Руководство по защите доступа
Идентификатор Microsoft Entra соответствует требованиям, связанным с удостоверениями, для реализации мер по переносимости медицинского страхования и подотчетности 1996 года (HIPAA). Чтобы быть совместимым с HIPAA, реализуйте меры безопасности, используя это руководство. Может потребоваться изменить другие конфигурации или процессы.
Чтобы понять защиту идентификации пользователей, рекомендуем изучить и задать цели, которые позволяют:
Убедитесь, что идентификаторы уникальны для всех, кто должен подключиться к домену.
Установите процесс Joiner, Mover и Leaver (JML).
Включение аудита для отслеживания удостоверений.
Для авторизованной защиты контроль доступа задайте следующие цели:
Доступ к системе ограничен авторизованными пользователями.
Идентифицируются авторизованные пользователи.
Доступ к личным данным ограничен авторизованными пользователями.
Для защиты процедуры аварийного доступа:
Обеспечение высокого уровня доступности основных служб.
Устранение отдельных точек сбоя.
Создайте план аварийного восстановления.
Убедитесь, что резервные копии данных с высоким риском.
Создание и обслуживание учетных записей аварийного доступа.
Для защиты автоматического выхода:
Установите процедуру, которая завершает электронный сеанс после предопределенного времени бездействия.
Настройте и реализуйте политику автоматического выхода.
Уникальная идентификация пользователя
В следующей таблице содержатся средства контроля доступа из руководства HIPAA для уникальной идентификации пользователей. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — уникальная идентификация пользователей
Assign a unique name and/or number for identifying and tracking user identity.
Рекомендация | Действие |
---|---|
Настройка гибридной среды для использования идентификатора Microsoft Entra | Microsoft Entra Connect интегрирует локальные каталоги с идентификатором Microsoft Entra, поддерживая использование отдельных удостоверений для доступа к локальным приложениям и облачным службам, таким как Microsoft 365. Он управляет синхронизацией между Active Directory (AD) и идентификатором Microsoft Entra. Чтобы приступить к работе с Microsoft Entra Connect, просмотрите предварительные требования, запишите требования к серверу и как подготовить клиент Microsoft Entra для управления. Синхронизация Microsoft Entra Connect — это агент подготовки, управляемый в облаке. Агент подготовки поддерживает синхронизацию с идентификатором Microsoft Entra из разъединяемой среды AD с несколькими лесами. Упрощенные агенты устанавливаются и могут использоваться с Microsoft Entra Connect. Мы рекомендуем использовать синхронизацию хэша паролей, чтобы сократить количество паролей и защититься от обнаружения утечки учетных данных. |
Подготовка учетных записей пользователей | Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом, которая обеспечивает единый вход, многофакторную проверку подлинности и условный доступ для защиты от атак безопасности. Чтобы создать учетную запись пользователя, войдите в Центр администрирования Microsoft Entra в качестве администратора пользователя и создайте новую учетную запись, перейдя к всем пользователям в меню. Идентификатор Microsoft Entra предоставляет поддержку автоматической подготовки пользователей для систем и приложений. К ним относятся создание, обновление и удаление учетной записи пользователя. Автоматическая подготовка создает новые учетные записи в правильных системах для новых людей, когда они присоединяются к команде в организации, и автоматическая отмена подготовки деактивирует учетные записи при выходе из команды. Настройте подготовку, перейдя в Центр администрирования Microsoft Entra и выбрав корпоративные приложения для добавления параметров приложения и управления ими. |
Подготовка на основе кадров | Интеграция подготовки учетной записи Microsoft Entra в системе управления персоналом снижает риск чрезмерного доступа и доступа больше не требуется. Система управления персоналом становится начальной версией для вновь созданных учетных записей, расширяя возможности для отмены подготовки учетных записей. Автоматизация управляет жизненным циклом удостоверений и снижает риск чрезмерной подготовки. Этот подход следует рекомендациям по обеспечению минимального доступа к привилегиям. |
