Az ISO 27001 Azure Blueprints Megosztott szolgáltatások tervmintájának áttekintése

Az ISO 27001 Megosztott szolgáltatások tervmintája megfelelő infrastruktúramintákat és szabályzatkorlátokat biztosít, amelyek segítenek az ISO 27001 igazolásában. E terv segítségével az ügyfelek olyan felhőalapú architektúrákat helyezhetnek üzembe, amelyek akkreditációs vagy megfelelőségi követelményekkel rendelkező alkalmazási helyzetekre kínálnak megoldást.

Az ISO 27001 App Service Environment/SQL Database-számításifeladat tervminta e minta kiegészítéseként szolgál.

Architektúra

Az ISO 27001 Megosztott szolgáltatások tervminta alapszintű infrastruktúrát helyez üzembe az Azure-ban, amelynek segítségével a szervezetek több, virtuális adatközponti (VDC) megközelítésen alapuló számítási feladatot üzemeltethetnek. A VDC referenciaarchitektúrák, automatizáló eszközök és bevonási modellek bevált együttese, amelyet a Microsoft legnagyobb vállalati ügyfelei használnak. A Megosztott szolgáltatások tervminta az alább látható, teljesen natív Azure VDC-környezeten alapul.

Ez a környezet több Azure-szolgáltatásból épül fel, és ISO 27001 szabványokon alapuló, biztonságos, teljes körűen monitorozott, vállalati használatra kész megosztottszolgáltatás-infrastruktúrát biztosít. A környezet összetevői:

• A feladatkörök vezérlősík szempontjából való elkülönítésére használható Azure-szerepkörök. Az infrastruktúra üzembe helyezését megelőzően a következő három szerepkör lett meghatározva:
  • A NetOps szerepkör a hálózati környezet, például a tűzfalbeállítások, NSG-beállítások, útválasztás és egyéb hálózatkezelési funkciók kezeléséhez rendelkezik jogosultsággal
  • A SecOps szerepkör az Azure Security Center kezeléséhez és üzembe helyezéséhez és Azure Policy-definíciók meghatározásához szükséges, illetve egyéb, biztonsághoz kapcsolódó jogosultságokkal is rendelkezik
  • A SysOps szerepkör az egyéb működési jogosultságok mellett az Azure Policy-definíciók előfizetésen belüli meghatározásához, valamint a Log Analytics teljes környezetre kiterjedő kezeléséhez szükséges jogosultságokkal is rendelkezik
• A Log Analytics elsőként lesz üzembe helyezve az Azure-szolgáltatások közül. Ez biztosítja, hogy a biztonságos üzembe helyezés megkezdésétől fogva az összes művelet és szolgáltatás naplózása egyetlen központi helyen történjen
• Alhálózatokat támogató virtuális hálózat helyszíni adatközponthoz való csatlakozáshoz, bemeneti és kimeneti verem az internetkapcsolathoz, valamint NSG-ket és ASG-ket használó megosztott szolgáltatási alhálózat a teljes körű mikroszegmentáláshoz, amely a következőket foglalja magába:
  • Felügyeleti célra használt jumpbox vagy bástyagazdagép, amely csak a bemeneti verem alhálózatán üzembe helyezett Azure-tűzfalon keresztül érhető el
  • Az Azure Active Directory Domain Servicest (Azure AD DS) futtató két virtuális gép és a DNS csak a jumpboxon keresztül érhető el, és kizárólag úgy konfigurálható, hogy az AD-t VPN-en vagy ExpressRoute-kapcsolaton keresztül replikálja (ezt a terv nem helyezi üzembe)
  • Az Azure Net Watcher és a standard DDoS Protection használata
• Az Azure Key Vault egy példánya, amely a megosztott szolgáltatások környezetében üzembe helyezett virtuális gépek titkos kulcsainak tárolására szolgál

A fentiek mindegyike teljesíti az Azure Architecture Center referenciaarchitektúrákkal foglalkozó részében közzétett, bevált módszerek követelményeit.

További információért tekintse meg a virtuális adatközpont dokumentációját.

További lépések

Ezzel megismerte az ISO 27001 Megosztott szolgáltatások tervmintájának áttekintését és architektúráját. Következő lépésként tekintse meg az alábbi cikkeket, amelyek a vezérlőelem-leképezést és a minta üzembe helyezését ismertetik:

További cikkek a tervekről és a használatukról:

• Tudnivalók a tervek életciklusáról.
• A statikus és dinamikus paraméterek használatának elsajátítása.
• A tervekkel kapcsolatos műveleti sorrend testreszabásának elsajátítása.
• A tervek erőforrás-zárolásának alkalmazásával kapcsolatos részletek.
• A meglévő hozzárendelések frissítésének elsajátítása.