Panoramica del progetto di esempio Servizi condivisi ISO 27001

L'esempio di progetto Servizi condivisi ISO 27001 fornisce un set di modelli di infrastruttura e protezioni dei criteri conformi che contribuiscono all'attestazione ISO 27001. Questo progetto consente ai clienti di distribuire architetture basate su cloud che offrono soluzioni per scenari con requisiti di accreditamento o conformità.

Il progetto Carico di lavoro dell'ambiente del servizio app/database SQL ISO 27001 costituisce un'estensione di questo esempio.

Architecture

Il progetto di esempio Servizi condivisi ISO 27001 distribuisce un'infrastruttura di base in Azure che può essere usata dalle organizzazioni per ospitare più carichi di lavoro basati su data center virtuale. Per data center virtuale si intende è un set consolidato di architetture di riferimento, strumenti di automazione e modelli di engagement usato da Microsoft con i principali clienti aziendali. Il progetto di esempio Servizi condivisi si basa su un ambiente di data center virtuale Azure completamente nativo illustrato di seguito.

Questo ambiente è costituito da diversi servizi di Azure usati per offrire un'infrastruttura di servizi condivisi di livello aziendale sicura e completamente monitorata, basata sugli standard ISO 27001. L'ambiente è costituito da:

• Ruoli di Azure usati per la separazione dei compiti dal punto di vista del piano di controllo. Prima della distribuzione di qualsiasi infrastruttura vengono definiti tre ruoli:
  • Il ruolo NetOps include i diritti per gestire l'ambiente di rete, tra cui le impostazioni del firewall, le impostazioni del gruppo di sicurezza di rete, il routing e altre funzionalità di rete
  • Il ruolo SecOps include i diritti necessari per distribuire e gestire Centro sicurezza di Azure, impostare definizioni di Criteri di Azure e altri diritti correlati alla sicurezza
  • Il ruolo SysOps include i diritti necessari per impostare definizioni di Criteri di Azure all'interno della sottoscrizione, gestire Log Analytics per l'intero ambiente, oltre ad altri diritti operativi
• Log Analytics è il primo servizio di Azure a essere distribuito e garantisce la registrazione di tutte le azioni e tutti i servizi in una posizione centrale dal momento in cui viene avviata la distribuzione sicura
• Una rete virtuale che supporta subnet per la connettività a un data center locale, uno stack in ingresso e in uscita per la connettività Internet e una subnet del servizio condiviso con gruppi di sicurezza di rete e gruppi di sicurezza delle applicazioni per la microsegmentazione completa contenente:
  • Un host jumpbox o bastion usato per la gestione, accessibile solo tramite un'istanza di Firewall di Azure distribuita nella subnet dello stack in ingresso
  • Due macchine virtuali che eseguono Azure Active Directory Domain Services (Azure AD DS) e DNS accessibile solo attraverso la jumpbox e configurabili solo per la replica di Active Directory in una connessione VPN o ExpressRoute (non distribuita dal progetto)
  • Uso di Azure Network Watcher e protezione DDoS standard
• Un'istanza di Azure Key Vault usata per ospitare i segreti per le macchine virtuali distribuite nell'ambiente dei servizi condivisi

Tutti questi elementi sono conformi a procedure comprovate pubblicate in Centro architetture di Azure - Architetture di riferimento di Azure.

Per altre informazioni, vedere la documentazione di Data center virtuale.

Passaggi successivi

È stata esaminata la panoramica e l'architettura del progetto di esempio Servizi condivisi ISO 27001. Vedere gli articoli seguenti per informazioni sul mapping dei controlli e su come distribuire questo esempio:

Altri articoli sui progetti e su come usarli:

• Informazioni sul ciclo di vita del progetto.
• Informazioni su come usare parametri statici e dinamici.
• Informazioni su come personalizzare l'ordine di sequenziazione del progetto.
• Informazioni su come usare in modo ottimale il blocco delle risorse del progetto.
• Informazioni su come aggiornare assegnazioni esistenti.