Udostępnij za pośrednictwem


Microsoft Entra configuration recommendations for HITRUST controls (Zalecenia dotyczące konfiguracji firmy Microsoft dla kontrolek HITRUST)

Wskazówki zawarte w tym artykule ułatwiają nawigowanie po szczegółach i udostępnia zalecenia dotyczące usług i funkcji w identyfikatorze Entra firmy Microsoft w celu zapewnienia zgodności z kontrolkami HITRUST. Skorzystaj z tych informacji, aby zrozumieć ramy Health Information Trust Alliance (HITRUST) i wspierać Twoją odpowiedzialność za zapewnienie zgodności organizacji z ustawą Health Insurance Portability and Accountability Act z 1996 r. (HIPAA). Oceny obejmują pracę z certyfikowanymi osobami oceniającym HITRUST, którzy są wiedzą na temat struktury i są wymagane, aby ułatwić ci przeprowadzenie procesu i zrozumienie wymagań.

Akronimy

W poniższej tabeli wymieniono akronimy i ich pisownię w tym artykule.

Akronim Pisowni
CE Jednostka objęta
CSF Wspólna struktura zabezpieczeń
HIPAA Health Insurance Portability and Accountability Act of 1996
HSR Reguła zabezpieczeń HIPAA
HITRUST Health Information Trust Alliance
IAM Zarządzanie tożsamościami i dostępem
Dostawca tożsamości Dostawca tożsamości
ISO Międzynarodowa Organizacja standaryzacji
ISMS System zarządzania zabezpieczeniami informacji
JEA Wystarczająca ilość dostępu
JML Dołącz, przenieś, pozostaw
Uwierzytelnianie wieloskładnikowe Uwierzytelnianie wieloskładnikowe firmy Microsoft
NIST National Institute of Standards and Technology, US Dept. of Commerce
PHI Chronione informacje o kondycji
PIM Privileged Identity Management
Logowanie jednokrotne Logowanie jednokrotne
DOTKNIJ Dostęp tymczasowy

Health Information Trust Alliance

Organizacja HITRUST ustanowiła common security framework (CSF), aby ustandaryzować i usprawnić wymagania dotyczące zabezpieczeń i prywatności dla organizacji w branży opieki zdrowotnej. HITRUST CSF założono w 2007 r., aby sprostać złożonym środowisku regulacyjnym, wyzwaniom związanym z bezpieczeństwem i prywatnością, przed którymi stoją organizacje podczas obsługi danych osobowych i chronionych danych dotyczących zdrowia (PHI). CsF składa się z 14 kategorii kontroli obejmujących 49 celów kontroli i 156 specyfiki kontroli. Został zbudowany na podstawowych zasadach Międzynarodowej Organizacji Standaryzacji (ISO) 27001 i ISO 27002.

Narzędzie HITRUST MyCSF jest dostępne w witrynie Azure Marketplace. Służy do zarządzania zagrożeniami bezpieczeństwa informacji, ładem danych, aby zapewnić zgodność z przepisami dotyczącymi ochrony informacji, a także przestrzegać krajowych i międzynarodowych standardów i najlepszych rozwiązań.

Uwaga

ISO 27001 to standard zarządzania określający wymagania systemu zarządzania zabezpieczeniami informacji (ISMS). ISO 27002 to zestaw najlepszych rozwiązań do wybierania i implementowania mechanizmów kontroli zabezpieczeń w strukturze ISO 27001.

Reguła zabezpieczeń HIPAA

Zasada zabezpieczeń HIPAA (HSR, HIPAA Security Rule) ustanawia standardy ochrony elektronicznych informacji o zdrowiu osoby fizycznej utworzonych, otrzymanych, używanych lub utrzymywanych przez jednostkę objętą (CE), która jest planem zdrowia, rozliczeń opieki zdrowotnej lub dostawcą opieki zdrowotnej. Departament Zdrowia i Usług Ludzkich (HHS) USA zarządza HSR. HHS wymaga zabezpieczeń administracyjnych, fizycznych i technicznych w celu zapewnienia poufności, integralności i bezpieczeństwa elektronicznej jednostki PHI.

HITRUST i HIPAA

HITRUST opracował CSF, który obejmuje standardy zabezpieczeń i prywatności w celu wspierania przepisów dotyczących opieki zdrowotnej. Mechanizmy kontroli CSF i najlepsze rozwiązania upraszczają zadanie konsolidacji źródeł w celu zapewnienia zgodności z przepisami federalnymi, zabezpieczeniami HIPAA i zasadami ochrony prywatności. HISTRUST CSF to wiarygodna struktura zabezpieczeń i prywatności z mechanizmami kontroli i wymagań w celu zademonstrowania zgodności z przepisami HIPAA. Organizacje opieki zdrowotnej powszechnie przyjęły ramy. Skorzystaj z poniższej tabeli, aby dowiedzieć się więcej o kontrolkach.

Kategoria kontrolki Nazwa kategorii kontrolki
0 Program zarządzania zabezpieczeniami informacji
1 Kontrola dostępu
2 Zabezpieczenia zasobów ludzkich
3 Zarządzanie ryzykiem
100 Zasady zabezpieczeń
5 Organizacja zabezpieczeń informacji
6 Zgodność
7 Zarządzanie zasobami
8 Bezpieczeństwo fizyczne i środowiskowe
9 Zarządzanie komunikacją i operacjami
10 Pozyskiwanie, opracowywanie i konserwacja systemów informatycznych
11 Zarządzanie zdarzeniami zabezpieczeń informacji
12 Zarządzanie ciągłością prowadzenia działalności biznesowej (Business Continuity Management)
13 Ochrony prywatności

Dowiedz się więcej na platformie Microsoft Azure to certyfikat HITRUST CSF, który obejmuje zarządzanie tożsamościami i dostępem:

Kategorie i zalecenia dotyczące kontroli dostępu

Poniższa tabela zawiera kategorię kontroli dostępu do zarządzania tożsamościami i dostępem (IAM) oraz zalecenia firmy Microsoft Entra, które pomagają spełnić wymagania kategorii kontroli. Szczegóły pochodzą z hiTRUST MyCSF v11, który odwołuje się do reguły zabezpieczeń HIPAA, dodanej do odpowiedniej kontrolki.

KONTROLA HITRUST, cel i HSR Microsoft Entra guidance and recommendation (Wskazówki i rekomendacje firmy Microsoft)
CSF, kontrolka V11
01.b Rejestracja użytkownika

Kategoria kontrolki
Kontrola dostępu — rejestracja użytkownika i anulowanie rejestracji

Specyfikacja kontrolki
Organizacja używa formalnej rejestracji użytkownika i procesu wyrejestrowania, aby umożliwić przypisywanie praw dostępu.

Nazwa celu
Autoryzowany dostęp do systemów informacyjnych

Reguła zabezpieczeń HIPAA
§ 164.308(a)(3)(ii)(A)
§ 164.308(a)(4)(i)
§ 164.308(a)(3)(ii)(B)
§ 164.308(a)(4)(ii)(C)
§ 164.308(a)(4)(ii)(B)
§ 164.308(a)(5)(ii)(D)
§ 164.312(a)(2)(i)
§ 164.312(a)(2)(ii)
§ 164.312(d)
Microsoft Entra ID to platforma tożsamości do weryfikacji, uwierzytelniania i zarządzania poświadczeniami, gdy tożsamość loguje się do urządzenia, aplikacji lub serwera. Jest to oparta na chmurze usługa zarządzania tożsamościami i dostępem z logowaniem jednokrotnym, uwierzytelnianiem wieloskładnikowym i dostępem warunkowym w celu ochrony przed atakami zabezpieczeń. Uwierzytelnianie gwarantuje, że tylko autoryzowane tożsamości uzyskują dostęp do zasobów i danych.

Przepływy pracy cyklu życia umożliwiają zarządzanie tożsamościami w celu zautomatyzowania cyklu życia cyklu życia dołączania, mover, leaver (JML). Centralizuje proces przepływu pracy przy użyciu wbudowanych szablonów lub niestandardowych przepływów pracy. Ta praktyka pomaga zmniejszyć lub potencjalnie usunąć zadania ręczne dla wymagań strategii JML organizacji. W witrynie Azure Portal przejdź do pozycji Zarządzanie tożsamościami w menu Microsoft Entra ID, aby przejrzeć lub skonfigurować zadania pod kątem wymagań organizacji.

