Erişim denetimi koruma kılavuzu
Microsoft Entra ID, 1996 (HIPAA) güvenlik önlemlerinin Sağlık Sigortası Taşınabilirliği ve Sorumluluğu Yasası'nın uygulanmasına yönelik kimlikle ilgili uygulama gereksinimlerini karşılar. HIPAA uyumlu olmak için bu kılavuzu kullanarak korumaları uygulayın. Diğer yapılandırmaları veya işlemleri değiştirmeniz gerekebilir.
Kullanıcı Belirleme Kasa guard'ı anlamak için şunları yapmanızı sağlayan hedefleri araştırmanızı ve belirlemenizi öneririz:
Kimliklerin etki alanına bağlanması gereken herkese özel olduğundan emin olun.
Bir Joiner, Mover ve Leaver (JML) işlemi oluşturun.
Kimlik izleme için etkinleştirici denetimi.
Yetkili Erişim Denetimi Kasa guard için hedefleri şu şekilde ayarlayın:
Sistem erişimi yetkili kullanıcılarla sınırlıdır.
Yetkili kullanıcılar tanımlanır.
Kişisel verilere erişim yetkili kullanıcılarla sınırlıdır.
Acil Durum Erişim Prosedürü Kasa guard için:
Çekirdek hizmetlerin yüksek oranda kullanılabilir olduğundan emin olun.
Tek hata noktalarını ortadan kaldırın.
Olağanüstü durum kurtarma planı oluşturun.
Yüksek riskli verilerin yedeklerinden emin olun.
Acil durum erişim hesapları oluşturun ve koruyun.
Otomatik Oturum Kapatma Kasa guard için:
Önceden belirlenmiş bir etkinlik dışı kalma süresinden sonra elektronik oturumu sonlandıran bir yordam oluşturun.
Otomatik oturumu kapatma ilkesini yapılandırın ve uygulayın.
Benzersiz kullanıcı kimliği
Aşağıdaki tabloda benzersiz kullanıcı belirleme için HIPAA kılavuzundan erişim denetimi korumaları verilmiştir. Koruma uygulama gereksinimlerini karşılamak için Microsoft önerilerini bulun.
HIPAA koruması - benzersiz kullanıcı belirleme
Assign a unique name and/or number for identifying and tracking user identity.
| Öneri | Eylem |
|---|---|
| Microsoft Entra Id kullanmak için karma ayarlama | Microsoft Entra Bağlan, şirket içi dizinleri Microsoft Entra ID ile tümleştirerek şirket içi uygulamalara ve Microsoft 365 gibi bulut hizmetlerine erişmek için tek kimlik kullanımını destekler. Active Directory (AD) ile Microsoft Entra Id arasında eşitlemeyi düzenler. Microsoft Entra'yı kullanmaya başlamak için Bağlan önkoşulları gözden geçirin, sunucu gereksinimlerini ve Microsoft Entra kiracınızı yönetime nasıl hazırlaylayabileceğinizi not edin. Microsoft Entra Bağlan eşitlemesi, bulutta yönetilen bir sağlama aracısıdır. Sağlama aracısı, çok ormanlı bağlantısız bir AD ortamından Microsoft Entra Kimliği ile eşitlemeyi destekler. Basit aracılar yüklenir ve Microsoft Entra Bağlan ile kullanılabilir. Parola sayısını azaltmaya ve sızdırılan kimlik bilgisi algılamaya karşı korumaya yardımcı olması için Parola Karması Eşitleme'yi kullanmanızı öneririz. |
