Wskazówki dotyczące zabezpieczeń kontroli dostępu
Microsoft Entra ID spełnia wymagania dotyczące praktyk związanych z tożsamościami w zakresie implementowania zabezpieczeń Health Insurance Portability and Accountability Act z 1996 r. (HIPAA). Aby być zgodnym ze standardem HIPAA, zaimplementuj zabezpieczenia, korzystając z tych wskazówek. Może być konieczne zmodyfikowanie innych konfiguracji lub procesów.
Aby zrozumieć zabezpieczenia identyfikacji użytkowników, zalecamy zbadanie i określenie celów, które umożliwiają:
Upewnij się, że identyfikatory są unikatowe dla wszystkich użytkowników, którzy muszą łączyć się z domeną.
Ustanów proces sprzężenia, Mover i Leaver (JML).
Inspekcja włączania na potrzeby śledzenia tożsamości.
W przypadku ochrony autoryzowanej kontroli dostępu ustaw cele, aby:
Dostęp do systemu jest ograniczony do autoryzowanych użytkowników.
Zidentyfikowani są autoryzowani użytkownicy.
Dostęp do danych osobowych jest ograniczony do autoryzowanych użytkowników.
W przypadku ochrony procedury dostępu awaryjnego:
Zapewnianie wysokiej dostępności podstawowych usług.
Eliminowanie pojedynczych punktów awarii.
Ustanów plan odzyskiwania po awarii.
Upewnij się, że kopie zapasowe danych wysokiego ryzyka.
Ustanawianie i utrzymywanie kont dostępu awaryjnego.
W przypadku zabezpieczenia automatycznego wylogowywanie:
Ustanów procedurę, która kończy sesję elektroniczną po określonym czasie braku aktywności.
Konfigurowanie i implementowanie zasad automatycznego wylogowywanie.
Unikatowa identyfikacja użytkownika
Poniższa tabela zawiera zabezpieczenia kontroli dostępu przed wskazówkami hipaa dotyczącymi unikatowej identyfikacji użytkowników. Znajdź zalecenia firmy Microsoft, aby spełnić wymagania implementacji zabezpieczeń.
Ochrona HIPAA — unikatowa identyfikacja użytkownika
Assign a unique name and/or number for identifying and tracking user identity.
Zalecenie | Akcja |
---|---|
Konfigurowanie hybrydowego do korzystania z identyfikatora Entra firmy Microsoft | Program Microsoft Entra Connect integruje katalogi lokalne z identyfikatorem Microsoft Entra ID, obsługując korzystanie z jednej tożsamości w celu uzyskiwania dostępu do lokalnych aplikacji i usług w chmurze, takich jak Microsoft 365. Organizuje synchronizację między usługą Active Directory (AD) i identyfikatorem Entra firmy Microsoft. Aby rozpocząć pracę z firmą Microsoft Entra Connect, zapoznaj się z wymaganiami wstępnymi, zanotuj wymagania dotyczące serwera i jak przygotować dzierżawę firmy Microsoft Entra do zarządzania. Synchronizacja programu Microsoft Entra Connect to agent aprowizacji zarządzany w chmurze. Agent aprowizacji obsługuje synchronizowanie z identyfikatorem Entra firmy Microsoft z odłączonego środowiska usługi AD z wieloma lasami. Uproszczone agenty są instalowane i mogą być używane z programem Microsoft Entra Connect. Zalecamy użycie funkcji Synchronizacja skrótów haseł, aby zmniejszyć liczbę haseł i chronić przed wyciekiem wykrywania poświadczeń. |
