Azure Stack HCI 和 HIPAA
本文提供有关组织如何为使用 Azure Stack HCI 构建的解决方案高效导航 HIPAA 合规性的指导。
医疗保健合规性
1996年《健康保险可移植性和责任法》(HIPAA)和医疗保健标准,如经济和临床健康健康信息信息技术(HITECH)和健康信息信任联盟(HITRUST)保护患者的受保护健康信息(PHI)的保密性、完整性和可用性。 这些法规和标准确保医生办公室、医院和健康保险公司(“涵盖实体”)等医疗保健组织适当地创建、接收、维护、传输或访问 PHI。 此外,他们的要求扩展到为涵盖实体提供服务的业务助理。 Microsoft 是一个业务助理的一个示例,它提供 Azure Stack HCI 等信息技术服务,以帮助医疗保健公司更有效地安全地存储和处理 PHI。 以下部分提供有关 Azure Stack HCI 平台功能如何帮助组织满足这些要求的信息。
共担责任
Microsoft 客户
作为受 HIPAA 法律约束的涵盖实体,医疗保健组织独立分析其独特的技术环境和用例,然后规划和实施符合法规要求的政策和程序。 涵盖的实体负责确保其技术解决方案的合规性。 本文中的指南和其他 Microsoft 提供的资源可用作参考。
Microsoft
根据 HIPAA 法规,业务助理不保证 HIPAA 合规性,而是与涵盖实体签订业务关联协议(BAA)。 Microsoft 将 HIPAA BAA 作为 Microsoft 产品条款(前在线服务条款)的一部分提供给 HIPAA 下涵盖实体或业务助理的所有客户,以用于范围内的 Azure 服务。
Azure Stack HCI 合规性产品/服务
Azure Stack HCI 是一种混合解决方案,用于托管和存储 Azure 云和本地数据中心的虚拟化工作负荷。 这意味着需要在云和本地数据中心满足 HIPAA 要求。
Azure 云服务
由于 HIPAA 立法是为医疗保健公司设计的,因此无法认证 Microsoft Azure 等云服务。 但是,Azure 和 Azure Stack HCI 连接的云服务符合其他既定的安全框架和标准,这些框架和标准相当于或比 HIPAA 和 HITECH 更严格。 详细了解 Azure 和 HIPAA 医疗保健行业的 Azure 合规性计划。
本地环境
作为混合解决方案,Azure Stack HCI 将 Azure 云服务与客户组织托管在本地的操作系统和基础结构相结合。 Microsoft 提供了一系列功能,可帮助组织满足 HIPAA 和其他医疗保健行业标准的要求,无论是在云环境中还是本地环境中。
与 HIPAA 安全规则相关的 Azure Stack HCI 功能
本部分概述了 Azure Stack HCI 的功能如何帮助你实现 HIPAA 安全规则的安全控制目标,其中包括以下五个控制域:
重要
以下部分提供有关平台层的指导。 有关特定工作负荷和应用程序层的信息范围不足。
标识和访问管理
Azure Stack HCI 平台通过多个接口(例如 Azure Arc 和 Windows PowerShell)提供对群集节点上运行的基础系统的完整直接访问。 可以在本地环境中使用传统的 Windows 工具或基于云的解决方案(例如 Microsoft Entra ID(前 Azure Active Directory)来管理标识和访问平台。 在这两种情况下,都可以利用内置安全功能,例如多重身份验证(MFA)、条件访问、基于角色的访问控制(RBAC)和特权标识管理(PIM),以确保环境安全且合规。
在 Microsoft Identity Manager 和 Privileged Access Management for Active Directory 域服务了解有关本地标识和访问管理的详细信息。 详细了解 Microsoft Entra ID 中的基于云的标识和访问管理。
数据保护
使用 BitLocker 加密数据
在 Azure Stack HCI 群集上,可以通过 BitLocker XTS-AES 256 位加密来加密所有数据静态数据。 默认情况下,系统会建议启用 BitLocker 以加密 Azure Stack HCI 部署中的所有操作系统(OS)卷和群集共享卷(CSV)。 对于部署后添加的任何新存储卷,需要手动启用 BitLocker 来加密新的存储卷。 使用 BitLocker 保护数据可以帮助组织遵守 ISO/IEC 27001。 有关详细信息,请在 将 BitLocker 与群集共享卷(CSV)配合使用。