Firma Microsoft Entra Połączenie integruje katalogi lokalne z identyfikatorem Entra firmy Microsoft, obsługując korzystanie z jednej tożsamości w celu uzyskiwania dostępu do lokalnych aplikacji i usług w chmurze, takich jak Microsoft 365. Organizuje synchronizację między usługą Active Directory (AD) i identyfikatorem Entra firmy Microsoft. Aby rozpocząć pracę z firmą Microsoft Entra Połączenie, zapoznaj się z wymaganiami wstępnymi. Zwróć uwagę na wymagania dotyczące serwera i sposób przygotowania dzierżawy firmy Microsoft Do zarządzania.

Microsoft Entra Połączenie Sync to agent aprowizacji zarządzany w chmurze, który obsługuje synchronizację z identyfikatorem Entra firmy Microsoft ze środowiska usługi AD odłączonego od wielu lasów. Używaj lekkich agentów z Połączenie firmy Microsoft. Zalecamy synchronizację skrótów haseł, aby zmniejszyć liczbę haseł i chronić przed wyciekiem wykrywania poświadczeń.
CSF, kontrolka V11
01.c Privilege Management

Kategoria kontrolki
Kontrola dostępu — uprzywilejowane konta

Specyfikacja kontrolki
Organizacja zapewnia, że autoryzowane konta użytkowników są rejestrowane, śledzone i okresowo weryfikowane w celu zapobiegania nieautoryzowanemu dostępowi do systemów informacyjnych

Nazwa celu
Autoryzowany dostęp do systemów informacyjnych

Reguła zabezpieczeń HIPAA
§ 164.308(a)(1)(i)
§ 164.308(a)(1)(ii)(B)
§ 164.308(a)(2)
§ 164.308(a)(3)(ii)(B)
§ 164.308(a)(3)(ii)(A)
§ 164.308(a)(4)(i)
§ 164.308(a)(4)(ii)(B)
§ 164.308(a)(4)(ii)(C)
§ 164.310(a)(2)(ii)
§ 164.310(a)(1)
§ 164.310(a)(2)(iii)
§ 164.312(a)(1)
Privileged Identity Management (PIM) to usługa w usłudze Microsoft Entra ID do zarządzania, kontrolowania i monitorowania dostępu do ważnych zasobów w organizacji. Minimalizuje liczbę osób z dostępem do bezpiecznych informacji, aby zapobiec uzyskiwaniu dostępu przez złośliwych podmiotów.

Usługa PIM ma dostęp na podstawie czasu i zatwierdzenia, aby ograniczyć ryzyko nadmiernego, niepotrzebnego lub nieprawidłowego użycia uprawnień dostępu. Ułatwia ona identyfikowanie i analizowanie kont uprzywilejowanych w celu zapewnienia wystarczającej ilości dostępu (JEA), aby użytkownik mógł wykonywać swoją rolę.

Monitorowanie i generowanie alertów zapobiega podejrzanym działaniom, wyświetlanie listy użytkowników i ról, które wyzwalają alert, przy jednoczesnym zmniejszeniu ryzyka nieautoryzowanego dostępu. Dostosowywanie alertów dla strategii zabezpieczeń organizacji.

Przeglądy dostępu umożliwiają organizacjom efektywne zarządzanie przypisaniami ról i członkostwem w grupach. Zachowaj bezpieczeństwo i zgodność, oceniając, które konta mają dostęp i zapewniają, że dostęp zostanie odwołany w razie potrzeby, co minimalizuje ryzyko związane z nadmiernymi lub nieaktualnymi uprawnieniami.
CSF, kontrolka V11
0.1d Zarządzanie hasłami użytkowników

Kategoria kontrolki
Kontrola dostępu — procedury

Specyfikacja kontrolki
Aby zapewnić, że autoryzowane konta użytkowników są rejestrowane, śledzone i okresowo weryfikowane w celu zapobiegania nieautoryzowanemu dostępowi do systemów informacyjnych.