Aprowizuj konta użytkowników | Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem, która zapewnia logowanie jednokrotne, uwierzytelnianie wieloskładnikowe i dostęp warunkowy w celu ochrony przed atakami zabezpieczeń. Aby utworzyć konto użytkownika, zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator użytkowników i utwórz nowe konto, przechodząc do pozycji Wszyscy użytkownicy w menu. Identyfikator Entra firmy Microsoft zapewnia obsługę automatycznej aprowizacji użytkowników dla systemów i aplikacji. Możliwości obejmują tworzenie, aktualizowanie i usuwanie konta użytkownika. Automatyczna aprowizacja tworzy nowe konta w odpowiednich systemach dla nowych osób, gdy dołączają do zespołu w organizacji, a automatyczne anulowanie aprowizacji dezaktywuje konta, gdy ludzie opuszczają zespół. Skonfiguruj aprowizację, przechodząc do centrum administracyjnego firmy Microsoft Entra i wybierając aplikacje dla przedsiębiorstw, aby dodać ustawienia aplikacji i zarządzać nimi. |
Aprowizowanie oparte na hr | Zintegrowanie aprowizacji kont firmy Microsoft w systemie zasobów ludzkich (HR) zmniejsza ryzyko nadmiernego dostępu i dostępu, które nie jest już wymagane. System kadr staje się początkowym urzędem dla nowo utworzonych kont, rozszerzając możliwości anulowania aprowizacji kont. Automatyzacja zarządza cyklem życia tożsamości i zmniejsza ryzyko nadmiernej aprowizacji. Takie podejście jest zgodne z najlepszymi rozwiązaniami w zakresie zabezpieczeń zapewniającymi najniższy dostęp uprzywilejowany. |
Tworzenie przepływów pracy cyklu życia | Przepływy pracy cyklu życia zapewniają ład tożsamości na potrzeby automatyzacji cyklu życia sprzężenia/mover/leaver (JML). Przepływy pracy cyklu życia centralizują proces przepływu pracy przy użyciu wbudowanych szablonów lub tworzenia własnych niestandardowych przepływów pracy. ta praktyka pomaga zmniejszyć lub potencjalnie usunąć zadania ręczne dla wymagań strategii JML organizacji. W witrynie Azure Portal przejdź do pozycji Zarządzanie tożsamościami w menu Microsoft Entra, aby przejrzeć lub skonfigurować zadania zgodne z wymaganiami organizacji. |
Zarządzanie tożsamościami uprzywilejowanym | Usługa Microsoft Entra Privileged Identity Management (PIM) umożliwia zarządzanie, kontrolę i możliwość monitorowania dostępu. Zapewniasz dostęp, gdy jest potrzebny, na podstawie czasu i aktywacji roli opartej na zatwierdzeniach. Takie podejście ogranicza ryzyko nadmiernego, niepotrzebnego lub nieprawidłowego użycia uprawnień dostępu. |
Monitorowanie i alerty | Ochrona tożsamości Microsoft Entra zapewnia skonsolidowany wgląd w zdarzenia ryzyka i potencjalne luki w zabezpieczeniach, które mogą mieć wpływ na tożsamości organizacji. Włączenie ochrony stosuje istniejące funkcje wykrywania anomalii firmy Microsoft entra i wprowadza typy zdarzeń o podwyższonym ryzyku, które wykrywają anomalie w czasie rzeczywistym. Za pośrednictwem centrum administracyjnego firmy Microsoft Entra możesz logować się, przeprowadzać inspekcję i przeglądać dzienniki aprowizacji. Dzienniki można pobrać, zarchiwizować i przesłać strumieniowo do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Dzienniki firmy Microsoft Entra można znaleźć w sekcji monitorowania menu Microsoft Entra. Dzienniki można również wysyłać do usługi Azure Monitor przy użyciu obszaru roboczego usługi Azure Log Analytics, w którym można skonfigurować alerty dotyczące połączonych danych. Identyfikator Entra firmy Microsoft jednoznacznie identyfikuje użytkowników za pośrednictwem właściwości ID w odpowiednim obiekcie katalogu. Takie podejście umożliwia filtrowanie pod kątem określonych tożsamości w plikach dziennika. |
Autoryzowana kontrola dostępu
Poniższa tabela zawiera wskazówki hipaa dotyczące zabezpieczeń kontroli dostępu dla autoryzowanej kontroli dostępu. Znajdź zalecenia firmy Microsoft, aby spełnić wymagania implementacji zabezpieczeń.