| Kullanıcı hesapları sağlama | Microsoft Entra ID , güvenlik saldırılarına karşı koruma sağlamak için çoklu oturum açma, çok faktörlü kimlik doğrulaması ve Koşullu Erişim sağlayan bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Kullanıcı hesabı oluşturmak için Microsoft Entra yönetim merkezinde Kullanıcı Yönetici olarak oturum açın ve menüde Tüm kullanıcılar'a giderek yeni bir hesap oluşturun. Microsoft Entra ID, sistemler ve uygulamalar için otomatik kullanıcı sağlama desteği sağlar. Özellikler arasında kullanıcı hesabı oluşturma, güncelleştirme ve silme yer alır. Otomatik sağlama, bir kuruluştaki ekibe katılan yeni kişiler için doğru sistemlerde yeni hesaplar oluşturur ve otomatik sağlamayı kaldırma, kişiler ekipten ayrıldığında hesapları devre dışı bırakır. Microsoft Entra yönetim merkezine gidip uygulama ayarlarını eklemek ve yönetmek için kurumsal uygulamaları seçerek sağlamayı yapılandırın. |
| İk temelli sağlama | Microsoft Entra hesabı sağlamanın bir İnsan Kaynakları (İk) sistemi içinde tümleştirilmesi, aşırı erişim ve erişimin artık gerekli olmaması riskini azaltır. İk sistemi, yeni oluşturulan hesaplar için yetki başlangıcı haline gelir ve bu da özellikleri hesap sağlamayı kaldırmaya genişletir. Otomasyon, kimlik yaşam döngüsünü yönetir ve fazla sağlama riskini azaltır. Bu yaklaşım, en az ayrıcalık erişimi sağlamanın en iyi güvenlik uygulamasını izler. |
| Yaşam döngüsü iş akışları oluşturma | Yaşam döngüsü iş akışları , birleştirme/taşıma/bırakma (JML) yaşam döngüsünü otomatikleştirmek için kimlik idaresi sağlar. Yaşam döngüsü iş akışları, yerleşik şablonları kullanarak veya kendi özel iş akışlarınızı oluşturarak iş akışı sürecini merkezileştirir. bu uygulama, kurumsal JML stratejisi gereksinimleri için el ile gerçekleştirilen görevleri azaltmaya veya kaldırmaya yardımcı olur. Kuruluş gereksinimlerinize uygun görevleri gözden geçirmek veya yapılandırmak için Azure portalında Microsoft Entra menüsünde Kimlik İdaresi'ne gidin. |
| Ayrıcalıklı kimlikleri yönetme | Microsoft Entra Privileged Identity Management (PIM), yönetimi, denetimi ve erişimi izleme olanağı sağlar. Zaman tabanlı ve onay tabanlı rol etkinleştirmesi için gerektiğinde erişim sağlarsınız. Bu yaklaşım aşırı, gereksiz veya hatalı erişim izinleri riskini sınırlar. |
| İzleme ve uyarı | Kimlik Koruması , bir kuruluşun kimliklerini etkileyebilecek risk olaylarına ve olası güvenlik açıklarına yönelik birleştirilmiş bir görünüm sağlar. Korumanın etkinleştirilmesi mevcut Microsoft Entra anomali algılama özelliklerini uygular ve anomalileri gerçek zamanlı olarak algılayan risk olay türleri sunar. Microsoft Entra yönetim merkezi aracılığıyla oturum açabilir, denetim yapabilir ve sağlama günlüklerini gözden geçirebilirsiniz. Günlükler indirilebilir, arşivlenebilir ve güvenlik bilgileri ve olay yönetimi (SIEM) aracınıza akışla aktarılabilir. Microsoft Entra günlükleri, Microsoft Entra menüsünün izleme bölümünde bulunabilir. Günlükler, bağlı verilerde uyarı ayarlayabileceğiniz bir Azure log analytics çalışma alanı kullanılarak Azure İzleyici'ye de gönderilebilir. Microsoft Entra Id, ilgili dizin nesnesinde ID özelliği aracılığıyla kullanıcıları benzersiz olarak tanımlar. Bu yaklaşım, günlük dosyalarındaki belirli kimlikleri filtrelemenizi sağlar. |
Yetkili erişim denetimi
Aşağıdaki tabloda, yetkili erişim denetimi için erişim denetimi korumalarına yönelik HIPAA kılavuzu verilmiştir. Koruma uygulama gereksinimlerini karşılamak için Microsoft önerilerini bulun.