使用 TLS/DTLS 保护外部网络流量
默认情况下,所有到本地和远程终结点的主机通信都使用 TLS1.2、TLS1.3 和 DTLS 1.2 进行加密。 平台禁用旧协议/哈希(如 TLS/DTLS 1.1 SMB1)的使用。 Azure Stack HCI 还支持强密码套件,如 SDL 兼容的 椭圆曲线,仅限于 NIST 曲线 P-256 和 P-384。
使用服务器消息块保护内部网络流量 (SMB)
默认情况下,为 Azure Stack HCI 群集主机中的客户端连接启用 SMB 签名。 对于群集内部流量,SMB 加密是组织可以在部署期间或部署后启用的选项,以保护群集之间传输的数据。 客户端-服务器文件流量和群集内数据构造使用的 SMB 3.1.1 协议现在支持 AES-256-GCM 和 AES-256-CCM 加密套件。 该协议还继续支持更广泛的兼容 ES-128 套件。 在 SMB 安全增强功能中了解详细信息。
日志记录和监视
本地系统日志
默认情况下,将记录在 Azure Stack HCI 平台中执行的所有操作,以便跟踪在平台上执行哪些操作、时间和位置。 还包含由 Windows Defender 创建的日志和警报,以帮助防止、检测和尽量减少数据泄露的可能性和影响。 由于系统日志通常包含大量信息,因此大部分信息都与信息安全监视无关,因此需要确定要收集和利用哪些事件以实现安全监视目的。 Azure 监视功能有助于收集、存储、警报和分析这些日志。 参考 Azure Stack HCI 的安全基线了解详细信息。
本地活动日志
Azure Stack HCI 生命周期管理器为执行的任何行动计划创建和存储活动日志。 这些日志支持更深入的调查和合规性监视。
云活动日志
通过将群集注册到 Azure,可以使用 Azure Monitor 活动日志 来记录订阅层中每个资源上的操作,以确定对订阅中资源执行的任何写入操作(放置、发布或删除)的操作、用户和时间。
云标识日志
如果使用 Microsoft Entra ID 管理标识和访问平台,可以查看 Azure AD 报告中的日志,或将其与 Azure Monitor、Microsoft Sentinel 或其他 SIEM/监视工具集成,以便进行复杂的监视和分析用例。 如果使用 本地 Active Directory,请使用 Microsoft Defender for Identity 解决方案来使用本地 Active Directory信号来识别、检测和调查针对组织的高级威胁、泄露标识和恶意内部操作。
SIEM 集成
Microsoft Defender for Cloud 和 Microsoft Sentinel 本机与已启用 Arc 的 Azure Stack HCI 节点集成。 可以启用日志并将其载入 Microsoft Sentinel,后者提供安全信息事件管理(SIEM)和安全业务流程自动响应(SOAR)功能。 Microsoft Sentinel 与其他 Azure 云服务一样,符合许多成熟的安全标准,例如 HIPAA 和 HITRUST,这有助于完成认证过程。 此外,Azure Stack HCI 还提供本机 syslog 事件转发器,用于将系统事件发送到第三方 SIEM 解决方案。
Azure Stack HCI Insights
使用 Azure Stack HCI Insights 可以监视连接到 Azure 并注册到监视中的群集的运行状况、性能和使用情况信息。 在 Insights 配置期间,将创建数据收集规则,该规则指定要收集的数据。 此数据存储在 Log Analytics 工作区中,然后聚合、筛选和分析,以便使用 Azure 工作簿提供预生成的监视仪表板。 可以从 Azure Stack HCI 资源页或 Azure Monitor 查看单个群集或多个群集的监视数据。 通过 Insights 在 Monitor Azure Stack HCI 上了解详细信息。
Azure Stack HCI 指标
指标将受监视资源中的数值数据存储到时序数据库中。 可以使用 Azure Monitor 指标资源管理器 以交互方式分析指标数据库中的数据,并在一段时间内绘制多个指标的值图表。 使用指标,可以从指标值创建图表,并直观地关联趋势。
日志警报
若要实时指示问题,可以使用预先存在的示例日志查询(例如服务器 CPU、可用内存、可用卷容量等)为 Azure Stack HCI 系统设置警报。 有关详细信息,请参阅 为 Azure Stack HCI 系统设置警报。
