Az ISO 27001 Azure Blueprints Megosztott szolgáltatások tervmintájának áttekintése
Fontos
2026. július 11-én a Tervek (előzetes verzió) elavult. Migrálja a meglévő tervdefiníciókat és -hozzárendeléseket sablonspecifikációkba és üzembehelyezési vermekbe. A tervösszetevőket ARM JSON-sablonokká vagy Bicep-fájlokká kell konvertálni, amelyek az üzembehelyezési vermek meghatározására szolgálnak. Ha meg szeretné tudni, hogyan hozhat létre összetevőt ARM-erőforrásként, tekintse meg az alábbiakat:
Az ISO 27001 Megosztott szolgáltatások tervmintája megfelelő infrastruktúramintákat és szabályzatkorlátokat biztosít, amelyek segítenek az ISO 27001 igazolásában. E terv segítségével az ügyfelek olyan felhőalapú architektúrákat helyezhetnek üzembe, amelyek akkreditációs vagy megfelelőségi követelményekkel rendelkező alkalmazási helyzetekre kínálnak megoldást.
Az ISO 27001 App Service Environment/SQL Database-számításifeladat tervminta e minta kiegészítéseként szolgál.
Architektúra
Az ISO 27001 Megosztott szolgáltatások tervminta alapszintű infrastruktúrát helyez üzembe az Azure-ban, amelynek segítségével a szervezetek több, virtuális adatközponti (VDC) megközelítésen alapuló számítási feladatot üzemeltethetnek. A VDC referenciaarchitektúrák, automatizáló eszközök és bevonási modellek bevált együttese, amelyet a Microsoft legnagyobb vállalati ügyfelei használnak. A Megosztott szolgáltatások tervminta az alább látható, teljesen natív Azure VDC-környezeten alapul.
Ez a környezet több Azure-szolgáltatásból épül fel, és ISO 27001 szabványokon alapuló, biztonságos, teljes körűen monitorozott, vállalati használatra kész megosztottszolgáltatás-infrastruktúrát biztosít. A környezet összetevői:
- A feladatkörök vezérlősík szempontjából való elkülönítésére használható Azure-szerepkörök. Az infrastruktúra üzembe helyezését megelőzően a következő három szerepkör lett meghatározva:
- A NetOps szerepkör a hálózati környezet, például a tűzfalbeállítások, NSG-beállítások, útválasztás és egyéb hálózatkezelési funkciók kezeléséhez rendelkezik jogosultsággal
- A SecOps szerepkör az Azure Security Center kezeléséhez és üzembe helyezéséhez és Azure Policy-definíciók meghatározásához szükséges, illetve egyéb, biztonsághoz kapcsolódó jogosultságokkal is rendelkezik
- A SysOps szerepkör az egyéb működési jogosultságok mellett az Azure Policy-definíciók előfizetésen belüli meghatározásához, valamint a Log Analytics teljes környezetre kiterjedő kezeléséhez szükséges jogosultságokkal is rendelkezik
- A Log Analytics elsőként lesz üzembe helyezve az Azure-szolgáltatások közül. Ez biztosítja, hogy a biztonságos üzembe helyezés megkezdésétől fogva az összes művelet és szolgáltatás naplózása egyetlen központi helyen történjen
- Alhálózatokat támogató virtuális hálózat helyszíni adatközponthoz való csatlakozáshoz, bemeneti és kimeneti verem az internetkapcsolathoz, valamint NSG-ket és ASG-ket használó megosztott szolgáltatási alhálózat a teljes körű mikroszegmentáláshoz, amely a következőket foglalja magába:
- Felügyeleti célra használt jumpbox vagy bástyagazdagép, amely csak a bemeneti verem alhálózatán üzembe helyezett Azure-tűzfalon keresztül érhető el
- Az Azure Active Directory Domain Servicest (Azure AD DS) futtató két virtuális gép és a DNS csak a jumpboxon keresztül érhető el, és kizárólag úgy konfigurálható, hogy az AD-t VPN-en vagy ExpressRoute-kapcsolaton keresztül replikálja (ezt a terv nem helyezi üzembe)
- Az Azure Net Watcher és a standard DDoS Protection használata
- Az Azure Key Vault egy példánya, amely a megosztott szolgáltatások környezetében üzembe helyezett virtuális gépek titkos kulcsainak tárolására szolgál
A fentiek mindegyike teljesíti az Azure Architecture Center referenciaarchitektúrákkal foglalkozó részében közzétett, bevált módszerek követelményeit.
Megjegyzés
Az ISO 27001 Megosztott szolgáltatások infrastruktúra adja a számítási feladatok alapvető architektúráját. Ezen alapvető architektúrán kívül továbbra is üzembe kell helyezni számítási feladatokat.
További információért tekintse meg a virtuális adatközpont dokumentációját.
További lépések
Ezzel megismerte az ISO 27001 Megosztott szolgáltatások tervmintájának áttekintését és architektúráját. Következő lépésként tekintse meg az alábbi cikkeket, amelyek a vezérlőelem-leképezést és a minta üzembe helyezését ismertetik:
ISO 27001 Megosztott szolgáltatások terve – Vezérlőelem-leképezésISO 27001 Megosztott szolgáltatások terve – Üzembehelyezési lépések
További cikkek a tervekről és a használatukról:
- Tudnivalók a tervek életciklusáról.
- A statikus és dinamikus paraméterek használatának elsajátítása.
- A tervekkel kapcsolatos műveleti sorrend testreszabásának elsajátítása.
- A tervek erőforrás-zárolásának alkalmazásával kapcsolatos részletek.
- A meglévő hozzárendelések frissítésének elsajátítása.