HIPAA HITRUST 9.2 藍圖範例

HIPAA HITRUST 9.2 藍圖範例提供使用 Azure 原則 的治理護欄,可協助您評估特定 HIPAA HITRUST 9.2 控制項。 此藍圖可協助客戶針對任何必須實作 HIPAA HITRUST 9.2 控制項的已部署 Azure 架構,部署一組核心原則。

控制項對應

Azure 原則控制項對應提供此藍圖中所包含原則定義的相關詳細資料,以及這些原則定義如何對應至 HIPAA HITRUST 9.2 中的 合規性網域控制項。 將資源指派給架構時,Azure 原則會評估不符合已指派原則定義的資源。 如需詳細資訊,請參閱 Azure 原則

部署

若要部署 Azure 藍圖 HIPAA HITRUST 9.2 藍圖範例,您必須採取下列步驟:

  • 從範例建立新的藍圖
  • 將您的範例複本標記為 已發佈
  • 將您的藍圖複本指派給現有的訂用帳戶

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

從範例建立藍圖

首先,若要實作藍圖範例,請使用範例作為起點,在您的環境中建立新藍圖。

  1. 在左側窗格中選取 [所有服務]。 搜尋並選取 [藍圖]。

  2. 在左側的 [快速入門] 頁面上,選取 [建立藍圖] 下方的 [建立] 按鈕。

  3. 在 [其他範例] 下方尋找 HIPAA HITRUST 藍圖範例,然後選取 [使用此範例]。

  4. 輸入藍圖範例的 [基本資料]:

    • 藍圖名稱:為 HIPAA HITRUST 9.2 藍圖範例複本提供名稱。
    • 定義位置:使用省略符號,然後選取要作為範例複本儲存位置的管理群組。
  5. 在頁面頂端選取 [成品]索引標籤,或在頁面底部選取 [下一步:成品]

  6. 檢閱構成此藍圖範例的成品清單。 許多成品都具有我們稍後會定義的參數。 當您檢閱完藍圖範例時,請選取 [儲存草稿]。

發佈範例複本

您的環境中現已建立了藍圖範例複本。 該複本會以 草稿 模式建立,而且必須先 發佈,才能進行指派和部署。 您可以根據環境和需求來自訂藍圖範例複本,但是這樣的修改可能會使其與 HIPAA HITRUST 9.2 控制項不一致。

  1. 在左側窗格中選取 [所有服務] 。 搜尋並選取 [藍圖]。

  2. 選取左側的 [藍圖定義] 頁面。 使用篩選來尋找您的藍圖範例複本,然後將其選取。

  3. 選取頁面頂端的 [發佈藍圖]。 在右側的新窗格中,提供藍圖範例複本的 版本。 如果您稍後會進行修改,此屬性十分實用。 提供 [變更附註],例如「從 HIPAA HITRUST 9.2 藍圖範例發佈的第一版」。 然後選取頁面底部的 [發佈] 。

指派範例複本

成功 發佈 藍圖範例複本後,可以將藍圖定義指派給其所在管理群組中的訂用帳戶。 此步驟用於提供參數,以建立每個專屬的藍圖範例複本部署。

  1. 在左側窗格中選取 [所有服務]。 搜尋並選取 [藍圖]。

  2. 選取左側的 [藍圖定義] 頁面。 使用篩選來尋找您的藍圖範例複本,然後將其選取。

  3. 選取藍圖定義頁面頂端的 [指派藍圖]。

  4. 提供用於指派藍圖的參數值:

    • 基本概念

      • 訂用帳戶:在用來儲存藍圖範例複本的管理群組中,選取一或多個訂用帳戶。 如果您選取多個訂用帳戶,輸入的參數就會用來為每個訂用帳戶建立指派。
      • 指派名稱:名稱會根據藍圖名稱預先填入。 視需要變更,或保持原狀。
      • 位置:選取要在其中建立受控識別的區域。 Azure 藍圖會使用此受控識別來部署指派的藍圖之中的所有成品。 若要深入了解,請參閱適用於 Azure 資源的受控識別
      • 藍圖定義版本:挑選 已發佈 版本的藍圖範例複本。
    • 鎖定指派

      為您的環境選取藍圖鎖定設定。 如需詳細資訊,請參閱藍圖資源鎖定

    • 受控識別

      保留預設的 [系統指派] 受控識別選項。

    • 構件參數

      本節中定義的參數會套用至其定義所屬的成品。 這些參數是動態參數,因為定義於藍圖指派期間。 如需完整清單或成品參數及其說明,請參閱成品參數資料表

  5. 輸入所有參數後,選取頁面底部的 [指派]。 藍圖指派會隨即建立,並且開始部署成品。 部署需要大約一小時的時間。 若要檢查部署的狀態,請開啟藍圖指派。

警告

Azure 藍圖服務和內建藍圖範例皆是 免費 項目。 Azure 資源會依據產品計價。 請使用定價計算機來預估此藍圖範例所部署資源的執行成本。

成品參數資料表

下表提供藍圖成品參數的清單:

