgen dat kopieën gesynchroniseerd zijn. Initiële stappen voordat u de service instelt, zijn het bepalen van de RPO (Recovery Point Objective) en RTO (Recovery Time Objective) om uw organisatievereisten te ondersteunen. |
| Tolerantie garanderen | Tolerantie helpt bij het onderhouden van serviceniveaus wanneer er sprake is van onderbreking van bedrijfsactiviteiten en kern-IT-services. De mogelijkheid omvat services, gegevens, Microsoft Entra ID en Active Directory-overwegingen. Het bepalen van een strategisch tolerantieplan om op te nemen welke systemen en gegevens afhankelijk zijn van Microsoft Entra en hybride omgevingen. Microsoft 365-tolerantie voor de kernservices, waaronder Exchange, SharePoint en OneDrive, om gegevensbeschadiging te beschermen en tolerantiegegevenspunten toe te passen om ePHI-inhoud te beveiligen. |
| Break glass-accounts maken | Het opzetten van een nood- of breakglas-account zorgt ervoor dat systeem en services nog steeds in onvoorziene omstandigheden toegankelijk zijn, zoals netwerkfouten of andere redenen voor verlies van administratieve toegang. U wordt aangeraden dit account niet te koppelen aan een afzonderlijke gebruiker of account. |
Werkstationbeveiliging - automatische afmelding
De volgende tabel bevat HIPAA-richtlijnen voor de automatische afmeldingsbeveiliging. Zoek microsoft-aanbevelingen om te voldoen aan de beveiligingsvereisten voor de implementatie.
HIPAA-beveiliging - automatische afmelding
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
| Aanbeveling | Actie |
|---|---|
| Groepsbeleid maken | Ondersteuning voor apparaten die niet zijn gemigreerd naar Microsoft Entra ID en wordt beheerd door Intune, groepsbeleid (GPO) kan afmelden of schermtijd vergrendelen voor apparaten in AD of in hybride omgevingen. |
| Vereisten voor apparaatbeheer beoordelen | Microsoft Intune biedt MOBILE Device Management (MDM) en Mobile Application Management (MAM). Het biedt controle over bedrijfs- en persoonlijke apparaten. U kunt het gebruik van apparaten beheren en beleidsregels afdwingen om mobiele toepassingen te beheren. |
| Beleid voor voorwaardelijke toegang van apparaten | Implementeer apparaatvergrendeling met behulp van beleid voor voorwaardelijke toegang om de toegang tot compatibele of hybride gekoppelde Microsoft Entra-apparaten te beperken. Beleidsinstellingen configureren. Voor niet-beheerde apparaten configureert u de instelling Aanmeldingsfrequentie om gebruikers te dwingen opnieuw te verifiëren. |
| Sessietime-out configureren voor Microsoft 365 | Bekijk de sessietime-outs voor Microsoft 365-toepassingen en -services om eventuele langdurige time-outs te wijzigen. |
| Sessietime-out configureren voor Azure Portal | Bekijk de sessietime-outs voor de Azure-portalsessie door een time-out te implementeren vanwege inactiviteit om resources te beschermen tegen onbevoegde toegang. |
| Toegangssessies voor toepassingen controleren | Beleid voor continue toegangsevaluatie kan toegang tot toepassingen weigeren of verlenen. Als de aanmelding is geslaagd, krijgt de gebruiker een toegangstoken dat één (1) uur geldig is. Zodra het toegangstoken is verlopen, wordt de client teruggeleid naar De Microsoft Entra-id, worden de voorwaarden opnieuw geëvalueerd en wordt het token nog een uur vernieuwd. |