Создание рабочих процессов жизненного цикла | Рабочие процессы жизненного цикла обеспечивают управление удостоверениями для автоматизации жизненного цикла соединения, перемещения или выхода (JML). Рабочие процессы жизненного цикла централизуют процесс рабочего процесса с помощью встроенных шаблонов или создания собственных пользовательских рабочих процессов. Эта практика помогает уменьшить или удалить задачи вручную для требований стратегии JML организации. В портал Azure перейдите в меню "Управление удостоверениями" в меню "Запись Майкрософт", чтобы просмотреть или настроить задачи, соответствующие требованиям организации. |
Управление привилегированными удостоверениями | Microsoft Entra управление привилегированными пользователями (PIM) обеспечивает управление, управление и возможность мониторинга доступа. Вы предоставляете доступ, если это необходимо, при активации роли на основе времени и утверждения. Этот подход ограничивает риск чрезмерного, ненужного или неправильного доступа. |
Мониторинг и оповещение | Защита идентификации Microsoft Entra предоставляет консолидированное представление о событиях риска и потенциальных уязвимостях, которые могут повлиять на удостоверения организации. Включение защиты применяет существующие возможности обнаружения аномалий Microsoft Entra и предоставляет типы событий риска, которые обнаруживают аномалии в режиме реального времени. С помощью Центра администрирования Microsoft Entra можно выполнить вход, аудит и просмотр журналов подготовки. Журналы можно скачать, архивировать и передавать в средство управления сведениями безопасности и событиями (SIEM). Журналы Microsoft Entra можно найти в разделе мониторинга меню Microsoft Entra. Журналы также можно отправлять в Azure Monitor с помощью рабочей области Azure Log Analytics, где можно настроить оповещения о подключенных данных. Идентификатор Microsoft Entra уникально идентифицирует пользователей с помощью свойства ID в соответствующем объекте каталога. Этот подход позволяет фильтровать определенные удостоверения в файлах журнала. |
Авторизованный контроль доступа
В следующей таблице приведены рекомендации HIPAA по обеспечению защиты доступа для авторизованного контроля доступа. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — авторизованный контроль доступа
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Рекомендация | Действие |
---|---|
Включение многофакторной проверки подлинности (MFA) | MFA в идентификаторе Microsoft Entra защищает удостоверения, добавив еще один уровень безопасности. Проверка подлинности дополнительного уровня эффективна при предотвращении несанкционированного доступа. Использование подхода MFA позволяет требовать больше проверки учетных данных входа во время процесса проверки подлинности. Примеры включают настройку приложения Authenticator для проверки подлинности одним щелчком мыши или включение проверки подлинности без пароля. |
Включение политик условного доступа | Политики условного доступа помогают организациям ограничить доступ к утвержденным приложениям. Microsoft Entra анализирует сигналы от пользователя, устройства или расположения для автоматизации решений и применения политик организации для доступа к ресурсам и данным. |
Включение управления доступом на основе ролей (RBAC) | RBAC обеспечивает безопасность на корпоративном уровне с понятием разделения обязанностей. RBAC позволяет настраивать и просматривать разрешения для защиты конфиденциальности, конфиденциальности и управления доступом к ресурсам и конфиденциальным данным вместе с системами. Идентификатор Microsoft Entra предоставляет поддержку встроенных ролей, который является фиксированным набором разрешений, которые нельзя изменить. Вы также можете создать собственные пользовательские роли, где можно добавить список предустановок . |
Включение управления доступом на основе атрибутов (ABAC) | ABAC определяет доступ на основе атрибутов, связанных с принципами безопасности, ресурсами и средой. Он обеспечивает точное управление доступом и уменьшает количество назначений ролей. Использование ABAC можно ограничить содержимым в выделенном хранилище Azure. |