成品名稱 參數名稱 描述
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應限制透過網際網路面向端點存取 啟用或停用監視過於寬鬆的輸入 NSG 規則監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 帳戶:Guest 帳戶狀態 指定是否停用本機來賓帳戶。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在虛擬機器上啟用自適性應用程式控制 啟用或停用 Azure 資訊安全中心的應用程式允許清單監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 允許同時連線至網際網路或 Windows 網域 指定是否要防止電腦同時連線到網域式網路及非網域式網路。 值 0 允許同時連線,值 1 則會禁止。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 API 應用程式應該只能透過 HTTPS V2 存取 啟用或停用 API 應用程式 V2 中 HTTPS 使用情況的監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應用程式名稱 (支援萬用字元) 應安裝的應用程式名稱清單 (以分號分隔)。 例如:'Microsoft SQL Server 2014 (64 位元); Microsoft Visual Studio Code' 或 'Microsoft SQL Server 2014*' (符合任何以 'Microsoft SQL Server 2014' 開頭的應用程式)
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 稽核程序終止 指定是否要在程序結束時產生稽核事件。 建議用於監視重要程序的終止情況。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 稽核不受限制的儲存體帳戶網路存取 啟用或停用儲存體帳戶中的網路存取監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 稽核:當無法記錄安全性稽核時,系統立即關機 稽核系統是否會在無法記錄安全性事件時關閉。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 憑證指紋 應存在於受信任根憑證存放區 (Cert:\LocalMachine\Root) 中的憑證指紋分號分隔清單。 例如 THUMBPRINT1;THUMBPRINT2;THUMBPRINT3
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應啟用 Batch 帳戶中的診斷記錄 啟用或停用 Batch 帳戶中的診斷記錄監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應啟用事件中樞內的診斷記錄 啟用或停用事件中樞帳戶中的診斷記錄監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在搜尋服務中啟用診斷記錄 啟用或停用 Azure 搜尋服務中的診斷記錄監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在虛擬機器擴展集中啟用診斷記錄 啟用或停用 Service Fabric 診斷記錄的監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在虛擬機器上套用磁碟加密 啟用或停用 VM 磁碟加密的監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 啟用不安全的來賓登入 指定 SMB 用戶端是否要允許不安全的來賓登入 SMB 伺服器。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Just-In-Time 網路存取控制應套用在虛擬機器上 啟用或停用網路 Just-In-Time 存取的監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應關閉虛擬機器上的管理連接埠 啟用或停用虛擬機器上開放的管理連接埠監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在您訂用帳戶上具有寫入權限的帳戶上啟用 MFA 啟用或停用訂用帳戶中的帳戶 MFA 監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在您訂用帳戶上具有擁有者權限的帳戶上啟用 MFA 啟用或停用訂用帳戶中具擁有者權限帳戶的 MFA 監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 網路存取:可遠端存取的登錄路徑 指定無論 winreg 登錄機碼存取控制清單 (ACL) 中列有哪些使用者或群組,都可以透過網路存取的登錄路徑。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 網路存取:可遠端存取的登錄路徑與子路徑 指定無論 winreg 登錄機碼存取控制清單 (ACL) 中列有哪些使用者或群組,都可以透過網路存取的登錄路徑及子路徑。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 網路存取:可以匿名存取的共用 指定匿名使用者可存取哪些網路共用。 因為必須先驗證所有使用者,他們才能存取伺服器上的共用資源,所以此原則設定的預設設定作用很小。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 復原主控台:允許軟碟複製以及存取所有磁碟和所有資料夾 指定是否要允許使用修復主控台 SET 命令,以讓您可設定修復主控台環境變數。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應關閉 API 應用程式的遠端偵錯 啟用或停用監視 API 應用程式的遠端偵錯
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Web 應用程式的遠端偵錯應關閉 啟用或停用監視 Web 應用程式的遠端偵錯
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Batch 帳戶中的記錄所需保留期 (以天為單位) 需要的診斷記錄保留期,以天為單位
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Azure 搜尋服務中的記錄所需保留期 (以天為單位) 需要的診斷記錄保留期,以天為單位
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 事件中樞帳戶中的記錄所需保留期 (以天為單位) 需要的診斷記錄保留期,以天為單位
