Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье описано, как организации могут эффективно перемещаться по требованиям HIPAA для решений, созданных с помощью Azure Local.
Соответствие требованиям здравоохранения
Закон о переносимости и подотчетности медицинского страхования 1996 года (HIPAA), а также стандарты в области здравоохранения, такие как Технологии здравоохранения для экономического и клинического улучшения (HITECH) и Альянс по доверию к информации о здоровье (HITRUST), защищают конфиденциальность, целостность и доступность защищенных медицинских сведений пациентов (ЗМС). Эти правила и стандарты гарантируют, что медицинские организации, такие как офисы врачей, больницы и страховщики здравоохранения ("охваченные сущности") создают, получают, поддерживают, передают или получают доступ к PHI соответствующим образом. Кроме того, их требования распространяются на бизнес-партнеров, предоставляющих услуги, которые включают PHI (защищенная медицинская информация) для подконтрольных организаций. Корпорация Майкрософт является примером бизнес-партнера, который предоставляет информационные технологии, такие как Azure Local, чтобы помочь компаниям здравоохранения хранить и обрабатывать PHI более эффективно и безопасно. В следующих разделах содержатся сведения о том, как локальные возможности Azure помогают организациям соответствовать этим требованиям.
Совместная ответственность
Клиенты Майкрософт
В качестве охваченной сущности, которая распространяется на законы HIPAA, медицинские организации независимо анализируют свои уникальные технологические среды и варианты использования, а затем планируют и реализуют политики и процедуры, соответствующие требованиям нормативных требований. Организации несут ответственность за обеспечение соответствия их технологических решений требованиям. Руководство по этой статье и другим ресурсам, предоставляемым корпорацией Майкрософт, можно использовать в качестве ссылки.
Корпорация Майкрософт
В соответствии с правилами HIPAA предприятия не обеспечивают соблюдение требований HIPAA и вместо этого вступают в Соглашение о деловом партнере (BAA) с покрываемыми организациями. Корпорация Майкрософт предлагает HIPAA BAA в рамках Условий использования продуктов Майкрософт (прежнее название — Условия онлайн-служб) всем клиентам, которые являются субъектами или бизнес-партнёрами по HIPAA для использования с соответствующими службами Azure.
Предложения по локальному соответствию Azure
Локальное решение Azure — это гибридное решение, в котором размещаются и хранятся виртуализированные рабочие нагрузки как в облаке Azure, так и в локальном центре обработки данных. Это означает, что требования HIPAA должны быть выполнены как в облаке, так и в локальном центре обработки данных.
Облачные службы Azure
Так как законодательство HIPAA предназначено для медицинских компаний, облачные службы, такие как Microsoft Azure, не могут быть сертифицированы. Однако облачные и локальные подключенные службы Azure соответствуют другим установленным рамкам безопасности и стандартам, которые эквивалентны или более строгие, чем HIPAA и HITECH. Дополнительные сведения о программе соответствия требованиям Azure для отрасли здравоохранения в Azure и HIPAA.
Локальная среда
В качестве гибридного решения Azure Local объединяет облачные службы Azure с операционными системами и инфраструктурой, размещенными в локальной среде клиентскими организациями. Корпорация Майкрософт предоставляет множество функций, которые помогают организациям соответствовать требованиям HIPAA и другим отраслевым стандартам здравоохранения как в облачных, так и в локальных средах.
Локальные возможности Azure, относящиеся к правилу безопасности HIPAA
В этом разделе описывается, как функции локальной службы Azure помогают достичь целей управления безопасностью правила безопасности HIPAA, который состоит из следующих пяти доменов управления:
- Управление удостоверениями и доступом
- Защита данных
- Ведение журнала и мониторинг
- Защита от вредоносных программ
- Резервное копирование и восстановление
Внимание
В следующих разделах содержатся рекомендации, ориентированные на уровень платформы. Сведения о конкретных рабочих нагрузках и уровнях приложений выходят за рамки обсуждаемой области.
Управление удостоверениями и доступом
Azure Local предоставляет полный и прямой доступ к базовым системам с помощью нескольких интерфейсов, таких как Azure Arc и Windows PowerShell. Вы можете использовать обычные средства Windows в локальных средах или облачных решениях, таких как Идентификатор Microsoft Entra (ранее Azure Active Directory), для управления удостоверениями и доступом к платформе. В обоих случаях вы можете воспользоваться встроенными функциями безопасности, такими как многофакторная проверка подлинности (MFA), условный доступ, управление доступом на основе ролей (RBAC) и управление привилегированными удостоверениями (PIM), чтобы обеспечить безопасность и соответствие вашей среде.
Дополнительные сведения об управлении локальными удостоверениями и доступом см. в Microsoft Identity Manager и управлении привилегированным доступом для доменных служб Active Directory. Дополнительные сведения об облачном управлении удостоверениями и доступом см. в идентификаторе Microsoft Entra.
