ISO 27001 共用服務藍圖範例概觀

ISO 27001 共用服務藍圖範例提供一組符合規範的基礎結構模式和原則防護措施，可協助您取得 ISO 27001 證明。 此藍圖可協助客戶部署雲端式架構，進而將解決方案提供給有認證或合規性需求的案例。

ISO 27001 App Service 環境/SQL Database 工作負載藍圖範例會延續此範例。

架構

ISO 27001 共用服務藍圖範例會在 Azure 中部署基礎結構，讓組織使用此結構來裝載多個以虛擬資料中心 (VDC) 方法為基礎的工作負載。 VDC 是經過實證的一組參考架構、自動化工具和業務開發模型，由 Microsoft 和其最大企業客戶所使用。 共用服務藍圖範例會以完全原生的 Azure VDC 環境為基礎，如下所示。

此環境包含數個 Azure 服務，用來提供以 ISO 27001 標準為基礎且完全受到監視的企業級安全共用服務基礎結構。 此環境包含：

• Azure 角色，以便從控制平面的角度來進行權責區分。 部署任何基礎結構之前，會定義三個角色：
  • NetOps 角色有權管理網路環境，包括防火牆設定、NSG 設定、路由及其他網路功能
  • SecOps 角色具有部署和管理 Azure 資訊安全中心和定義 Azure 原則定義的必要權限，以及其他與安全性相關的權限
  • SysOps 角色具有在訂用帳戶中定義 Azure 原則定義和為整個環境管理 Log Analytics 的必要權限，以及其他與作業相關的權限
• Log Analytics 會部署為第一個 Azure 服務，以確保當您開始進行安全部署時，所有動作和服務皆會記錄到中央位置
• 虛擬網路，其支援用於連接回內部部署資料中心的子網路、用於網際網路連線的輸入和輸出堆疊，以及為進行完整微型分割而使用 NSG 和 ASG 的共用服務子網路，包括：
  • 作為管理用途的 Jumpbox 或防禦主機，其只能透過輸入堆疊子網路中部署的 Azure 防火牆來存取
  • 執行 Azure Active Directory Domain Services (Azure AD DS) 和 DNS 的兩部虛擬機器，這兩部虛擬機器只能透過 Jumpbox 存取，而且可設定為只能透過 VPN 或 ExpressRoute 連線來複寫 AD (不是由藍圖所部署)
  • 使用 Azure 網路監看員與標準 DDoS 保護
• Azure Key Vault 執行個體，用來裝載共用服務環境中已部署 VM 所使用的祕密

所有這些項目皆遵循 Azure 架構中心 - 參考架構中所發佈且經過實證的做法。

如需詳細資訊，請參閱虛擬資料中心文件。

下一步

您已檢閱 ISO 27001 共用服務藍圖範例的概觀和架構。 接下來，請瀏覽下列文章，以深入了解控制項對應及部署此範例的方法：

有關藍圖及其使用方式的其他文件：

• 了解藍圖生命週期。
• 了解如何使用靜態與動態參數。
• 了解如何自訂藍圖排序順序。
• 了解如何使用藍圖資源鎖定。
• 了解如何更新現有的指派。