Microsoft Entra-konfigurationsrekommendationer för HITRUST-kontroller
Den här artikelns vägledning hjälper dig att navigera i information och ger rekommendationer för tjänster och funktioner i Microsoft Entra-ID för att stödja anpassning med HITRUST-kontroller. Använd informationen för att förstå hitrust-ramverket (Health Information Trust Alliance) och stödja ditt ansvar att se till att din organisation är kompatibel med HIPAA (Health Insurance Portability and Accountability Act of 1996). Utvärderingar innebär att arbeta med certifierade HITRUST-bedömare som är kunniga om ramverket och som krävs för att hjälpa dig genom processen och förstå kraven.
Förkortningar
I följande tabell visas akronymer och deras stavning i den här artikeln.
| Akronym | Stavning |
|---|---|
| CE | Täckt entitet |
| CSF | Common Security Framework |
| HIPAA | Health Insurance Portability and Accountability Act från 1996 |
| HSR | HIPAA-säkerhetsregel |
| HITRUST | Health Information Trust Alliance |
| IAM | Identitets- och åtkomsthantering |
| IdP | Identitetsprovider |
| ISO | Internationell standardiseringsorganisation |
| ISMS | Informationssäkerhetshanteringssystem |
| JEA | Bara tillräckligt med åtkomst |
| JML | Gå med, flytta, lämna |
| Multifaktorautentisering | Microsoft Entra multifaktorautentisering |
| NIST | National Institute of Standards and Technology, US Dept. of Commerce |
| PHI | Skyddad hälsoinformation |
| PIM | Privileged Identity Management |
| Enkel inloggning | Enkel inloggning |
| TRYCK | Tillfälligt åtkomstpass |
Health Information Trust Alliance
HITRUST-organisationen etablerade Common Security Framework (CSF) för att standardisera och effektivisera säkerhets- och sekretesskraven för organisationer i sjukvårdsbranschen. HITRUST CSF grundades 2007 för att hantera den komplexa regelmiljö, säkerhetsutmaningar och sekretessproblem som organisationer står inför när de hanterar personuppgifter och PHI-data (protected health information). GSR består av 14 kontrollkategorier som består av 49 kontrollmål och 156 kontrollspecifika uppgifter. Det byggdes på de primära principerna för International Organization for Standardization (ISO) 27001 och ISO 27002.
HITRUST MyCSF-verktyget är tillgängligt på Azure Marketplace. Använd den för att hantera informationssäkerhetsrisker, datastyrning, för att följa informationsskyddsbestämmelser, även följa nationella och internationella standarder och bästa praxis.
Kommentar
ISO 27001 är en hanteringsstandard som anger kraven för ett SYSTEM för informationssäkerhetshantering (ISMS). ISO 27002 är en uppsättning metodtips för att välja och implementera säkerhetskontroller i ISO 27001-ramverket.
HIPAA-säkerhetsregel
HIPAA-säkerhetsregeln (HSR) fastställer standarder för att skydda en individs elektroniska personliga hälsoinformation som skapats, tagits emot, använts eller underhålls av en täckt enhet (CE), som är en hälsoplan, hälso- och sjukvårds clearinghouse eller vårdgivare. U.S. Department of Health and Human Services (HHS) hanterar HSR. HHS kräver administrativa, fysiska och tekniska skyddsåtgärder för att säkerställa sekretess, integritet och säkerhet för elektronisk PHI.
HITRUST och HIPAA
HITRUST utvecklade CSF, som innehåller säkerhets- och sekretessstandarder för att stödja hälso- och sjukvårdsbestämmelser. CsF-kontroller och metodtips förenklar uppgiften att konsolidera källor för att säkerställa efterlevnad av federal lagstiftning, HIPAA-säkerhet och sekretessregler. HISTRUST CSF är ett certifierbart ramverk för säkerhet och sekretess med kontroller och krav för att demonstrera HIPAA-efterlevnad. Hälso- och sjukvårdsorganisationer antog ramverket i stor utsträckning. Använd följande tabell för att lära dig mer om kontroller.
| Kontrollkategori | Kontrollkategorinamn |
|---|---|
| 0 | Program för informationssäkerhetshantering |
| 1 | Åtkomstkontroll |
| 2 | Human Resource Security |
| 3 | Riskhantering |
| 4 | Säkerhetsprincip |
| 5 | Organisation av informationssäkerhet |
| 6 | Efterlevnad |
| 7 | Tillgångshantering |
| 8 | Fysisk och miljömässig säkerhet |
| 9 | Kommunikation och driftshantering |
| 10 | Förvärv, utveckling och underhåll av informationssystem |
| 11 | Hantering av informationssäkerhetsincidenter |
| 12 | Hantering av affärskontinuitet |
| 13 | Sekretesspraxis |
Läs mer på Microsoft Azure-plattformen är HITRUST CSF-certifierad, vilket omfattar identitets- och åtkomsthantering:
- Microsoft Entra-ID, tidigare känt som Azure Active Directory
- Rights Management med Microsoft Purview
- Microsoft Entra multifaktorautentisering (MFA)
Kategorier och rekommendationer för åtkomstkontroll
Följande tabell har åtkomstkontrollkategorin för identitets- och åtkomsthantering (IAM) och Microsoft Entra-rekommendationer som hjälper dig att uppfylla kraven för kontrollkategorin. Information kommer från HITRUST MyCSF v11, som refererar till HIPAA-säkerhetsregeln, som läggs till i motsvarande kontroll.
| HITRUST-kontroll, mål och HSR | Vägledning och rekommendation för Microsoft Entra |
|---|---|
| CSF-kontroll V11 01.b Användarregistrering Kontrollkategori Åtkomstkontroll – användarregistrering och avregistrering Kontrollspecifikation Organisationen använder en formell process för användarregistrering och avregistrering för att aktivera tilldelning av åtkomsträttigheter. Målnamn Auktoriserad åtkomst till informationssystem HIPAA-säkerhetsregel § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID är en identitetsplattform för verifiering, autentisering och hantering av autentiseringsuppgifter när en identitet loggar in på enheten, programmet eller servern. Det är en molnbaserad identitets- och åtkomsthanteringstjänst med enkel inloggning (SSO), MFA och villkorlig åtkomst för att skydda mot säkerhetsattacker. Autentisering säkerställer att endast auktoriserade identiteter får åtkomst till resurser och data. Livscykelarbetsflöden möjliggör identitetsstyrning för att automatisera JML-livscykeln (joiner, mover, leaver). Den centraliserar arbetsflödesprocessen med hjälp av de inbyggda mallarna eller så skapar du anpassade arbetsflöden. Den här metoden hjälper till att minska, eller eventuellt ta bort, manuella uppgifter för organisationens JML-strategikrav. I Azure-portalen går du till Identitetsstyrning på Microsoft Entra-ID-menyn för att granska eller konfigurera uppgifter för organisationens krav. Microsoft Entra Anslut integrerar lokala kataloger med Microsoft Entra-ID, vilket stöder användning av enskilda identiteter för åtkomst till lokala program och molntjänster som Microsoft 365. Den samordnar synkroniseringen mellan Active Directory (AD) och Microsoft Entra ID. Gå igenom förutsättningarna för att komma igång med Microsoft Entra Anslut. Observera serverkraven och hur du förbereder din Microsoft Entra-klientorganisation för hantering. Microsoft Entra Anslut Sync är en etableringsagent som hanteras i molnet och som stöder synkronisering till Microsoft Entra-ID från en AD-miljö med flera skogar. Använd lättviktsagenterna med Microsoft Entra Anslut. Vi rekommenderar synkronisering av lösenordshash för att minska antalet lösenord och skydda mot identifiering av läckta autentiseringsuppgifter. |
