適用於:Azure Local 2311.2 和更新版本
本文為組織提供指引,說明如何最有效率地遵循 HIPAA 合規性,適用於使用 Azure Local 建構的解決方案。
醫療保健合規性
1996年《健康保險可移植性與責任法》(HIPAA)和醫療保健標準,如經濟和臨床健康資訊技術(HITECH)和 健康資訊信任聯盟 (HITRUST)保護患者受保護健康資訊的機密性、完整性和可用性。 這些法規和標準可確保醫生辦公室、醫院和健康保險公司(“涵蓋實體”)等醫療保健組織適當地建立、接收、維護、傳輸或存取 PHI。 此外,其需求也會延伸到為涵蓋實體提供涉及受保護健康資訊(PHI)服務的商務夥伴。 Microsoft是提供 Azure Local 等資訊技術服務的商務夥伴範例,可協助醫療保健公司更有效率且安全地儲存和處理 PHI。 下列各節提供 Azure 本機功能如何協助組織符合這些需求的資訊。
共同責任
Microsoft客戶
作為受 HIPAA 法律約束的涵蓋實體,醫療保健組織會獨立分析其獨特的技術環境和使用案例,然後規劃和實作符合法規需求的原則和程式。 涵蓋的實體負責確保其技術解決方案的合規性。 本文中的指引和其他Microsoft所提供的資源可用來做為參考。
微軟
根據 HIPAA 法規,商務夥伴不會保證 HIPAA 合規性,而是改為與涵蓋實體簽訂商務夥伴合約 (BAA)。 Microsoft 提供 HIPAA BAA 作為其 Microsoft 產品條款的一部分(原稱線上服務條款),供所有根據 HIPAA 被認定的機構或業務夥伴客戶使用範疇內的 Azure 服務。
Azure 合規性地域方案
Azure Local 是一種混合式解決方案,可裝載和儲存 Azure 雲端和內部部署數據中心上的虛擬化工作負載。 這表示必須在雲端和本機數據中心滿足 HIPAA 需求。
Azure 雲端服務
由於 HIPAA 立法是針對醫療保健公司所設計,因此無法認證 Azure Microsoft 等雲端服務。 不過,Azure 和 Azure 本機連線的雲端服務符合其他已建立的安全性架構和標準,這些架構和標準相當於或比 HIPAA 和 HITECH 更嚴格。 深入瞭解 Azure 和 HIPAA 醫療保健產業的 Azure 合規性計劃。
內部部署環境
作為混合式解決方案,Azure Local 會將 Azure 雲端服務與客戶組織裝載於內部部署的作業系統和基礎結構結合在一起。 Microsoft提供一系列功能,可協助組織滿足 HIPAA 和其他醫療保健業界標準的合規性,同時在雲端和內部部署環境中。
與 HIPAA 安全性規則相關的 Azure 本機功能
本節概述 Azure 本地的功能如何協助您達成 HIPAA 安全性規則的安全性控制目標,這些控制網域包括以下五個:
重要
下列各節提供著重於平台層的指引。 特定工作負載和應用層的資訊範圍不足。
身分識別與存取權管理
Azure Local 透過 Azure Arc 和 Windows PowerShell 等多個介面,提供基礎系統的完整和直接存取權。 您可以在本機環境中或雲端式解決方案中使用傳統 Windows 工具,例如 Microsoft Entra ID (先前稱為 Azure Active Directory)來管理身分識別和平臺存取權。 在這兩種情況下,您可以利用內建安全性功能,例如多重要素驗證 (MFA)、條件式存取、角色型訪問控制 (RBAC)和特殊許可權身分識別管理 (PIM),以確保您的環境安全且符合規範。
若要深入瞭解本機身分識別和存取管理,請參閱 Microsoft Identity Manager 和 Active Directory 網域服務的 Privileged Access Management。 在 entra ID Microsoft深入了解雲端式身分識別和存取管理。
資料保護
使用 BitLocker 加密數據
在 Azure 本機執行個體上,所有靜止資料都可以透過 BitLocker 的 XTS-AES 256 位加密進行加密。 根據預設,系統會建議您啟用 BitLocker,在您的 Azure 本機部署中加密所有作業系統 (OS) 磁碟區和叢集共用磁碟區 (CSV)。 針對部署之後新增的任何新記憶體磁碟區,您必須手動啟用 BitLocker 來加密新的記憶體磁碟區。 使用 BitLocker 來保護數據可協助組織遵守 ISO/IEC 27001 規範。 若要深入瞭解,請參閱搭配叢集共用磁碟區使用 BitLocker (CSV)。
