Diğer koruma yönergeleri
Microsoft Entra ID, 1996 (HIPAA) güvenlik önlemlerinin Sağlık Sigortası Taşınabilirliği ve Sorumluluğu Yasası'nın uygulanmasına yönelik kimlikle ilgili uygulama gereksinimlerini karşılar. HIPAA uyumlu olmak için, bu kılavuzu ve gerekli diğer yapılandırmaları veya süreçleri kullanarak güvenlik önlemlerini uygulamak şirketlerin sorumluluğundadır. Bu makale, aşağıdaki üç denetim için HIPAA uyumluluğu elde etme yönergelerini içerir:
- Bütünlük Kasa koruması
- Kişi veya Varlık Kimlik Doğrulaması Kasa guard
- İletim Güvenliği Kasa guard
Bütünlük koruma kılavuzu
Microsoft Entra Id, HIPAA korumalarını uygulamak için kimlikle ilgili uygulama gereksinimlerini karşılar. HIPAA uyumlu olmak için, gerekli diğer yapılandırmalar veya süreçlerle birlikte bu kılavuzu kullanarak korumaları uygulayın.
Veri Değişikliği Kasa guard için:
Tüm cihazlarda dosyaları ve e-postaları koruyun.
Hassas verileri bulma ve sınıflandırma.
Hassas veya kişisel veriler içeren belgeleri ve e-postaları şifreleyin.
Aşağıdaki içerik, HIPAA'nın yönergelerini ve ardından Microsoft'un önerileri ve yönergelerini içeren bir tablo sağlar.
HIPAA - bütünlük
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Öneri | Eylem |
|---|---|
| Microsoft Purview Bilgi Koruması Etkinleştirme (IP) | İletilen depolama ve verileri kapsayan hassas verileri keşfedin, sınıflandırın, koruyun ve idare edin. Verilerinizi Microsoft Purview IP'sini kullanarak korumak, veri ortamını belirlemeye, çerçeveyi gözden geçirmeye ve verilerinizi tanımlamak ve korumak için etkin adımlar atmaya yardımcı olur. |
| Exchange Yerinde saklamayı yapılandırma | Exchange Online, eKeşif'i desteklemek için çeşitli ayarlar sağlar. Yerinde saklama , hangi öğelerin tutulması gerektiğine ilişkin belirli parametreleri kullanır. Karar matrisi anahtar sözcükleri, gönderenleri, makbuzları ve tarihleri temel alabilir. Microsoft Purview eKeşif çözümleri Microsoft Purview uyumluluk portalı bir parçasıdır ve tüm Microsoft 365 veri kaynaklarını kapsar. |
| Exchange Online'da Güvenli/Çok Amaçlı İnternet Posta uzantısını yapılandırma | S/MIME , dijital olarak imzalanmış ve şifrelenmiş iletiler göndermek için kullanılan bir protokoldür. Ortak ve özel anahtar olan asimetrik anahtar eşleştirmeyi temel alır. Exchange Online , e-posta içeriğinin ve gönderenin kimliğini doğrulayan imzaların şifrelenmesini ve korunmasını sağlar. |
| İzlemeyi ve günlüğe kaydetmeyi etkinleştirin. | Günlüğe kaydetme ve izleme , ortamın güvenliğini sağlamak için gereklidir. Bilgiler, araştırmaları desteklemek ve olağan dışı desenleri belirleyerek olası tehditleri algılamaya yardımcı olmak için kullanılır. Yetkisiz erişim riskini azaltmak için hizmetlerin günlüğe kaydedilmesini ve izlenmesini etkinleştirin. Microsoft Purview denetimi, Microsoft 365'teki hizmetler genelinde denetlenen etkinliklere görünürlük sağlar. Denetim günlüğü saklamayı artırarak araştırmalara yardımcı olur. |
Kişi veya varlık kimlik doğrulaması koruma kılavuzu
Microsoft Entra Id, HIPAA korumalarını uygulamak için kimlikle ilgili uygulama gereksinimlerini karşılar. HIPAA uyumlu olmak için, gerekli diğer yapılandırmalar veya süreçlerle birlikte bu kılavuzu kullanarak korumaları uygulayın.
Denetim ve Kişi ve Varlık Kasa koruması için:
Veri erişimi için son kullanıcı talebi geçerli olduğundan emin olun.
Depolanan veriler için riskleri belirleyin ve azaltın.
Aşağıdaki içerik, HIPAA'nın yönergelerini ve ardından Microsoft'un önerileri ve yönergelerini içeren bir tablo sağlar.