| CSF-kontroll V11 01.c Privilege Management Kontrollkategori Åtkomstkontroll – Privilegierade konton Kontrollspecifikation Organisationen ser till att auktoriserade användarkonton registreras, spåras och valideras regelbundet för att förhindra obehörig åtkomst till informationssystem Målnamn Auktoriserad åtkomst till informationssystem HIPAA-säkerhetsregel § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) är en tjänst i Microsoft Entra-ID för att hantera, kontrollera och övervaka åtkomst till viktiga resurser i en organisation. Det minimerar antalet personer med åtkomst till säker information för att förhindra att skadliga aktörer får åtkomst. PIM har tids- och godkännandebaserad åtkomst för att minska risken för överdriven, onödig eller missbrukad åtkomstbehörighet. Det hjälper till att identifiera och analysera privilegierade konton för att säkerställa att du ger precis tillräckligt med åtkomst (JEA) för att en användare ska kunna utföra sin roll. Övervakning och generering av aviseringar förhindrar misstänkta aktiviteter, listar de användare och roller som utlöser aviseringen, samtidigt som risken för obehörig åtkomst minskar. Anpassa aviseringar för din organisations säkerhetsstrategi. Med åtkomstgranskningar kan organisationer hantera rolltilldelningar och gruppmedlemskap effektivt. Upprätthålla säkerhet och efterlevnad genom att utvärdera vilka konton som har åtkomst och se till att åtkomsten återkallas vid behov, vilket minimerar riskerna med överdrivna eller inaktuella behörigheter. |
| CSF-kontroll V11 0.1d Lösenordshantering för användare Kontrollkategori Åtkomstkontroll – procedurer Kontrollspecifikation För att säkerställa att auktoriserade användarkonton registreras, spåras och valideras regelbundet för att förhindra obehörig åtkomst till informationssystem. Målnamn Auktoriserad åtkomst till informationssystem HIPAA-säkerhetsregel §164.308(a)(5)(ii)(D) |
Lösenordshantering är en viktig aspekt av säkerhetsinfrastrukturen. I enlighet med bästa praxis för att skapa en robust säkerhetsstatus hjälper Microsoft Entra-ID till att underlätta med ett omfattande strategistöd: SSO och MFA även lösenordslös autentisering, till exempel FIDO2-säkerhetsnycklar och Windows Hello för företag (WHfB) minskar användarrisken och effektiviserar användarautentiseringsupplevelsen. Microsoft Entra Password Protection identifierar och blockerar kända svaga lösenord. Den innehåller lösenordsprinciper och har flexibiliteten att definiera en anpassad lösenordslista och skapa en strategi för lösenordshantering för att skydda lösenordsanvändningen. HITRUST lösenord längd och styrka krav överensstämmer med National Institute of Standards and Technology NIST 800-63B, som innehåller minst åtta tecken för ett lösenord, eller 15 tecken för konton med mest privilegierad åtkomst. Komplexitetsåtgärder omfattar minst ett tal och/eller specialtecken och minst en versal och gemen bokstav för privilegierade konton. |
| CSF-kontroll V11 01.p Säkra inloggningsförfaranden Kontrollkategori Åtkomstkontroll – säker inloggning Kontrollspecifikation Organisationen styr åtkomsten till informationstillgångar med hjälp av en säker inloggningsprocedur. Målnamn Åtkomstkontroll för operativsystem HIPAA-säkerhetsregel § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
Säker inloggning är processen för att autentisera en identitet på ett säkert sätt när de försöker komma åt ett system. Kontrollen fokuserar på operativsystemet, Microsoft Entra-tjänster hjälper till att stärka den säkra inloggningen. Principer för villkorlig åtkomst hjälper organisationer att begränsa åtkomsten till godkända program, resurser och se till att enheterna är säkra. Microsoft Entra ID analyserar signalerna från principer för villkorsstyrd åtkomst från identitet, plats eller enhet för att automatisera beslutet och tillämpa organisationsprinciper för åtkomst till resurser och data. Rollbaserad åtkomstkontroll (RBAC) hjälper dig att hantera åtkomst och hanterade resurser i din organisation. RBAC hjälper till att implementera principen om lägsta behörighet, vilket säkerställer att användarna har de behörigheter de behöver för att utföra sina uppgifter. Den här åtgärden minimerar risken för oavsiktlig eller avsiktlig felkonfiguration. Som nämnts för kontroll 0.1d User Password Management använder lösenordslös autentisering biometri eftersom de är svåra att förfalska, vilket ger säkrare autentisering. |
| CSF-kontroll V11 01.q Användaridentifiering och autentisering Kontrollkategori Ej tillämpligt Kontrollspecifikation Alla användare ska ha en unik identifierare (användar-ID) för personligt bruk, och en autentiseringsteknik ska implementeras för att styrka en användares påstådda identitet. Målnamn Ej tillämpligt HIPAA-säkerhetsregel § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Använd kontoetablering i Microsoft Entra-ID för att skapa, uppdatera och hantera användarkonton. Varje användare och objekt tilldelas en unik identifierare (UID) som kallas objekt-ID. UID är en globalt unik identifierare som genereras automatiskt när en användare eller ett objekt skapas. Microsoft Entra ID stöder automatiserad användaretablering för system och program. Automatisk etablering skapar nya konton i rätt system när personer ansluter till ett team i en organisation. Automatisk avetablering inaktiverar konton när personer lämnar. |
| CSF-kontroll V11 01.u Begränsning av Anslut ionstid Kontrollkategori Åtkomstkontroll – säker inloggning Kontrollspecifikation Organisationen styr åtkomsten till informationstillgångar med hjälp av en säker inloggningsprocedur. Målnamn Åtkomstkontroll för operativsystem HIPAA-säkerhetsregel § 164.312(a)(2)(iii) |
Kontrollen fokuserar på operativsystemet, Microsoft Entra-tjänster hjälper till att stärka den säkra inloggningen. Säker inloggning är processen för att autentisera en identitet på ett säkert sätt när de försöker komma åt ett system. Microsoft Entra autentiserar användare och har säkerhetsfunktioner med information om användaren och resursen. Informationen innehåller åtkomsttoken, uppdateringstoken och ID-token. Konfigurera i enlighet med organisationens krav för programåtkomst. Använd den här vägledningen främst för mobil- och skrivbordsklienter. Principer för villkorsstyrd åtkomst stöder konfigurationsinställningar för webbläsarbegränsningar för autentiserade sessioner. Microsoft Entra ID har integreringar mellan operativsystem för att ge en bättre användarupplevelse och stöd för lösenordslösa autentiseringsmetoder i listan: Plattforms-SSO för macOS utökar SSO-funktionerna för macOS. Användare loggar in på en Mac med lösenordslösa autentiseringsuppgifter eller lösenordshantering som verifierats av Microsoft Entra-ID. Windows lösenordslösa upplevelse främjar en autentiseringsupplevelse utan lösenord på Microsoft Entra-anslutna enheter. Med lösenordslös autentisering minskar sårbarheter och risker som är kopplade till traditionell lösenordsbaserad autentisering, till exempel nätfiskeattacker, återanvändning av lösenord och avlyssning av lösenord för nyckelloggare. Webbinloggning för Windows är en provider för autentiseringsuppgifter som utökar funktionerna för webbinloggning i Windows 11, som omfattar Windows Hello för företag, tillfälligt åtkomstpass (TAP) och federerade identiteter. Azure Virtual Desktop stöder enkel inloggning och lösenordsfri autentisering. Med enkel inloggning kan du använda lösenordslös autentisering och identitetsprovidrar från tredje part som federeras med Microsoft Entra-ID för att logga in på dina Azure Virtual Desktop-resurser. Det har en SSO-upplevelse när du autentiserar till sessionsvärden. Den konfigurerar sessionen för att tillhandahålla enkel inloggning till Microsoft Entra-resurser i sessionen. |