使用 TLS/DTLS 保護外部網路流量
根據預設,所有對本機和遠端端點的主機通訊都會使用 TLS1.2、TLS1.3 和 DTLS 1.2 加密。 平臺會停用舊版通訊協定/哈希的使用,例如 TLS/DTLS 1.1 SMB1。 Azure Local 也支援強式加密套件,例如 SDL 相容的 橢圓曲線,僅限於 NIST 曲線 P-256 和 P-384。
使用伺服器訊息區(SMB)來保護內部網路流量
Azure 本機實例中的用戶端連線預設會啟用SMB簽署。 針對叢集內部流量,SMB 加密是組織在部署期間或之後啟用的選項,可在系統之間保護傳輸中的數據。 用戶端-伺服器檔案流量和叢集內部數據網狀架構所使用的SMB 3.1.1通訊協定現在支援 AES-256-GCM 和 AES-256-CCM 密碼編譯套件。 通訊協議也繼續支援更廣泛相容的ES-128套件。 深入瞭解 SMB安全性增強功能。
記錄和監視
本機系統記錄
根據預設,系統會記錄在 Azure Local 內執行的所有作業,以便追蹤在平台上執行哪些作業、時間和位置。 Windows Defender 所建立的記錄和警示也包含在內,以協助您防止、偵測及最小化數據洩露的可能性和影響。 由於系統記錄檔通常包含大量的資訊,因此大部分資訊都與資訊安全性監視無關,因此您必須識別要收集及利用哪些事件來進行安全性監視。 Azure 監視功能可協助收集、儲存、警示及分析這些記錄。 如需進一步瞭解,請參考 Azure 本機安全性基準。
本地活動日誌
Azure Local 會建立並儲存任何執行之行動計劃的活動記錄。 這些記錄支援更深入的調查和合規性監視。
雲端活動記錄
藉由向 Azure 註冊叢集,您可以使用 Azure 監視器活動記錄 來記錄訂用帳戶層上每個資源上的作業,以判斷在訂用帳戶中的資源上取得的任何寫入作業(放置、張貼或刪除)的用途、人員及時間。
雲端身分識別記錄
如果您使用 Microsoft Entra ID 來管理身分識別和存取平臺,您可以在 Azure AD 報告中 檢視記錄,或將它們與 Azure 監視器、Microsoft Sentinel 或其他 SIEM/監視工具整合,以取得複雜的監視和分析使用案例。 如果您使用內部部署的 Active Directory,請使用 Microsoft Defender 身分識別保護解決方案來擷取您內部部署的 Active Directory 訊號,以識別、偵測及調查先進威脅、遭侵入的身分識別,以及針對貴組織的內部惡意行為。
SIEM 整合
Microsoft Defender for Cloud 和 Microsoft Sentinel 已經與啟用 Arc 的伺服器原生整合。 您可以啟用記錄並將其上架至 Microsoft Sentinel,其提供安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 功能。 Microsoft Sentinel 與其他 Azure 雲端服務一樣,符合許多成熟的安全性標準,例如 HIPAA 和 HITRUST,可協助您進行認證程式。 此外,Azure Local 提供原生 syslog 事件轉寄站,以將系統事件傳送至第三方 SIEM 解決方案。
Azure Local Insights
Azure Local Insights 可讓您監視連線至 Azure 且已註冊監視之系統的健康情況、效能和使用方式資訊。 在深入解析設定期間,會建立數據收集規則,以指定要收集的數據。 此數據會儲存在Log Analytics工作區中,然後匯總、篩選和分析,以使用 Azure 活頁簿提供預先建置的監視儀錶板。 您可以從 Azure 本機資源頁面或 Azure 監視器,檢視單一節點或多節點系統的監視數據。 在 Monitor Azure Local with Insights 中進一步了解。
Azure 本地度量
計量會將受監視資源的數值數據儲存到時間序列資料庫中。 您可以使用 Azure Monitor 指標瀏覽器,以互動方式分析您的指標資料庫中的數據,並隨時間圖表化多個指標的值。 透過計量,您可以從計量值建立圖表,並以可視化方式將趨勢相互關聯。
日誌警報