Ochrona HIPAA — autoryzowana kontrola dostępu
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Zalecenie | Akcja |
---|---|
Włączanie uwierzytelniania wieloskładnikowego (MFA) | Uwierzytelnianie wieloskładnikowe w usłudze Microsoft Entra ID chroni tożsamości przez dodanie kolejnej warstwy zabezpieczeń. Dodatkowe uwierzytelnianie warstwowe jest skuteczne w zapobieganiu nieautoryzowanemu dostępowi. Użycie podejścia uwierzytelniania wieloskładnikowego umożliwia wymaganie większej weryfikacji poświadczeń logowania podczas procesu uwierzytelniania. Przykłady obejmują konfigurowanie aplikacji Authenticator na potrzeby weryfikacji jednym kliknięciem lub włączanie uwierzytelniania bez hasła. |
Włączanie zasad dostępu warunkowego | Zasady dostępu warunkowego ułatwiają organizacjom ograniczanie dostępu do zatwierdzonych aplikacji. Firma Microsoft Entra analizuje sygnały z użytkownika, urządzenia lub lokalizacji w celu zautomatyzowania decyzji i wymuszania zasad organizacji w celu uzyskania dostępu do zasobów i danych. |
Włączanie kontroli dostępu opartej na rolach (RBAC) | Kontrola dostępu oparta na rolach zapewnia bezpieczeństwo na poziomie przedsiębiorstwa z pojęciem rozdzielenia obowiązków. Kontrola dostępu oparta na rolach umożliwia dostosowanie i przejrzenie uprawnień w celu ochrony poufności, prywatności i zarządzania dostępem do zasobów oraz poufnych danych wraz z systemami. Identyfikator Entra firmy Microsoft zapewnia obsługę wbudowanych ról, czyli stałego zestawu uprawnień, których nie można modyfikować. Możesz również utworzyć własne role niestandardowe, w których można dodać listę ustawień wstępnych. |
Włączanie kontroli dostępu opartej na atrybutach (ABAC) | AbAC definiuje dostęp na podstawie atrybutów skojarzonych z zasadami zabezpieczeń, zasobami i środowiskiem. Zapewnia szczegółową kontrolę dostępu i zmniejsza liczbę przypisań ról. Zakres użycia usługi ABAC można ograniczyć do zawartości w ramach dedykowanego magazynu platformy Azure. |
Konfigurowanie dostępu grup użytkowników w programie SharePoint | Grupy programu SharePoint to kolekcja użytkowników. Uprawnienia są ograniczone do poziomu zbioru witryn w celu uzyskania dostępu do zawartości. Zastosowanie tego ograniczenia może być ograniczone do kont usług, które wymagają dostępu do przepływu danych między aplikacjami. |
Procedura dostępu awaryjnego
W poniższej tabeli przedstawiono wskazówki dotyczące ochrony dostępu do kontroli dostępu w systemie HIPAA dla procedur dostępu awaryjnego. Znajdź zalecenia firmy Microsoft, aby spełnić wymagania implementacji zabezpieczeń.
Ochrona HIPAA — procedura dostępu awaryjnego
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
Zalecenie | Akcja |
---|---|
Korzystanie z usług Azure Recovery Services | Usługa Azure Backups zapewnia obsługę wymaganą do tworzenia kopii zapasowych ważnych i poufnych danych. Pokrycie obejmuje magazyn/bazy danych i infrastrukturę chmury wraz z lokalnymi urządzeniami z systemem Windows w chmurze. Ustanów zasady tworzenia kopii zapasowych, aby sprostać zagrożeniom związanym z tworzeniem kopii zapasowych i procesem odzyskiwania. Upewnij się, że dane są bezpiecznie przechowywane i można je pobrać z minimalnym przestojem. Usługa Azure Site Recovery zapewnia niemal stałą replikację danych w celu zapewnienia synchronizacji kopii. Początkowe kroki przed skonfigurowaniem usługi to określenie celu punktu odzyskiwania (RPO) i celu czasu odzyskiwania (RTO) w celu obsługi wymagań organizacji. |
Zapewnianie odporności | Odporność pomaga zachować poziomy usług w przypadku zakłóceń w operacjach biznesowych i podstawowych usługach IT. Możliwość obejmuje zagadnienia dotyczące usług, danych, identyfikatora Entra firmy Microsoft i usługi Active Directory. Określenie strategicznego planu odporności w celu uwzględnienia systemów i danych opartych na środowiskach firmy Microsoft Entra i środowiskach hybrydowych. Odporność platformy Microsoft 365 obejmująca podstawowe usługi, w tym Exchange, SharePoint i OneDrive w celu ochrony przed uszkodzeniem danych i stosowaniem punktów danych odporności w celu ochrony zawartości ePHI. |
Tworzenie kont z szklenia | Ustanowienie konta awaryjnego lub awaryjnego zapewnia, że system i usługi mogą być nadal dostępne w nieprzewidzianych okolicznościach, takich jak awarie sieci lub inne przyczyny utraty dostępu administracyjnego. Zalecamy, aby nie skojarzyć tego konta z pojedynczym użytkownikiem ani kontem. |
Zabezpieczenia stacji roboczej — automatyczne wylogowanie
W poniższej tabeli przedstawiono wskazówki dotyczące ochrony automatycznej wylogowywań. Znajdź zalecenia firmy Microsoft, aby spełnić wymagania implementacji zabezpieczeń.
Ochrona HIPAA — automatyczne wylogowanie
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
Zalecenie | Akcja |
---|---|
Tworzenie zasad grupy | Obsługa urządzeń, które nie są migrowane do identyfikatora Entra firmy Microsoft i zarządzanego przez usługę Intune, zasady grupy (GPO) mogą wymuszać wylogowanie lub zablokować czas ekranu dla urządzeń w usłudze AD lub w środowiskach hybrydowych. |
Ocena wymagań dotyczących zarządzania urządzeniami | Usługa Microsoft Intune zapewnia zarządzanie urządzeniami przenośnymi (MDM) i zarządzanie aplikacjami mobilnymi (MAM). Zapewnia kontrolę nad urządzeniami firmowymi i osobistymi. Możesz zarządzać użyciem urządzeń i wymuszać zasady w celu kontrolowania aplikacji mobilnych. |
Zasady dostępu warunkowego urządzenia | Zaimplementuj blokadę urządzenia przy użyciu zasad dostępu warunkowego, aby ograniczyć dostęp do zgodnych lub urządzeń dołączonych hybrydowych do firmy Microsoft Entra. Konfigurowanie ustawień zasad. W przypadku urządzeń niezarządzanych skonfiguruj ustawienie Częstotliwość logowania, aby wymusić ponowne uwierzytelnienie użytkowników. |
Konfigurowanie limitu czasu sesji dla platformy Microsoft 365 | Przejrzyj limity czasu sesji dla aplikacji i usług platformy Microsoft 365, aby zmienić wszelkie długotrwałe limity czasu. |
Konfigurowanie limitu czasu sesji dla witryny Azure Portal | Przejrzyj limity czasu sesji dla sesji witryny Azure Portal, implementując limit czasu spowodowany brakiem aktywności, która pomaga chronić zasoby przed nieautoryzowanym dostępem. |
Przeglądanie sesji dostępu do aplikacji | Zasady oceny ciągłego dostępu mogą blokować lub udzielać dostępu do aplikacji. Jeśli logowanie zakończy się pomyślnie, użytkownik otrzymuje token dostępu ważny przez jedną (1) godzinę. Po wygaśnięciu tokenu dostępu klient zostanie przekierowany z powrotem do identyfikatora Entra firmy Microsoft, warunki są ponownie oceniane, a token jest odświeżany przez kolejną godzinę. |