HIPAA - kişi veya varlık kimlik doğrulaması
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
EPHI verilerine erişen kullanıcıların ve cihazların yetkilendirildiğinden emin olun. Cihazların uyumlu olduğundan ve veri sahiplerine yönelik risklere bayrak eklemek için eylemlerin denetlendiğinden emin olmanız gerekir.
| Öneri | Eylem |
|---|---|
| Çok faktörlü kimlik doğrulamasını etkinleştirme | Microsoft Entra çok faktörlü kimlik doğrulaması , ek bir güvenlik katmanı ekleyerek kimlikleri korur. Ek katman, yetkisiz erişimi önlemenin etkili bir yolunu sağlar. MFA, kimlik doğrulama işlemi sırasında oturum açma kimlik bilgilerinin daha fazla doğrulanması gereksinimini etkinleştirir. Authenticator uygulamasının ayarlanması tek tıklamayla doğrulama sağlar veya Microsoft Entra parolasız yapılandırmasını yapılandırabilirsiniz. |
| Koşullu Erişim ilkelerini etkinleştirme | Koşullu Erişim ilkeleri, erişimi yalnızca onaylanan uygulamalarla kısıtlamaya yardımcı olur. Microsoft Entra, kararları otomatikleştirmek ve kaynaklara ve verilere erişim için kuruluş ilkelerini zorunlu kılmak için kullanıcıdan, cihazdan veya konumdan gelen sinyalleri analiz eder. |
| Cihaz tabanlı Koşullu Erişim İlkesi'ni ayarlama | Cihaz yönetimi ve Microsoft Entra ilkeleri için Microsoft Intune ile Koşullu Erişim, hizmetlerinize ve verilerinize reddetme erişimi vermek için cihaz durumunu kullanabilir. Cihaz uyumluluk ilkelerini dağıtarak, kaynaklara erişime izin verme veya reddetme kararlarını vermenin güvenlik gereksinimlerini karşılayıp karşılamadığını belirler. |
| Rol tabanlı erişim denetimini (RBAC) kullanma | Microsoft Entra Id'deki RBAC, görev ayrımı ile kurumsal düzeyde güvenlik sağlar. Sistemlerle birlikte kaynaklara ve hassas verilere yönelik gizlilik, gizlilik ve erişim yönetimini korumak için izinleri ayarlayın ve gözden geçirin. Microsoft Entra ID, değiştirilebilen sabit bir izin kümesi olan yerleşik roller için destek sağlar. Önceden ayarlanmış bir liste ekleyebileceğiniz kendi özel rollerinizi de oluşturabilirsiniz. |
İletim güvenliği koruma kılavuzu
Microsoft Entra Id, HIPAA korumalarını uygulamak için kimlikle ilgili uygulama gereksinimlerini karşılar. HIPAA uyumlu olmak için, gerekli diğer yapılandırmalar veya süreçlerle birlikte bu kılavuzu kullanarak korumaları uygulayın.
Şifreleme için:
Veri gizliliğini koruma.
Veri hırsızlığını önleyin.
PHI'ye yetkisiz erişimi engelleyin.
Verilerde şifreleme düzeyinden emin olun.
PHI verilerinin iletimini korumak için:
PHI verilerinin paylaşımını koruma.
PHI verilerine erişimi koruyun.
İletilen verilerin şifrelendiğinden emin olun.
Aşağıdaki içerik, HIPAA kılavuzundan Denetim ve İletim Güvenliği Kasa koruma kılavuzunun bir listesini ve Microsoft'un Microsoft Entra ID ile koruma uygulama gereksinimlerini karşılamanızı sağlayan önerilerini sağlar.
HIPAA - şifreleme
Implement a mechanism to encrypt and decrypt electronic protected health information.
ePHI verilerinin uyumlu şifreleme anahtarı/işlemiyle şifrelendiğinden ve şifresinin çözildiğinden emin olun.
| Öneri | Eylem |
|---|---|
| Microsoft 365 şifreleme noktalarını gözden geçirin | Microsoft 365'te Microsoft Purview ile şifreleme, fiziksel veri merkezi, güvenlik, ağ, erişim, uygulama ve veri güvenliği olmak üzere birden çok katmanda kapsamlı koruma sağlayan son derece güvenli bir ortamdır. Şifreleme listesini gözden geçirin ve daha fazla denetim gerekip gerekmediğini düzeltin. |
| Veritabanı şifrelemesini gözden geçirme | Saydam veri şifrelemesi bekleyen verilerin yetkisiz veya çevrimdışı erişime karşı korunmasına yardımcı olacak bir güvenlik katmanı ekler. AES şifrelemesini kullanarak veritabanını şifreler. Hassas veriler için dinamik veri maskeleme, hassas verilerin açığa çıkarmasını sınırlar. Verileri yetkisiz kullanıcılara maskeler. Maskeleme, veritabanı şema adında, tablo adında ve sütun adında tanımladığınız belirlenmiş alanları içerir. Yeni veritabanları varsayılan olarak şifrelenir ve veritabanı şifreleme anahtarı yerleşik bir sunucu sertifikasıyla korunur. Veri varlığında şifrelemenin ayarlandığından emin olmak için veritabanlarını gözden geçirmenizi öneririz. |
| Azure Şifreleme noktalarını gözden geçirme | Azure şifreleme özelliği , Azure Key Vault kullanılarak bekleyen veriler, şifreleme modelleri ve anahtar yönetimi gibi önemli alanları kapsar. Farklı şifreleme düzeylerini ve bunların kuruluşunuzdaki senaryolarla eşleşmesini gözden geçirin. |
| Veri toplama ve saklama idaresi değerlendirme | Microsoft Purview Veri Yaşam Döngüsü Yönetimi bekletme ilkeleri uygulamanızı sağlar. Microsoft Purview Kayıt Yönetimi bekletme etiketleri uygulamanızı sağlar. Bu strateji, tüm veri varlığındaki varlıklara görünürlük kazanmanıza yardımcı olur. Bu strateji bulutlar, uygulamalar ve uç noktalar genelinde hassas verileri korumanıza ve yönetmenize de yardımcı olur. Önemli: 45 CFR 164.316' da belirtildiği gibi: Süre sınırı (Gerekli). Bu bölümün paragrafının (b)(1) gerektirdiği belgeleri, oluşturma tarihinden itibaren altı yıl veya en son geçerlilik tarihi (hangisi daha sonraysa) saklayın. |
HIPAA - PHI verilerinin iletimini koruma
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
PHI verileri içeren veri alışverişlerini korumak için ilkeler ve yordamlar oluşturun.
| Öneri | Eylem |
|---|---|
| Şirket içi uygulamaların durumunu değerlendirme | Microsoft Entra uygulama ara sunucusu uygulaması, şirket içi web uygulamalarını harici ve güvenli bir şekilde yayımlar. Microsoft Entra uygulama ara sunucusu, Azure'da bir dış URL uç noktasını güvenli bir şekilde yayımlamanızı sağlar. |
| Çok faktörlü kimlik doğrulamasını etkinleştirme | Microsoft Entra çok faktörlü kimlik doğrulaması , bir güvenlik katmanı ekleyerek kimlikleri korur. Daha fazla güvenlik katmanı eklemek, yetkisiz erişimi önlemenin etkili bir yoludur. MFA, kimlik doğrulama işlemi sırasında oturum açma kimlik bilgilerinin daha fazla doğrulanması gereksinimini etkinleştirir. Authenticator uygulamasını tek tıklamayla doğrulama veya parolasız kimlik doğrulaması sağlayacak şekilde yapılandırabilirsiniz. |
| Uygulama erişimi için Koşullu Erişim ilkelerini etkinleştirme | Koşullu Erişim ilkeleri, onaylı uygulamalara erişimi kısıtlamaya yardımcı olur. Microsoft Entra, kararları otomatikleştirmek ve kaynaklara ve verilere erişim için kuruluş ilkelerini zorunlu kılmak için kullanıcıdan, cihazdan veya konumdan gelen sinyalleri analiz eder. |
| Exchange Online Protection (EOP) ilkelerini gözden geçirme | Exchange Online istenmeyen posta ve kötü amaçlı yazılım koruması yerleşik kötü amaçlı yazılım ve istenmeyen posta filtrelemesi sağlar. EOP gelen ve giden iletileri korur ve varsayılan olarak etkindir. EOP hizmetleri ayrıca kimlik sahtekarlığına karşı koruma, iletileri quarantining ve Outlook'ta iletileri raporlama olanağı sağlar. İlkeler şirket genelindeki ayarlara uyacak şekilde özelleştirilebilir; bunlar varsayılan ilkelerden önceliklidir. |
| Duyarlılık etiketlerini yapılandırma | Microsoft Purview'un duyarlılık etiketleri , kuruluş verilerinizi sınıflandırmanıza ve korumanıza olanak tanır. Etiketler, belgelerde kapsayıcılara koruma ayarları sağlar. Örneğin araç, gizlilik ayarlarını ayarlamak ve uygulamak için Microsoft Teams ve SharePoint sitelerinde depolanan belgeleri korur. ETIKETLERI SQL, Azure SQL, Azure Synapse, Azure Cosmos DB ve AWS RDS gibi dosyalara ve veri varlıklarına genişletin. Kullanıma sunulan 200 hassas bilgi türünün ötesinde, özel hassas türleri korumak için ad varlıkları, eğitilebilir sınıflandırıcılar ve EDM gibi gelişmiş sınıflandırıcılar vardır. |
| Hizmetlere bağlanmak için özel bağlantı gerekip gerekmediğini değerlendirme | Azure ExpressRoute , bulut tabanlı Azure veri merkezleriyle şirket içinde bulunan altyapı arasında özel bağlantılar oluşturur. Veriler genel İnternet üzerinden aktarılamaz. Hizmet katman 3 bağlantısını kullanır, kenar yönlendiricisini bağlar ve dinamik ölçeklenebilirlik sağlar. |
| VPN gereksinimlerini değerlendirme | VPN Gateway belgeleri siteden siteye, noktadan siteye, sanal ağdan sanal ağa ve çok siteli VPN bağlantısı aracılığıyla şirket içi ağı Azure'a bağlar. Hizmet, güvenli veri aktarımı sağlayarak karma çalışma ortamlarını destekler. |