若要即時指出問題,您可以使用預先存在的範例記錄查詢來設定 Azure 本機系統的警示,例如平均伺服器 CPU、可用的記憶體、可用的磁碟區容量等等。 如需詳細資訊,請參閱 設定 Azure 本機系統的警示。
指標警示
計量警示規則會定期評估資源計量的條件,以監視資源。 如果符合條件,即會引發警示。 計量時間序列是一段時間內所擷取的一系列計量值。 您可以使用這些計量來建立警示規則。 深入瞭解如何在 計量警示中建立計量警示。
服務和裝置警示
Azure Local 提供針對連線、作業系統更新、Azure 設定等的基於服務的警示。 叢集健康狀況故障的裝置型警示也可供使用。 您也可以使用 PowerShell 或 Health Service 來監視 Azure 本機實例及其基礎元件。
防範惡意代碼
Windows Defender 防毒軟體
Windows Defender 防病毒軟體是一種公用程式應用程式,可強制執行即時系統掃描和定期掃描,以保護平臺和工作負載免於病毒、惡意代碼、間諜軟體和其他威脅。 根據預設,Azure 本機環境會啟用 Microsoft Defender 防病毒。 Microsoft建議搭配 Azure 本機使用 Microsoft Defender 防毒軟體,而不是第三方防毒和惡意代碼偵測軟體和服務,因為它們可能會影響操作系統接收更新的能力。 若要深入瞭解 ,請參閱 Windows Server 上的 Microsoft Defender 防病毒軟體。
應用程控
根據預設,在 Azure 本機上啟用應用程控,以控制允許在每部伺服器上直接執行哪些驅動程式和應用程式,協助防止惡意代碼存取系統。 深入瞭解 Azure 本機中包含的基底原則,以及如何在 管理 Azure 本機應用程控中建立補充原則。
適用於雲端的 Microsoft Defender
Microsoft Defender for Cloud 搭配 Endpoint Protection(透過 適用於伺服器的 Defender 方案啟用)提供進階威脅防護功能的安全性狀態管理解決方案。 它提供您工具來評估基礎結構的安全性狀態、保護工作負載、引發安全性警示,並遵循特定建議來補救攻擊並解決未來的威脅。 它會透過使用 Azure 服務的自動布建和保護,以高速方式在雲端中執行所有這些服務,而不需要部署額外負荷。 若要深入瞭解 Microsoft Defender for Cloud,請參閱。
備份及復原
延展式叢集
Azure Local 提供內建支援,透過延展叢集功能實現虛擬化工作負載的災害復原(在 Azure Local 版本 22H2 中可用)。 藉由部署延展式 Azure 本機實例,您可以將其虛擬化工作負載同步地複製到兩個不同的內部部署位置,並在兩者之間自動進行故障轉移。 使用 Hyper-V 即時移轉,計劃性站點故障轉移可在無停機下進行。
Kubernetes 叢集節點
如果您使用 Azure Local 來裝載容器型部署,平台可協助您增強 Azure Kubernetes 部署所固有的靈活性和韌性。 如果基礎實體元件發生區域性失敗,Azure Local 會管理作為 Kubernetes 叢集節點的 VM 自動故障轉移。 此設定可以補充 Kubernetes 內建的高可用性,在相同或另一部 VM 上自動重新啟動失敗的容器。
Azure Site Recovery(Azure 網站復原)
此服務可讓您將內部部署 Azure 本機 VM 上執行的工作負載復寫至雲端,以便在發生事件、失敗或遺失記憶體媒體時還原信息系統。 與其他 Azure 雲端服務一樣,Azure Site Recovery 有很長的安全性憑證記錄,包括 HITRUST,可用來支援您的認證程式。 若要深入瞭解,請參閱使用 Azure 本機上的 Azure Site Recovery 保護 VM 工作負載。
Microsoft Azure 備份伺服器 (MABS)
此服務可讓您備份 Azure 本機虛擬機,並指定所需的頻率和保留期間。 您可以使用 MABS 在整個環境中備份大部分的資源,包括:
- Azure 本機主機的系統狀態/裸機復原(BMR)
- 在具有本地或直接連接存儲的系統中的客體 VM
- 具有 CSV 記憶體的 Azure 本機實例上的客體 VM
- VM 在集群中移動
若要深入瞭解,請參閱 使用 Azure 備份伺服器備份 Azure 本機虛擬機。