Nazwa celu
Autoryzowany dostęp do systemów informacyjnych

Reguła zabezpieczeń HIPAA
§164.308(a)(5)(ii)(D)
Zarządzanie hasłami jest krytycznym aspektem infrastruktury zabezpieczeń. Dopasowanie do najlepszych rozwiązań w celu utworzenia niezawodnego stanu zabezpieczeń, identyfikator Firmy Microsoft Entra ułatwia kompleksową obsługę strategii: logowanie jednokrotne i uwierzytelnianie wieloskładnikowe, takie jak klucze zabezpieczeń FIDO2 i Windows Hello dla firm (WHfB) zmniejsza ryzyko użytkownika i usprawnia środowisko uwierzytelniania użytkownika.

Firma Microsoft Entra Password Protection wykrywa i blokuje znane słabe hasła. Obejmuje ona zasady haseł i ma elastyczność definiowania niestandardowej listy haseł i tworzenia strategii zarządzania hasłami w celu ochrony użycia haseł.

Wymagania dotyczące długości i siły hasła HITRUST są zgodne z National Institute of Standards and Technology NIST 800-63B, który zawiera co najmniej osiem znaków hasła lub 15 znaków dla kont z najbardziej uprzywilejowanym dostępem. Miary złożoności obejmują co najmniej jedną liczbę i/lub znak specjalny oraz co najmniej jedną górną i małą literę dla kont uprzywilejowanych.
CSF, kontrolka V11
01.p Bezpieczne procedury logowania

Kategoria kontrolki
Kontrola dostępu — bezpieczne logowanie

Specyfikacja kontrolki
Organizacja kontroluje dostęp do zasobów informacji przy użyciu bezpiecznej procedury logowania.

Nazwa celu
Kontrola dostępu systemu operacyjnego

Reguła zabezpieczeń HIPAA
§ 164.308(a)(5)(i)
§ 164.308(a)(5)(ii)(C)
§ 164.308(a)(5)(ii)(D)
Bezpieczne logowanie to proces bezpiecznego uwierzytelniania tożsamości podczas próby uzyskania dostępu do systemu.

Kontrola koncentruje się na systemie operacyjnym, usługi Microsoft Entra pomagają wzmocnić bezpieczne logowanie.

Zasady dostępu warunkowego pomagają organizacjom ograniczyć dostęp do zatwierdzonych aplikacji, zasobów i zapewnić bezpieczeństwo urządzeń. Microsoft Entra ID analizuje sygnały z zasad dostępu warunkowego z tożsamości, lokalizacji lub urządzenia, aby zautomatyzować decyzję i wymusić zasady organizacyjne dostępu do zasobów i danych.

Kontrola dostępu oparta na rolach (RBAC) ułatwia zarządzanie dostępem i zasobami zarządzanymi w organizacji. Kontrola dostępu oparta na rolach pomaga zaimplementować zasadę najniższych uprawnień, zapewniając użytkownikom uprawnienia potrzebne do wykonywania zadań. Ta akcja minimalizuje ryzyko przypadkowej lub zamierzonej błędnej konfiguracji.

Jak wspomniano w przypadku kontroli zarządzania hasłami użytkowników w wersji 0.1d, uwierzytelnianie bez hasła używa danych biometrycznych, ponieważ jest trudne do sgeowania, zapewniając w ten sposób bezpieczniejsze uwierzytelnianie.
CSF, kontrolka V11
01.q Identyfikacja i uwierzytelnianie użytkowników

Kategoria kontrolki
Nie dotyczy

Specyfikacja kontrolki
Wszyscy użytkownicy mają unikatowy identyfikator (identyfikator użytkownika) tylko do użytku osobistego, a technika uwierzytelniania jest wdrażana w celu uzasadnienia tożsamości żądanej przez użytkownika.

Nazwa celu
Nie dotyczy

Reguła zabezpieczeń HIPAA
§ 164.308(a)(5)(ii)(D)
§ 164.310(a)(1)
§ 164.312(a)(2)(i)
§ 164.312(d)
Użyj aprowizacji kont w identyfikatorze Entra firmy Microsoft, aby tworzyć, aktualizować konta użytkowników i zarządzać nimi. Każdy użytkownik i obiekt mają przypisany unikatowy identyfikator (UID) określany jako identyfikator obiektu. Identyfikator UID jest unikatowym globalnie identyfikatorem generowanym automatycznie podczas tworzenia użytkownika lub obiektu.

Identyfikator Entra firmy Microsoft obsługuje automatyczną aprowizację użytkowników dla systemów i aplikacji. Automatyczna aprowizacja tworzy nowe konta w odpowiednich systemach, gdy ludzie dołączają do zespołu w organizacji. Automatyczne anulowanie aprowizacji dezaktywuje konta, gdy ludzie odejdą.
CSF, kontrolka V11
01.u Ograniczenie czasu Połączenie ion

Kategoria kontrolki
Kontrola dostępu — bezpieczne logowanie

Specyfikacja kontrolki
Organizacja kontroluje dostęp do zasobów informacji przy użyciu bezpiecznej procedury logowania.

Nazwa celu
Kontrola dostępu systemu operacyjnego

Reguła zabezpieczeń HIPAA
§ 164.312(a)(2)(iii)
Kontrola koncentruje się na systemie operacyjnym, usługi Microsoft Entra pomagają wzmocnić bezpieczne logowanie.

Bezpieczne logowanie to proces bezpiecznego uwierzytelniania tożsamości podczas próby uzyskania dostępu do systemu.

Firma Microsoft Entra uwierzytelnia użytkowników i ma funkcje zabezpieczeń z informacjami o użytkowniku i zasobie. Informacje obejmują token dostępu, token odświeżania i token identyfikatora. Skonfiguruj zgodnie z wymaganiami organizacji dotyczącymi dostępu do aplikacji. Skorzystaj z tych wskazówek głównie dla klientów mobilnych i stacjonarnych.

Zasady dostępu warunkowego obsługują ustawienia konfiguracji dla ograniczeń przeglądarki internetowej uwierzytelnionych sesji.

Identyfikator Entra firmy Microsoft oferuje integrację w różnych systemach operacyjnych, aby zapewnić lepsze środowisko użytkownika i obsługę metod uwierzytelniania bez hasła wymienionych:

Logowanie jednokrotne platformy dla systemu macOS rozszerza możliwości logowania jednokrotnego dla systemu macOS. Użytkownicy logowali się do komputera Mac przy użyciu poświadczeń bez hasła lub zarządzania hasłami zweryfikowanych przez identyfikator Firmy Microsoft Entra.

Środowisko bez hasła systemu Windows promuje środowisko uwierzytelniania bez haseł na urządzeniach dołączonych do firmy Microsoft. Użycie uwierzytelniania bez hasła zmniejsza luki w zabezpieczeniach i zagrożenia związane z tradycyjnym uwierzytelnianiem opartym na hasłach, takie jak ataki wyłudzania informacji, ponowne użycie hasła i przechwytywanie haseł przez rejestrator kluczy.

Logowanie internetowe dla systemu Windows to dostawca poświadczeń, który rozszerza możliwości logowania internetowego w systemie Windows 11, obejmujący Windows Hello dla firm, dostęp tymczasowy (TAP) i tożsamości federacyjne.

Usługa Azure Virtual Desktop obsługuje logowanie jednokrotne i uwierzytelnianie bez hasła. Za pomocą logowania jednokrotnego możesz użyć uwierzytelniania bez hasła i dostawców tożsamości innych firm , którzy sfederują się z identyfikatorem Microsoft Entra ID, aby zalogować się do zasobów usługi Azure Virtual Desktop. Ma on środowisko logowania jednokrotnego podczas uwierzytelniania na hoście sesji. Konfiguruje sesję w celu zapewnienia logowania jednokrotnego do zasobów firmy Microsoft Entra w sesji.

Następne kroki

Konfigurowanie zabezpieczeń kontroli dostępu firmy Microsoft Entra HIPAA