ISO 27001 共有サービス ブループリント サンプルの概要

ISO 27001 共有サービス ブループリント サンプルでは、ISO 27001 構成証明に役立つ一連の準拠インフラストラクチャ パターンおよびポリシー ガードレールが提供されます。 このブループリントにより、お客様は、認定またはコンプライアンスの要件があるシナリオにソリューションを提供するクラウド ベースのアーキテクチャをデプロイできます。

ISO 27001 App Service Environment/SQL Database ワークロード ブループリント サンプルによりこのサンプルは拡張されます。

Architecture

ISO 27001 共有サービス ブループリント サンプルにより、仮想データセンター (VDC) アプローチに基づいて複数のワークロードをホストするために組織が使用できる Azure 内の基盤インフラストラクチャがデプロイされます。 VDC は、Microsoft がその最大規模のエンタープライズのお客様と共に使用する参照アーキテクチャ、オートメーション ツール、およびエンゲージメント モデルの実証済みのセットです。 共有サービスのブループリント サンプルは、次に示す完全にネイティブな Azure VDC 環境に基づきます。

この環境は、ISO 27001 標準に基づいた、完全に監視された安全なエンタープライズ対応の共有サービス インフラストラクチャを提供するために使用される複数の Azure サービスで構成されます。 この環境は、以下で構成されます。

• Azure ロール。コントロール プレーンの観点から義務の分離のために使用します。 すべてのインフラストラクチャのデプロイの前に、3 つのロールが定義されています。
  • NetOps ロールには、ファイアウォール設定、NSG 設定、ルーティング、その他のネットワーク機能を含むネットワーク環境を管理する権限があります。
  • SecOps ロールには、Azure Security Center をデプロイ、管理し、Azure Policy 定義を定義するのに必要な権限、およびその他のセキュリティ関連の権限があります
  • SysOps ロールには、サブスクリプション内で Azure Policy 定義を定義し、環境全体のその他の運用権限の中で Log Analytics を管理するのに必要な権限があります
• Log Analytics は、セキュリティで保護されたデプロイの開始以降、すべてのアクションとサービス ログを一元化する最初の Azure サービスとしてデプロイされます。
• オンプレミス データセンター、インターネット接続用のイングレス/エグレス スタック、および以下を含むフル マイクロセグメンテーション用に NSG および ASG を使用する共有サービス サブネットへの折り返し接続用のサブネットをサポートする仮想ネットワーク。
  • 管理目的で使用されるジャンプボックスまたは踏み台ホスト。イングレス スタック サブネットにデプロイされた Azure Firewall 経由でのみアクセスできます。
  • ジャンプボックスからのみアクセスできる Azure Active Directory Domain Services (Azure AD DS) および DNS を実行する 2 つの仮想マシン。VPN または ExpressRoute 接続 (ブループリントでデプロイされていない) 経由で AD をレプリケートするためだけに構成できます
  • Azure Net Watcher と標準 DDoS 保護の使用
• Azure Key Vault インスタンス。共有サービス環境にデプロイされた VM 用に使用されるシークレットをホストします。

これらの要素はすべて、「Azure アーキテクチャ センター - 参照アーキテクチャ」で公開されている実証済みのプラクティスに従っています。

詳細については、Virtual Datacenter のドキュメントを参照してください。

次のステップ

ISO 27001 共有サービス ブループリント サンプルの概要とアーキテクチャを確認しました。 次に、コントロール マッピングと、このサンプルをデプロイする方法を確認するには、次の記事を参照してください。

ブループリントとその使用方法に関するその他の記事:

• ブループリントのライフサイクルを参照する。
• 静的および動的パラメーターの使用方法を理解する。
• ブループリントの優先順位のカスタマイズを参照する。
• ブループリントのリソース ロックの使用方法を調べる。
• 既存の割り当ての更新方法を参照する。