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 儲存體帳戶 (必須存在) 的資源群組名稱,會用來部署網路安全性群組的診斷設定。 將於其中建立儲存體帳戶的資源群組。 此資源群組必須已存在。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) 啟用或停用對未啟用 RBAC 之 Kubernetes 服務的監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 SQL 受控執行個體的 TDE 保護裝置應以您自己的金鑰加密 使用您自己的金鑰支援,啟用或停用透明資料加密 (TDE) 的監視。 具有自備金鑰支援的 TDE,能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 SQL 伺服器的 TDE 保護裝置應以您自己的金鑰加密 使用您自己的金鑰支援,啟用或停用透明資料加密 (TDE) 的監視。 具有自備金鑰支援的 TDE,能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 區域儲存體帳戶的儲存體帳戶前置詞,會用來部署網路安全性群組的診斷設定 此前置詞會與網路安全性群組位置結合,構成所建立的儲存體帳戶名稱。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在虛擬機器擴展集上安裝系統更新 啟用或停用虛擬機器擴展集系統更新報告
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應在虛擬機器擴展集上安裝系統更新 啟用或停用虛擬機器擴展集系統更新報告
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 關閉多點傳送名稱解析 指定是否啟用 LLMNR,這是透過單一子網路上本機子網路連結使用多點傳送傳輸的次要名稱解析通訊協定。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 虛擬機器應移轉到新的 Azure Resource Manager 資源 啟用或停用傳統計算 VM 的監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 應修復虛擬機器擴展集上安全性組態的弱點 啟用或停用虛擬機器擴展集 OS 弱點監視
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 弱點評量解決方案應修復弱點 啟用或停用弱點評定解決方案所進行的 VM 弱點偵測
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 SQL 受控執行個體上應啟用弱點評定 稽核未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (網域):套用本機防火牆規則 指定是否允許本機系統管理員建立本機防火牆規則,該規則會與群組原則針對網域設定檔設定的防火牆規則一起套用。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (網域):輸出連線的行為 針對不符合輸出防火牆規則的網域設定檔,指定其輸出連線的行為。 預設值為 0 表示允許連線,值為 1 則表示封鎖連線。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (網域):輸出連線的行為 針對不符合輸出防火牆規則的網域設定檔,指定其輸出連線的行為。 預設值為 0 表示允許連線,值為 1 則表示封鎖連線。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (網域):顯示通知 指定當禁止程式接收連入連線時,具有進階安全性的 Windows 防火牆是否顯示通知給使用者,適用於網域設定檔。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (網域):使用設定檔設定 指定具有進階安全性的 Windows 防火牆是否使用網域設定檔的設定來篩選網路流量。 如果選取 [關閉],[具有進階安全性的 Windows 防火牆] 則不會使用此設定檔的任何防火牆規則或連線安全性規則。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (私人):套用本機連線安全性規則 指定是否允許本機系統管理員建立連線安全性規則,該規則會與群組原則針對私人設定檔設定的連線安全性規則一起套用。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (私人):套用本機防火牆規則 指定是否允許本機系統管理員建立本機防火牆規則,該規則會與群組原則針對私人設定檔設定的防火牆規則一起套用。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (私人):輸出連線的行為 針對不符合輸出防火牆規則的私人設定檔,指定其輸出連線的行為。 預設值為 0 表示允許連線,值為 1 則表示封鎖連線。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (私人):顯示通知 指定當禁止程式接收連入連線時,具有進階安全性的 Windows 防火牆是否顯示通知給使用者,適用於私人設定檔。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (私人):使用設定檔設定 指定具有進階安全性的 Windows 防火牆是否使用私人設定檔的設定來篩選網路流量。 如果選取 [關閉],[具有進階安全性的 Windows 防火牆] 則不會使用此設定檔的任何防火牆規則或連線安全性規則。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (公用):套用本機連線安全性規則 指定是否允許本機系統管理員建立連線安全性規則,該規則會與群組原則針對公用設定檔設定的連線安全性規則一起套用。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (公用):套用本機防火牆規則 指定是否允許本機系統管理員建立本機防火牆規則,該規則會與群組原則針對公用設定檔設定的防火牆規則一起套用。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (公用):輸出連線的行為 針對不符合輸出防火牆規則的公用設定檔,指定其輸出連線的行為。 預設值為 0 表示允許連線,值為 1 則表示封鎖連線。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (公用):顯示通知 指定當禁止程式接收連入連線時,具有進階安全性的 Windows 防火牆是否顯示通知給使用者,適用於公用設定檔。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆 (公用):使用設定檔設定 指定具有進階安全性的 Windows 防火牆是否使用公用設定檔的設定來篩選網路流量。 如果選取 [關閉],[具有進階安全性的 Windows 防火牆] 則不會使用此設定檔的任何防火牆規則或連線安全性規則。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆:網域:允許單點傳播回應 指定具有進階安全性的 Windows 防火牆是否允許本機電腦接收傳給其連出多點傳送或廣播訊息的單點傳播回應; 適用於網域設定檔。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆:私人:允許單點傳播回應 指定具有進階安全性的 Windows 防火牆是否允許本機電腦接收傳給其連出多點傳送或廣播訊息的單點傳播回應; 適用於私人設定檔。
稽核 HITRUST/HIPAA 控制項,並部署特定的 VM 延伸模組,以支援稽核需求 Windows 防火牆:公用:允許單點傳播回應 指定具有進階安全性的 Windows 防火牆是否允許本機電腦接收傳給其連出多點傳送或廣播訊息的單點傳播回應; 適用於公用設定檔。

後續步驟

有關藍圖及其使用方式的其他文件: