Přehled ukázky podrobného plánu ISO 27001: Sdílené služby

Ukázka podrobného plánu ISO 27001 Shared Services poskytuje sadu kompatibilních vzorů infrastruktury a ochranných mantinely zásad, které pomáhají při ověřování iso 27001. Tento podrobný plán pomáhá zákazníkům nasazovat cloudové architektury, které nabízejí řešení pro scénáře s požadavky na dodržování předpisů nebo akreditaci.

Ukázka podrobného plánu úlohy ISO 27001 App Service Environment/SQL Database je rozšířením této ukázky.

Architektura

Ukázka podrobného plánu ISO 27001: Sdílené služby nasazuje v Azure základní infrastrukturu, kterou organizace mohou využít k hostování více úloh na základě přístupu VDC (virtuální datové centrum). VDC je prověřená sada referenčních architektur, nástrojů pro automatizaci a modelů zapojení využívaných Microsoftem pro největší podnikové zákazníky. Ukázka podrobného plánu sdílených služeb je založená na plně nativním prostředí Azure VDC znázorněném níž.

Toto prostředí je tvořené několika službami Azure, které se využívají k zajištění zabezpečené a plně monitorované infrastruktury sdílených služeb na podnikové úrovni, která je založená na standardech ISO 27001. Toto prostředí tvoří:

• Role Azure využívané k oddělení povinností od roviny kontrol Před nasazením libovolné infrastruktury jsou definované tři role:
  • Role NetOps má oprávnění spravovat síťové prostředí, včetně nastavení brány firewall, nastavení NSG, směrování a dalších síťových funkcí
  • Role SecOps má nezbytná oprávnění k nasazení a správě služby Azure Security Center, definování definic Azure Policy a další oprávnění související se zabezpečením
  • Role SysOps má nezbytná oprávnění k definování definic Azure Policy v rámci předplatného, správě služby Log Analytics pro celé prostředí a další provozní práva
• Jako první služba Azure se nasadí Log Analytics, aby se zajistilo, že se všechny akce a služby připojují k centrálnímu umístění, a to od okamžiku, kdy vaše zabezpečené nasazení spustíte.
• Virtuální síť podporující podsítě pro možnosti připojení zpátky k místnímu datovému centru, zásobník příchozího a odchozího přenosu dat pro internetové připojení a podsíť sdílených služeb využívající skupiny zabezpečení sítě a skupiny zabezpečení aplikace pro kompletní mikrosegmentaci obsahující:
  • Jumpbox nebo hostitele typu bašta (bastion host) používaného pro účely správy, který je přístupný jenom přes službu Azure Firewall nasazenou v podsíti stacku příchozího přenosu dat
  • Dva virtuální počítače, na kterých běží Azure Active Directory Domain Services (Azure AD DS) a DNS, které jsou přístupné jenom přes tento jumpbox a které se dají nakonfigurovat jenom pro replikaci AD přes VPN nebo připojení ExpressRoute (nejsou nasazené v rámci podrobného plánu)
  • Použití Azure Net Watcheru a standardní ochrany před útoky DDoS
• Instance služby Azure Key Vault, která slouží k hostování tajných kódů používaných pro virtuální počítače nasazené v prostředí sdílených služeb

Všechny tyto prvky dodržují prověřené postupy publikované v článku zaměřeném na Centrum architektury Azure – referenční architektury.

Další informace najdete v dokumentaci k virtuálním datovým centrům.

Další kroky

Prošli jste si přehled a architekturu ukázky podrobného plánu ISO 27001: Sdílené služby. Jako další si projděte následující články, ve kterých se dozvíte víc o mapování kontrol a o postupu nasazení této ukázky:

Další články věnované podrobným plánům a postupu jejich využití:

• Další informace o životním cyklu podrobného plánu
• Principy použití statických a dynamických parametrů
• Další informace o přizpůsobení pořadí podrobných plánů
• Použití zamykání prostředků podrobného plánu
• Další informace o aktualizaci existujících přiřazení