HIPAA koruması - yetkili erişim denetimi
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
| Öneri | Eylem |
|---|---|
| Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirme | Microsoft Entra ID'deki MFA, başka bir güvenlik katmanı ekleyerek kimlikleri korur. Ek katman kimlik doğrulaması, yetkisiz erişimin önlenmesine yardımcı olur. MFA yaklaşımı kullanmak, kimlik doğrulama işlemi sırasında oturum açma kimlik bilgilerinin daha fazla doğrulanmasına ihtiyaç duymanızı sağlar. Tek tıklamayla doğrulama için Authenticator uygulamasını ayarlama veya parolasız kimlik doğrulamasını etkinleştirme örnekleri verilebilir. |
| Koşullu Erişim ilkelerini etkinleştirme | Koşullu Erişim ilkeleri, kuruluşların onaylı uygulamalara erişimi kısıtlamasına yardımcı olur. Microsoft Entra, kararları otomatikleştirmek ve kaynaklara ve verilere erişim için kuruluş ilkelerini zorunlu kılmak için kullanıcıdan, cihazdan veya konumdan gelen sinyalleri analiz eder. |
| Rol tabanlı erişim denetimini etkinleştirme (RBAC) | RBAC , görev ayrımı kavramıyla kurumsal düzeyde güvenlik sağlar. RBAC, sistemlerle birlikte kaynaklara ve hassas verilere yönelik gizlilik, gizlilik ve erişim yönetimini korumak için izinleri ayarlamanıza ve gözden geçirmenize olanak tanır. Microsoft Entra ID, değiştirilebilen sabit bir izin kümesi olan yerleşik roller için destek sağlar. Önceden ayarlanmış bir liste ekleyebileceğiniz kendi özel rollerinizi de oluşturabilirsiniz. |
| Öznitelik tabanlı erişim denetimini (ABAC) etkinleştirme | ABAC , güvenlik ilkeleri, kaynaklar ve ortamla ilişkili özniteliklere göre erişimi tanımlar. Ayrıntılı erişim denetimi sağlar ve rol atamalarının sayısını azaltır. ABAC'nin kullanımı, ayrılmış Azure depolama alanındaki içerik kapsamında olabilir. |
| SharePoint'te kullanıcı grupları erişimini yapılandırma | SharePoint grupları bir kullanıcı koleksiyonu. İzinlerin kapsamı, içeriğe erişim için site koleksiyonu düzeyine göre belirlenir. Bu kısıtlamanın uygulanması, uygulamalar arasında veri akışı erişimi gerektiren hizmet hesaplarının kapsamına eklenebilir. |
Acil durum erişim prosedürü
Aşağıdaki tabloda, acil durum erişim yordamları için HIPAA kılavuzu erişim denetimi korumaları verilmiştir. Koruma uygulama gereksinimlerini karşılamak için Microsoft önerilerini bulun.
HIPAA koruması - acil erişim prosedürü
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
| Öneri | Eylem |
|---|---|
| Azure Kurtarma Hizmetleri'ni kullanma | Azure Backup'lar , önemli ve hassas verileri yedeklemek için gereken desteği sağlar. Kapsam, depolama/veritabanları ve bulut altyapısının yanı sıra buluta şirket içi windows cihazları içerir. Yedekleme ve kurtarma işlemi risklerini ele almak için yedekleme ilkeleri oluşturun. Verilerin güvenli bir şekilde depolandığından ve en düşük kapalı kalma süresiyle alınabildiğinden emin olun. Azure Site Recovery, kopyalarının eşitlenmiş olduğundan emin olmak için neredeyse sabit veri çoğaltması sağlar. Hizmeti ayarlamadan önceki ilk adımlar, kuruluş gereksinimlerinizi desteklemek için kurtarma noktası hedefini (RPO) ve kurtarma süresi hedefini (RTO) belirlemektir. |
| Dayanıklılığı sağlama | Dayanıklılık , iş operasyonlarının ve temel BT hizmetlerinin kesintiye uğraması durumunda hizmet düzeylerinin korunmasına yardımcı olur. Bu özellik hizmetlere, verilere, Microsoft Entra Id'ye ve Active Directory ile ilgili dikkat edilmesi gereken noktalara yayılmıştır. Hangi sistemlerin ve verilerin Microsoft Entra ve karma ortamlara dayandırılıp güvenilmez olduğunu içerecek stratejik bir dayanıklılık planını belirleme. Microsoft 365 dayanıklılığı ; veri bozulmasına karşı koruma sağlamak ve ePHI içeriğini korumak için dayanıklılık veri noktaları uygulamak için Exchange, SharePoint ve OneDrive'ı içeren temel hizmetleri kapsar. |
| Cam kıran hesaplar oluşturma | Acil durum veya kırılan bir hesap oluşturmak, ağ hataları veya yönetim erişimi kaybının diğer nedenleri gibi öngörülemeyen durumlarda sisteme ve hizmetlere hala erişilmesini sağlar. Bu hesabı tek bir kullanıcı veya hesapla ilişkilendirmenizi öneririz. |
İş istasyonu güvenliği - otomatik kapatma
Aşağıdaki tabloda otomatik kapatma korumasıyla ilgili HIPAA yönergeleri verilmiştir. Koruma uygulama gereksinimlerini karşılamak için Microsoft önerilerini bulun.
HIPAA koruması - otomatik kapatma
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
| Öneri | Eylem |
|---|---|
| Grup ilkesi oluşturma | Microsoft Entra Id'ye geçirilmeyen ve Intune tarafından yönetilen cihazlar için destek, Grup İlkesi (GPO), AD'deki veya karma ortamlardaki cihazlar için oturumu kapatmayı veya ekran süresini kilitlemeyi zorunlu kılabilir. |
| Cihaz yönetimi gereksinimlerini değerlendirme | Microsoft Intune , mobil cihaz yönetimi (MDM) ve mobil uygulama yönetimi (MAM) sağlar. Şirket ve kişisel cihazlar üzerinde denetim sağlar. Cihaz kullanımını yönetebilir ve mobil uygulamaları denetlemek için ilkeler uygulayabilirsiniz. |
| Cihaz Koşullu Erişim ilkesi | Uyumlu veya Microsoft Entra karma katılmış cihazlara erişimi kısıtlamak için Koşullu Erişim ilkesi kullanarak cihaz kilidini uygulayın. İlke ayarlarını yapılandırın. Yönetilmeyen cihazlarda, kullanıcıları yeniden kimlik doğrulaması yapmaya zorlamak için Oturum Açma Sıklığı ayarını yapılandırın. |
| Microsoft 365 için oturum zaman aşımını yapılandırma | Uzun süren zaman aşımlarını değiştirmek için Microsoft 365 uygulamaları ve hizmetleri için oturum zaman aşımlarını gözden geçirin. |
| Azure portalı için oturum zaman aşımını yapılandırma | Azure portal oturumu için oturum zaman aşımlarını gözden geçirin; etkinlik dışı kalma nedeniyle zaman aşımı uygulayarak kaynakların yetkisiz erişime karşı korunmasına yardımcı olur. |
| Uygulama erişim oturumlarını gözden geçirme | Sürekli erişim değerlendirme ilkeleri uygulamalara erişimi reddedebilir veya verebilir. Oturum açma işlemi başarılı olursa, kullanıcıya bir (1) saat geçerli bir erişim belirteci verilir. Erişim belirtecinin süresi dolduktan sonra istemci Microsoft Entra Kimliği'ne geri yönlendirilir, koşullar yeniden değerlendirilir ve belirteç bir saat daha yenilenir. |
Daha fazla bilgi edinin
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin