Inne wskazówki dotyczące zabezpieczeń
Microsoft Entra ID spełnia wymagania dotyczące praktyk związanych z tożsamościami w zakresie implementowania zabezpieczeń Health Insurance Portability and Accountability Act z 1996 r. (HIPAA). Aby zapewnić zgodność ze standardem HIPAA, odpowiedzialność firm za wdrożenie zabezpieczeń przy użyciu tych wskazówek wraz z innymi wymaganymi konfiguracjami lub procesami. Ten artykuł zawiera wskazówki dotyczące zapewniania zgodności z przepisami HIPAA dla następujących trzech mechanizmów kontroli:
- Integralność Sejf guard
- Sejf guard uwierzytelniania osoby lub jednostki
- Zabezpieczenia transmisji Sejf guard
Wskazówki dotyczące zabezpieczeń integralności
Identyfikator Entra firmy Microsoft spełnia wymagania dotyczące praktyk związanych z tożsamościami na potrzeby implementowania zabezpieczeń HIPAA. Aby być zgodnym ze standardem HIPAA, zaimplementuj zabezpieczenia, korzystając z tych wskazówek wraz z innymi wymaganymi konfiguracjami lub procesami.
W przypadku Sejf guard modyfikacji danych:
Ochrona plików i wiadomości e-mail na wszystkich urządzeniach.
Odnajdywanie i klasyfikowanie poufnych danych.
Szyfruj dokumenty i wiadomości e-mail zawierające poufne lub osobowe.
Poniższa zawartość zawiera wskazówki dotyczące hipaa, a następnie tabelę z zaleceniami i wskazówkami firmy Microsoft.
HIPAA — integralność
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
Zalecenie | Akcja |
---|---|
Włączanie usługi Microsoft Purview Information Protection (IP) | Odnajdywanie, klasyfikowanie, ochrona i zarządzanie poufnymi danymi, obejmujące magazyn i przesyłane dane. Ochrona danych za pośrednictwem adresu IP usługi Microsoft Purview pomaga określić krajobraz danych, przejrzeć strukturę i wykonać aktywne kroki w celu zidentyfikowania i ochrony danych. |
Konfigurowanie blokady w miejscu programu Exchange | Usługa Exchange Online udostępnia kilka ustawień do obsługi zbierania elektronicznych materiałów dowodowych. Blokada w miejscu używa określonych parametrów dotyczących elementów, które powinny być przechowywane. Macierz decyzyjna może być oparta na słowach kluczowych, nadawcach, paragonach i datach. Zbieranie elektronicznych materiałów dowodowych w Microsoft Purview rozwiązania są częścią portal zgodności Microsoft Purview i obejmują wszystkie źródła danych platformy Microsoft 365. |
Konfigurowanie rozszerzenia Secure/Multipurpose Internet Mail w usłudze Exchange Online | S/MIME to protokół używany do wysyłania cyfrowo podpisanych i zaszyfrowanych wiadomości. Jest on oparty na parowaniu kluczy asymetrycznych, kluczem publicznym i prywatnym. Usługa Exchange Online zapewnia szyfrowanie i ochronę zawartości wiadomości e-mail i podpisów, które weryfikują tożsamość nadawcy. |
Włącz monitorowanie i rejestrowanie. | Rejestrowanie i monitorowanie są niezbędne do zabezpieczenia środowiska. Te informacje służą do wspierania badań i pomagania wykrywać potencjalne zagrożenia, identyfikując nietypowe wzorce. Włącz rejestrowanie i monitorowanie usług, aby zmniejszyć ryzyko nieautoryzowanego dostępu. Inspekcja usługi Microsoft Purview zapewnia wgląd w działania inspekcji między usługami na platformie Microsoft 365. Ułatwia to badanie przez zwiększenie przechowywania dziennika inspekcji. |
Wskazówki dotyczące ochrony uwierzytelniania osoby lub jednostki
Identyfikator Entra firmy Microsoft spełnia wymagania dotyczące praktyk związanych z tożsamościami na potrzeby implementowania zabezpieczeń HIPAA. Aby być zgodnym ze standardem HIPAA, zaimplementuj zabezpieczenia, korzystając z tych wskazówek wraz z innymi wymaganymi konfiguracjami lub procesami.
W przypadku funkcji inspekcji i osoby i jednostki Sejf guard:
Upewnij się, że oświadczenie użytkownika końcowego jest prawidłowe dla dostępu do danych.
Zidentyfikuj i zniweluj wszelkie zagrożenia dla przechowywanych danych.
Poniższa zawartość zawiera wskazówki dotyczące hipaa, a następnie tabelę z zaleceniami i wskazówkami firmy Microsoft.
HIPAA — uwierzytelnianie osób lub jednostek
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Upewnij się, że użytkownicy i urządzenia, które uzyskują dostęp do danych ePHI, są autoryzowane. Należy upewnić się, że urządzenia są zgodne, a akcje są poddawane inspekcji w celu flagowania zagrożeń dla właścicieli danych.
Zalecenie | Akcja |
---|---|
Włączanie uwierzytelniania wieloskładnikowego | Uwierzytelnianie wieloskładnikowe firmy Microsoft chroni tożsamości, dodając dodatkową warstwę zabezpieczeń. Dodatkowa warstwa zapewnia skuteczny sposób zapobiegania nieautoryzowanemu dostępowi. Uwierzytelnianie wieloskładnikowe umożliwia wymaganie większej weryfikacji poświadczeń logowania podczas procesu uwierzytelniania. Konfigurowanie aplikacji Authenticator zapewnia weryfikację jednym kliknięciem lub konfigurację bez hasła firmy Microsoft. |
Włączanie zasad dostępu warunkowego | Zasady dostępu warunkowego pomagają ograniczyć dostęp tylko do zatwierdzonych aplikacji. Firma Microsoft Entra analizuje sygnały z użytkownika, urządzenia lub lokalizacji w celu zautomatyzowania decyzji i wymuszania zasad organizacji w celu uzyskania dostępu do zasobów i danych. |
Konfigurowanie zasad dostępu warunkowego opartego na urządzeniach | Dostęp warunkowy w usłudze Microsoft Intune do zarządzania urządzeniami i zasady firmy Microsoft Entra mogą używać stanu urządzenia, aby udzielić odmowy dostępu do usług i danych. Wdrażając zasady zgodności urządzeń, określa, czy spełnia wymagania dotyczące zabezpieczeń, aby podjąć decyzje dotyczące zezwolenia na dostęp do zasobów lub ich odmowy. |
Używanie kontroli dostępu opartej na rolach (RBAC) | Kontrola dostępu oparta na rolach w identyfikatorze Entra firmy Microsoft zapewnia zabezpieczenia na poziomie przedsiębiorstwa, z rozdzieleniem obowiązków. Dostosuj i przejrzyj uprawnienia do ochrony poufności, prywatności i zarządzania dostępem do zasobów i poufnych danych przy użyciu systemów. Identyfikator Entra firmy Microsoft zapewnia obsługę wbudowanych ról, czyli stałego zestawu uprawnień, których nie można modyfikować. Możesz również utworzyć własne role niestandardowe, w których można dodać listę ustawień wstępnych. |
Wskazówki dotyczące zabezpieczeń bezpieczeństwa transmisji
Identyfikator Entra firmy Microsoft spełnia wymagania dotyczące praktyk związanych z tożsamościami na potrzeby implementowania zabezpieczeń HIPAA. Aby być zgodnym ze standardem HIPAA, zaimplementuj zabezpieczenia, korzystając z tych wskazówek wraz z innymi wymaganymi konfiguracjami lub procesami.
W przypadku szyfrowania:
Ochrona poufności danych.
Zapobieganie kradzieży danych.
Zapobiegaj nieautoryzowanemu dostępowi do phi.
Upewnij się, że poziom szyfrowania danych.
Aby chronić transmisję danych PHI:
Ochrona udostępniania danych PHI.
Ochrona dostępu do danych PHI.
Upewnij się, że przesyłane dane są szyfrowane.
Poniższa zawartość zawiera listę wskazówek dotyczących zabezpieczeń inspekcji i transmisji Sejf guard z wskazówek HIPAA i zaleceń firmy Microsoft, aby umożliwić spełnienie wymagań dotyczących implementacji zabezpieczeń za pomocą identyfikatora Entra firmy Microsoft.
HIPAA — szyfrowanie
Implement a mechanism to encrypt and decrypt electronic protected health information.
Upewnij się, że dane ePHI są szyfrowane i odszyfrowywane przy użyciu zgodnego klucza/procesu szyfrowania.
Zalecenie | Akcja |
---|---|
Przeglądanie punktów szyfrowania platformy Microsoft 365 | Szyfrowanie za pomocą usługi Microsoft Purview w rozwiązaniu Microsoft 365 to wysoce bezpieczne środowisko, które oferuje szeroką ochronę w wielu warstwach: fizyczne centrum danych, zabezpieczenia, sieć, dostęp, aplikacja i zabezpieczenia danych. Przejrzyj listę szyfrowania i zmień, jeśli wymagana jest większa kontrola. |
Przegląd szyfrowania bazy danych | Funkcja Transparent Data Encryption dodaje warstwę zabezpieczeń, aby chronić dane magazynowane przed nieautoryzowanym dostępem lub offline. Szyfruje ona bazę danych przy użyciu szyfrowania AES. Dynamiczne maskowanie danych poufnych, które ogranicza narażenie poufnych danych. Maskuje dane użytkownikom nieuwierzytelnionym. Maskowanie zawiera wyznaczone pola, które definiuje się w nazwie schematu bazy danych, nazwie tabeli i nazwie kolumny. Nowe bazy danych są domyślnie szyfrowane, a klucz szyfrowania bazy danych jest chroniony przez wbudowany certyfikat serwera. Zalecamy przejrzenie baz danych, aby upewnić się, że szyfrowanie jest ustawione w infrastrukturze danych. |
Przeglądanie punktów usługi Azure Encryption | Funkcja szyfrowania platformy Azure obejmuje główne obszary danych magazynowanych, modeli szyfrowania i zarządzania kluczami przy użyciu usługi Azure Key Vault. Przejrzyj różne poziomy szyfrowania i sposób ich dopasowania do scenariuszy w organizacji. |
Ocena zbierania danych i utrzymania ładu | zarządzanie cyklem życia danych Microsoft Purview umożliwia stosowanie zasad przechowywania. Zarządzanie rekordami w Microsoft Purview umożliwia stosowanie etykiet przechowywania. Ta strategia ułatwia uzyskanie wglądu w zasoby w całej infrastrukturze danych. Ta strategia pomaga również chronić poufne dane w chmurach, aplikacjach i punktach końcowych oraz zarządzać nimi. Ważne: jak wspomniano w 45 CFR 164.316: Limit czasu (wymagany). Zachowaj dokumentację wymaganą przez akapit (b)(1) tej sekcji przez sześć lat od daty utworzenia lub daty, w której nastąpiło ostatnie, w zależności od tego, co nastąpi później. |
HIPAA — ochrona transmisji danych PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Ustanów zasady i procedury ochrony wymiany danych zawierającej dane PHI.
Zalecenie | Akcja |
---|---|
Ocena stanu aplikacji lokalnych | Implementacja serwera proxy aplikacji Firmy Microsoft Entra publikuje lokalne aplikacje internetowe zewnętrznie i w bezpieczny sposób. Serwer proxy aplikacji Microsoft Entra umożliwia bezpieczne publikowanie zewnętrznego punktu końcowego adresu URL na platformie Azure. |
Włączanie uwierzytelniania wieloskładnikowego | Uwierzytelnianie wieloskładnikowe firmy Microsoft chroni tożsamości przez dodanie warstwy zabezpieczeń. Dodawanie kolejnych warstw zabezpieczeń to skuteczny sposób zapobiegania nieautoryzowanemu dostępowi. Uwierzytelnianie wieloskładnikowe umożliwia wymaganie większej weryfikacji poświadczeń logowania podczas procesu uwierzytelniania. Aplikację Authenticator można skonfigurować tak, aby zapewnić weryfikację jednym kliknięciem lub uwierzytelnianie bez hasła. |
Włączanie zasad dostępu warunkowego na potrzeby dostępu do aplikacji | Zasady dostępu warunkowego pomagają ograniczyć dostęp do zatwierdzonych aplikacji. Firma Microsoft Entra analizuje sygnały z użytkownika, urządzenia lub lokalizacji w celu zautomatyzowania decyzji i wymuszania zasad organizacji w celu uzyskania dostępu do zasobów i danych. |
Przegląd zasad ochrony usługi Exchange Online (EOP) | Ochrona przed spamem i złośliwym oprogramowaniem w usłudze Exchange Online zapewnia wbudowane filtrowanie złośliwego oprogramowania i spamu. Funkcja EOP chroni komunikaty przychodzące i wychodzące i jest domyślnie włączona. Usługi EOP zapewniają również usługi ochrony przed fałszowaniem, kwarantowaniem komunikatów oraz możliwość zgłaszania komunikatów w programie Outlook. Zasady można dostosować tak, aby pasowały do ustawień dla całej firmy. Mają one pierwszeństwo przed zasadami domyślnymi. |
Konfigurowanie etykiet poufności | Etykiety poufności firmy Microsoft Purview umożliwiają klasyfikowanie i ochronę danych organizacji. Etykiety zapewniają ustawienia ochrony w dokumentacji dla kontenerów. Na przykład narzędzie chroni dokumenty przechowywane w usłudze Microsoft Teams i witrynach programu SharePoint, aby ustawić i wymusić ustawienia prywatności. Rozszerzanie etykiet na pliki i zasoby danych, takie jak SQL, Azure SQL, Azure Synapse, Azure Cosmos DB i AWS RDS. Poza wbudowanymi typami informacji poufnych 200 istnieją zaawansowane klasyfikatory, takie jak jednostki nazw, klasyfikatory do trenowania i EDM w celu ochrony niestandardowych typów poufnych. |
Ocena, czy połączenie prywatne jest wymagane do nawiązania połączenia z usługami | Usługa Azure ExpressRoute tworzy połączenia prywatne między chmurowymi centrami danych platformy Azure i infrastrukturą, która znajduje się lokalnie. Dane nie są przesyłane za pośrednictwem publicznego Internetu. Usługa używa łączności warstwy 3, łączy router brzegowy i zapewnia dynamiczną skalowalność. |
Ocena wymagań dotyczących sieci VPN | Dokumentacja usługi VPN Gateway łączy sieć lokalną z platformą Azure za pośrednictwem połączenia typu lokacja-lokacja, punkt-lokacja, sieć wirtualna-sieć wirtualna i połączenie sieci VPN obejmujące wiele lokacji. Usługa obsługuje hybrydowe środowiska robocze, zapewniając bezpieczny transfer danych. |