Beveiliging in Microsoft Cloud voor de gezondheidszorg

  • Artikel
  • 4 minuten om te lezen

Microsoft Azure​, Microsoft Dynamics 365, Microsoft 365 en Microsoft Power Platform zijn op abonnementen gebaseerde online services die worden gehost door Microsoft Corporation in door Microsoft beheerde datacentra. Deze online services zijn ontworpen om prestaties, schaalbaarheid, beveiliging, beheermogelijkheden en serviceniveaus te bieden die vereist zijn voor bedrijfskritische applicaties en systemen die door bedrijfsorganisaties worden gebruikt.

Bij Microsoft is vertrouwen een centraal punt voor servicelevering, contractuele verplichtingen en brancheaccreditatie. Daarom hebben we het Trusted Cloud Initiative omarmd. Het Trusted Cloud Initiative is een programma van de branchegroep Cloud Security Alliance (CSA) dat is opgericht om cloudserviceproviders te helpen bij het ontwikkelen van door de industrie aanbevolen, veilige en interoperabele configuraties en praktijken voor identiteits-, toegangs- en nalevingsbeheer. Deze reeks vereisten, richtlijnen en gecontroleerde processen zorgt ervoor dat we onze cloudservices leveren met de hoogste normen op het gebied van technische, juridische en nalevingsondersteuning. Onze focus ligt op het handhaven van de gegevensintegriteit in de cloud, die wordt beheerst door de volgende drie (3) kernprincipes:

Veiligheid, privacy en naleving.

Bezoek het Trust Center voor meer informatie.

De benadering van Microsoft om de informatie van onze klanten te beveiligen, resulteert in een kader voor beveiligingscontrole van technologieën, operationele procedures en beleidsregels die voldoen aan de nieuwste wereldwijde normen en die zich snel kunnen aanpassen aan beveiligingstrends en branchespecifieke behoeften. Daarnaast bieden we een set door de klant beheerde hulpmiddelen die kunnen worden aangepast aan de organisatie en de beveiligingsbehoeften. Het Security & Compliance Center kan gebruikers- en beheerderactiviteiten, malwarebedreigingen, incidenten met gegevensverlies en meer volgen. Het Rapporten-dashboard wordt gebruikt voor up-to-date rapporten met betrekking tot de beveiligings- en nalevingsfuncties in de organisatie. Rapporten van Microsoft Azure Active Directory​ (Azure AD) kunnen worden gebruikt om op de hoogte te blijven van ongebruikelijke of verdachte inlogactiviteiten.

Ons beveiligingsbeleid definieert de informatiebeveiligingsregels en -vereisten voor de serviceomgeving. Microsoft voert periodiek ISMS-beoordelingen (Information Security Management System) uit en de resultaten worden beoordeeld met het management. Dit proces omvat het bewaken van de voortdurende effectiviteit en verbetering van de ISMS-controleomgeving door beveiligingskwesties, auditresultaten en de bewakingsstatus te beoordelen, en door de nodige corrigerende maatregelen te plannen en te volgen.

Deze bedieningselementen zijn onder meer:

  • Fysieke en logische netwerkgrenzen met strikt gehandhaafd wijzigingsbeleid
  • Scheiding van taken waarvoor een bedrijf toegang moet hebben tot een omgeving
  • Sterk beperkte fysieke en logische toegang tot de cloudomgeving
  • Strikte controles op basis van Security Development Lifecycle (SDL) en Operational Security Assurance (OSA) die coderingspraktijken, kwaliteitstesten en codepromotie definiëren
  • Voortdurende bewustmaking en training op het gebied van beveiliging, privacy en veilige coderingspraktijken
  • Continue logboekregistratie en audit van systeemtoegang
  • Regelmatige nalevingsaudits om de doeltreffendheid van de controle te waarborgen

Om opkomende en evoluerende bedreigingen te helpen bestrijden past Microsoft een innovatieve strategie toe die "een inbreuk veronderstelt". Ook worden zeer gespecialiseerde groepen beveiligingsexperts, bekend als het Red Team, om de detectie, respons en verdediging voor zakelijke cloudservices te versterken. Microsoft gebruikt Red Teaming en live sitetests met door Microsoft beheerde cloudinfrastructuur om inbreuken in de echte wereld te simuleren, continue beveiligingsmonitoring uit te voeren en reactie op beveiligingsincidenten te oefenen om de beveiliging van online services te valideren en te verbeteren.