指标警报
指标警报规则通过定期评估资源指标的条件来监视资源。 如果满足条件,则会触发警报。 指标时序是在一段时间内捕获的一系列指标值。 可以使用这些指标来创建警报规则。 详细了解如何在指标警报中创建 指标警报。
服务和设备警报
Azure Stack HCI 为连接、OS 更新、Azure 配置等提供基于服务的警报。 群集运行状况故障的基于设备的警报也可用。 还可以使用 PowerShell 或运行状况服务监视 Azure Stack HCI 群集及其基础组件。
防范恶意软件
Windows Defender 防病毒
Windows Defender 防病毒是一个实用工具应用程序,可强制实施实时系统扫描和定期扫描,以保护平台和工作负载免受病毒、恶意软件、间谍软件和其他威胁的攻击。 默认情况下,Microsoft Defender 防病毒在 Azure Stack HCI 上启用。 Microsoft 建议将Microsoft Defender 防病毒与 Azure Stack HCI 配合使用,而不是第三方防病毒和恶意软件检测软件和服务,因为它们可能会影响操作系统接收更新的能力。 在 Windows Server 上的Microsoft Defender 防病毒了解详细信息。
Windows Defender 应用程序控制
默认情况下,Azure Stack HCI 上启用了 Windows Defender 应用程序控制(WDAC),以控制允许哪些驱动程序和应用程序直接在每个服务器上运行,帮助防止恶意软件访问系统。 详细了解 Azure Stack HCI 中包含的基本策略,以及如何在管理适用于 Azure Stack HCI 的 Windows Defender 应用程序控制中创建补充策略。
Microsoft Defender for Cloud
具有 Endpoint Protection(通过服务器计划启用)的 Microsoft Defender for Cloud 提供具有高级威胁防护功能的安全态势管理解决方案。 它提供用于评估基础结构的安全状态、保护工作负载、引发安全警报以及遵循特定建议来修正攻击和解决未来威胁的工具。 它通过自动预配和保护 Azure 服务,在云中以高速方式执行所有这些服务,无需部署开销。 在 Microsoft Defender for Cloud 中了解详细信息。
备份和恢复
拉伸群集
Azure Stack HCI 提供通过拉伸集群对虚拟化工作负载进行灾难恢复的内置支持。 通过部署拉伸的 Azure Stack HCI 群集,可以同步副本 (replica)跨两个单独的本地位置对虚拟化工作负荷进行同步,并在它们之间自动故障转移。 使用 Hyper-V 实时迁移,可在无停机的情况下进行计划内站点故障转移。
Kubernetes 群集节点
如果使用 Azure Stack HCI 来托管基于容器的部署,平台可帮助你提高 Azure Kubernetes 部署固有的敏捷性和复原能力。 如果基础物理组件发生本地化故障,Azure Stack HCI 会管理充当 Kubernetes 群集节点的 VM 的自动故障转移。 此配置补充了内置在 Kubernetes 中的高可用性,它可以自动在相同的或其他 VM 上重启失败的容器。
Azure Site Recovery
此服务允许将本地 Azure Stack HCI VM 上运行的工作负荷副本 (replica)到云中,以便在发生事件、故障或存储介质丢失时可以还原信息系统。 与其他 Azure 云服务一样,Azure Site Recovery 有很长的安全证书记录,包括 HITRUST,可用于支持认证过程。 在 Azure Stack HCI 上使用 Azure Site Recovery 保护 VM 工作负荷的详细信息。
Microsoft Azure 备份服务器 (MABS)
使用此服务可以备份 Azure Stack HCI 虚拟机,并指定所需的频率和保留期。 可以使用 MABS 在整个环境中备份大部分资源,包括:
- Azure Stack HCI 主机的系统状态/裸机恢复 (BMR)
- 群集中具有本地或直接附加存储的来宾 VM
- 具有 CSV 存储的 Azure Stack HCI 群集上的来宾 VM
- VM 在群集中移动
在使用 Azure 备份 服务器备份 Azure Stack HCI 虚拟机时了解详细信息。