Настройка доступа к группам пользователей в SharePoint | Группы SharePoint — это коллекция пользователей. Разрешения относятся к уровню семейства веб-сайтов для доступа к содержимому. Применение этого ограничения можно ограничить учетными записями служб, для которых требуется доступ к потоку данных между приложениями. |
Процедура аварийного доступа
В следующей таблице представлены средства контроля доступа HIPAA для процедур аварийного доступа. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — процедура аварийного доступа
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
Рекомендация | Действие |
---|---|
Использование служб восстановления Azure | Azure Backups обеспечивает поддержку, необходимую для резервного копирования жизненно важных и конфиденциальных данных. Покрытие включает хранилище и базы данных и облачную инфраструктуру, а также локальные устройства windows в облако. Установите политики резервного копирования для решения рисков резервного копирования и восстановления. Убедитесь, что данные хранятся безопасно и могут быть получены с минимальным временем простоя. Azure Site Recovery обеспечивает репликацию практически постоянных данных, чтобы убедиться, что копии синхронизированы. Начальные шаги перед настройкой службы — определить цель точки восстановления (RPO) и целевое время восстановления (RTO) для поддержки требований организации. |
Обеспечение устойчивости | Устойчивость помогает поддерживать уровни обслуживания при нарушении бизнес-операций и основных ИТ-служб. Возможности охватывают службы, данные, идентификатор Microsoft Entra и рекомендации по Active Directory. Определение стратегического плана устойчивости для включения систем и данных, основанных на Microsoft Entra и гибридных средах. Устойчивость Microsoft 365, охватывающая основные службы, включая Exchange, SharePoint и OneDrive для защиты от повреждения данных и применения точек данных устойчивости для защиты содержимого ePHI. |
Создание учетных записей разбиения | Создание аварийной ситуации или учетной записи разбиения гарантирует, что система и службы по-прежнему могут быть доступны в непредвиденных обстоятельствах, таких как сбои сети или другие причины потери административного доступа. Рекомендуется не связать эту учетную запись с отдельным пользователем или учетной записью. |
Безопасность рабочей станции — автоматический выход
В следующей таблице приведены рекомендации HIPAA по автоматической защите от выхода. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — автоматический выход
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
Рекомендация | Действие |
---|---|
Создание групповой политики | Поддержка устройств, не перенесенных в идентификатор Microsoft Entra и управляемых Intune, групповая политика (GPO) может принудительно применять выход или время блокировки для устройств в AD или в гибридных средах. |
Оценка требований к управлению устройствами | Microsoft Intune обеспечивает управление мобильными устройствами (MDM) и управление мобильными приложениями (MAM). Он обеспечивает контроль над корпоративными и личными устройствами. Вы можете управлять использованием устройств и применять политики для управления мобильными приложениями. |
Политика условного доступа устройства | Реализуйте блокировку устройства с помощью политики условного доступа, чтобы ограничить доступ к соответствующим устройствам или гибридным устройствам, присоединенным к Microsoft Entra. Настройка параметров политики. Для неуправляемых устройств настройте параметр частоты входа, чтобы принудить пользователей повторно выполнить проверку подлинности. |
Настройка времени ожидания сеанса для Microsoft 365 | Просмотрите время ожидания сеанса для приложений и служб Microsoft 365, чтобы изменить любое длительное время ожидания. |
Настройка времени ожидания сеанса для портал Azure | Просмотрите время ожидания сеанса для сеанса портал Azure, реализуя время ожидания из-за неактивности, которое помогает защитить ресурсы от несанкционированного доступа. |
Просмотр сеансов доступа к приложениям | Политики оценки непрерывного доступа могут запретить или предоставить доступ к приложениям. Если вход выполнен успешно, пользователь получает маркер доступа, действительный в течение одного (1) часа. После истечения срока действия маркера доступа клиент направляется обратно в идентификатор Microsoft Entra, условия переоценены, а маркер обновляется еще один час. |