Het beveiligingsteam voert regelmatig interne en externe scans uit om kwetsbaarheden te identificeren en de effectiviteit van het patchbeheerproces te beoordelen. Services worden gescand op bekende kwetsbaarheden, nieuwe services worden op basis van hun opnamedatum toegevoegd aan de volgende getimede driemaandelijkse scan en volgen daarna een driemaandelijks scanschema. Deze scans worden gebruikt om naleving van baseline configuratiesjablonen te garanderen, te controleren of relevante patches zijn geïnstalleerd en kwetsbaarheden te identificeren. De scanrapporten worden beoordeeld door geschikt personeel en er worden onmiddellijk herstelinspanningen uitgevoerd.

Alle ongebruikte I/O-poorten op edge-productieservers worden uitgeschakeld door configuraties op besturingssysteemniveau die zijn gedefinieerd in de basisbeveiligingsconfiguratie. Continue configuratieverificaties zijn ingeschakeld om afwijkingen in de configuraties op besturingssysteemniveau te detecteren. Bovendien zijn inbraakdetectieschakelaars ingeschakeld om fysieke toegang tot een server te detecteren.

Er zijn procedures vastgesteld voor het onderzoeken van en reageren op kwaadaardige gebeurtenissen die tijdig door het controlesysteem van Microsoft worden gedetecteerd.

Microsoft past de principes van scheiding van taken en minimale bevoegdheden toe bij alle activiteiten van Microsoft. Toegang tot klantgegevens door ondersteuningspersoneel van Microsoft vereist de uitdrukkelijke toestemming van de klant en wordt verleend op een "just-in-time"-basis die wordt geregistreerd en gecontroleerd, en vervolgens wordt ingetrokken na voltooiing van de opdracht. Binnen Microsoft gebruiken operations engineers en ondersteunend personeel die toegang hebben tot de productiesystemen versterkte werkstation-pc's met virtuele machines (VM's) die zijn ingericht voor interne bedrijfsnetwerktoegang en -toepassingen (zoals e-mail, intranet, enzovoort). Alle beheercomputers hebben Trusted Platform Modules (TPM's), de host-opstartschijven zijn gecodeerd met BitLocker en ze zijn toegevoegd aan een speciale organisatie-eenheid (OU) in het primaire Microsoft-bedrijfsdomein.

Systeemversterking wordt afgedwongen via Groepsbeleid, met gecentraliseerde software-updates. Voor controle en analyse worden gebeurtenislogboeken (zoals beveiliging en AppLocker) verzameld van beheerwerkstations en opgeslagen op een centrale locatie. Bovendien worden speciale jump-boxes op het Microsoft-netwerk gebruikt die tweeledige verificatie vereisen om verbinding te maken met het productienetwerk.

Microsoft richt zich op:

  1. Platformbeveiliging

    1. Infrastructuur en processen van onze datacenters.
    2. Sterke coderingstechnologieën (in rust en onderweg).

  2. Veilige toegang en delen

    1. Beperkte toegang tot informatie voor goedgekeurde personen, apparaten, apps, locaties en gegevensclassificatie.
    2. Afdwingen wie informatie kan delen en met wie.

  3. Bewustzijn en inzichten

    1. Volledig begrip van hoe individuen SharePoint en OneDrive gebruiken.
    2. Analyseer het gebruik om het investeringsrendement te meten.
    3. Identificeer mogelijk verdachte activiteit.

  4. Informatiebeheer

    1. Classificeer wat gevoelige gegevens zijn en dwing af hoe deze kunnen worden gebruikt.
    2. Bescherming in geval van geschillen.
    3. Bewaar bedrijfskritische bestanden wanneer mensen uw organisatie verlaten.

  5. Naleving en vertrouwen

    1. Zorg ervoor dat serviceactiviteiten veilig, compliant, betrouwbaar en transparant zijn.