Защита данных
Шифрование данных с помощью BitLocker
На локальных экземплярах Azure все данные в состоянии покоя могут быть зашифрованы с помощью шифрования BitLocker XTS-AES 256-бит. По умолчанию система рекомендует включить BitLocker для шифрования всех томов операционной системы и общих томов кластера (CSV) в локальном развертывании Azure. Для всех новых томов хранилища, добавленных после развертывания, необходимо вручную включить BitLocker для шифрования нового тома хранилища. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с ISO/IEC 27001. Узнайте больше об использовании BitLocker с общими томами кластера (CSV).
Защита внешнего сетевого трафика с помощью TLS/DTLS
По умолчанию все подключения узла к локальным и удаленным конечным точкам шифруются с помощью TLS1.2, TLS1.3 и DTLS 1.2. Платформа отключает использование старых протоколов и хэшей, таких как TLS/DTLS 1.1 SMB1. Azure Local также поддерживает надежные наборы шифров, такие как эллиптические кривые , совместимые с SDL , ограничены только кривыми NIST P-256 и P-384.
Защита внутреннего сетевого трафика с помощью блока сообщений сервера (SMB)
Подпись SMB включена по умолчанию для клиентских подключений в локальных экземплярах Azure. Для трафика внутри кластера шифрование SMB — это вариант, который организации могут включить во время или после развертывания для защиты данных во время передачи данных между системами. Наборы шифрования AES-256-GCM и AES-256-CCM теперь поддерживаются протоколом SMB 3.1.1, используемым трафиком файлов клиента-сервера и структурой данных внутри кластера. Протокол продолжает поддерживать набор ES-128, который отличается более широкой совместимостью. Узнайте больше об улучшениях безопасности SMB.
Ведение журналов и мониторинг
Журналы локальной системы
По умолчанию все операции, выполняемые в локальной среде Azure, записываются таким образом, чтобы отслеживать, кто сделал что, когда и где на платформе. Журналы и оповещения, созданные Защитником Windows, также включаются для предотвращения, обнаружения и минимизации вероятности и влияния компрометации данных. Так как системный журнал часто содержит большой объем информации, значительная часть которой не имеет отношения к мониторингу информационной безопасности, необходимо определить, какие события следует собирать и использовать для целей мониторинга безопасности. Возможности мониторинга Azure помогают собирать, хранить, оповещать и анализировать эти журналы. Дополнительные сведения см. в базовой конфигурации безопасности для локальной службы Azure .
Локальные журналы действий
Локальная служба Azure создает и сохраняет журналы действий для любого плана действий, выполняемого. Эти журналы поддерживают более глубокое исследование и мониторинг соответствия требованиям.
Журналы действий в облаке
Регистрируя кластеры в Azure, вы можете использовать журналы действий Azure Monitor для записи операций с каждым ресурсом на уровне подписки, чтобы определить, что, кто и когда для любых операций записи (записать, отправить или удалить) с ресурсами в вашей подписке.
Журналы идентификации в облаке
Если вы используете идентификатор Microsoft Entra для управления удостоверениями и доступом к платформе, вы можете просматривать журналы в отчетах Azure AD или интегрировать их с Azure Monitor, Microsoft Sentinel или другими средствами SIEM/monitoring для сложных вариантов мониторинга и анализа. Если вы используете локальную службу Active Directory, используйте решение Microsoft Defender для идентификации для получения сигналов локальной службы Active Directory, чтобы выявлять, обнаруживать и исследовать расширенные угрозы, скомпрометированные учетные данные и вредоносные инсайдерские действия, направленные против вашей организации.
Интеграция SIEM
Microsoft Defender for Cloud и Microsoft Sentinel нативно интегрированы с серверами, поддерживающими Arc. Вы можете включить и подключить журналы к Microsoft Sentinel, который обеспечивает управление событиями безопасности (SIEM) и автоматическое реагирование системы безопасности (SOAR). Microsoft Sentinel, как и другие облачные службы Azure, соответствует многим хорошо установленным стандартам безопасности, таким как HIPAA и HITRUST, которые могут помочь вам в процессе аккредитации. Кроме того, Azure Local предоставляет собственный средство пересылки событий системного журнала для отправки системных событий сторонним решениям SIEM.
Локальная аналитика Azure
Azure Local Insights позволяет отслеживать сведения о работоспособности, производительности и использовании для систем, подключенных к Azure и зарегистрированных в мониторинге. Во время настройки Аналитики создается правило сбора данных, указывающее собираемые данные. Эти данные хранятся в рабочей области Log Analytics, которая затем агрегируется, фильтруется и анализируется для предоставления готовых панелей мониторинга с помощью Azure Workbooks. Данные мониторинга для отдельных узлов или систем с несколькими узлами можно просмотреть на странице локальных ресурсов Azure или Azure Monitor. Узнайте больше на сайте Monitor Azure Local с помощью Insights.
Локальные метрики Azure
Метрики хранят числовые данные из отслеживаемых ресурсов в базу данных временных рядов. Обозреватель метрик Azure Monitor можно использовать для интерактивного анализа данных в базе данных метрик и диаграммы значений нескольких метрик с течением времени. С помощью метрик можно создавать диаграммы из значений метрик и визуально сопоставлять тенденции.
Оповещения журнала
Чтобы указать проблемы в режиме реального времени, можно настроить оповещения для локальных систем Azure, используя предварительно существующие запросы журналов, такие как средний ЦП сервера, доступная память, доступная емкость тома и многое другое. Узнайте больше о настройке оповещений для локальных систем Azure.
Оповещения о метриках
Правило метрического оповещения отслеживает ресурс, оценивая условия метрик ресурса с регулярными интервалами. При соблюдении условий срабатывает оповещение. Временные ряды метрик — это ряд значений метрик, зарегистрированных за определенный период времени. Эти метрики можно использовать для создания правил генерации оповещений. Узнайте больше о том, как создать оповещения на основе метрик в Оповещения на основе метрик.
Оповещения сервисов и устройств
Azure Local предоставляет предупреждения, основанные на услугах, для подключения, обновления операционной системы, конфигурации Azure и других функций. Также доступны оповещения устройств о сбоях работоспособности кластера. Вы также можете отслеживать локальные экземпляры Azure и их базовые компоненты с помощью PowerShell или службы работоспособности.
Защита от вредоносных программ
Антивирусная программа "Защитник Windows"
Антивирусная программа Защитника Windows — это приложение, которое позволяет применять проверку системы в режиме реального времени и периодическое сканирование для защиты платформы и рабочих нагрузок от вирусов, вредоносных программ, шпионских программ и других угроз. По умолчанию Microsoft Defender Antivirus включается в Azure Local. Корпорация Майкрософт рекомендует использовать антивирусную программу Microsoft Defender с Azure Local, а не стороннее антивирусное и программное обеспечение для обнаружения вредоносных программ, так как они могут негативно повлиять на возможность операционной системы получать обновления. Дополнительные сведения см. в антивирусной программе Microsoft Defender на Windows Server.
Управление приложениями
Управление приложениями по умолчанию в Azure Local позволяет управлять тем, какие драйверы и приложения разрешены выполнять непосредственно на каждом сервере, что помогает предотвратить доступ к системе вредоносными программами. Узнайте больше о базовых политиках, включенных в локальную службу Azure, и о создании дополнительных политик в разделе "Управление приложениями для локальной службы Azure".
Microsoft Defender для облака
Microsoft Defender для облака с Endpoint Protection (включено через план Defender для серверов) предоставляет решение для управления безопасностью с расширенными возможностями защиты от угроз. Он предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Она выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание с помощью автоматической подготовки и защиты с помощью служб Azure. Дополнительные сведения см. в Microsoft Defender для Облака.
Резервное копирование и восстановление
Растянутый кластер
Локальная служба Azure обеспечивает встроенную поддержку аварийного восстановления виртуализированных рабочих нагрузок с помощью растянутой кластеризации (доступно в локальной версии 22H2). При развертывании растянутой локальной инстанции Azure вы можете синхронно реплицировать свои виртуализированные рабочие нагрузки на двух различных локальных площадках и автоматически выполнять переключение на резервный узел между ними. Запланированные переключения на резервный сайт могут выполняться без простоев с помощью динамической миграции Hyper-V.
Узлы кластера Kubernetes
Если вы используете azure Local для размещения развертываний на основе контейнеров, платформа помогает повысить гибкость и устойчивость, присущую развертываниям Azure Kubernetes. Служба Azure Local управляет автоматическим переключением виртуальных машин, которые работают в качестве узлов кластера Kubernetes, если происходит локализованный сбой основных физических компонентов. Эта конфигурация дополняет высокую доступность, встроенную в Kubernetes, которая автоматически перезапускает контейнеры с ошибкой на той же или другой виртуальной машине.
Azure Site Recovery (восстановление сайта Azure)
Эта служба позволяет реплицировать рабочие нагрузки, выполняемые на локальных локальных виртуальных машинах Azure в облако, чтобы информационная система была восстановлена, если произошел инцидент, сбой или потеря носителя хранилища. Как и другие облачные службы Azure, Azure Site Recovery имеет длинный список сертификатов безопасности, включая HITRUST, которые можно использовать для поддержки процесса аккредитации. Дополнительные сведения о защите рабочих нагрузок виртуальных машин с помощью Azure Site Recovery на локальной платформе Azure.
Microsoft Azure Backup Server (MABS)
Эта служба позволяет создавать резервные копии локальных виртуальных машин Azure, указывая требуемую частоту и период хранения. Для резервного копирования большинства ресурсов в среде можно использовать MABS, в том числе:
- Восстановление состояния системы или с нуля (BMR) локального узла Azure
- Гостевые виртуальные машины в системе с локальным или непосредственно подключенным хранилищем
- Гостевые виртуальные машины в локальной инстанции Azure с использованием хранилища CSV.
- Перемещение виртуальной машины в кластере
Узнайте больше о резервном копировании локальных виртуальных машин Azure с помощью Azure Backup Server.