Omówienie przykładu strategii usług udostępnionych ISO 27001.

Przykład strategii usług udostępnionych ISO 27001 zawiera zestaw zgodnych wzorców infrastruktury i barier zasad, które pomagają w zaświadczeniu ISO 27001. Ta strategia pomaga klientom wdrażać architektury chmurowe, które oferują rozwiązania dla scenariuszy z wymaganiami w zakresie akredytacji lub zgodności.

Przykład strategii obciążenia środowiska App Service Environment/bazy danych SQL ISO 27001 stanowi rozszerzenie tego przykładu.

Architektura

Przykład strategii usług udostępnionych ISO 27001 wdraża na platformie Azure podstawową infrastrukturę, która umożliwia organizacjom hostowanie wielu obciążeń zgodnie z metodą wirtualnego centrum danych. Wirtualne centrum danych to zestaw sprawdzonych architektur referencyjnych, narzędzi automatyzacji i modeli zaangażowania używanych przez firmę Microsoft u jej największych klientów korporacyjnych. Przykład strategii usług udostępnionych jest oparty na w pełni natywnym środowisku wirtualnego centrum danych platformy Azure, które pokazano poniżej.

To środowisko składa się z kilku usług platformy Azure, które udostępniają bezpieczną, w pełni monitorowaną infrastrukturę usług udostępnionych z obsługą przedsiębiorstw zgodną ze standardami ISO 27001. To środowisko zawiera następujące składniki:

• Role platformy Azure używane do dzielenia zadań z perspektywy płaszczyzny kontroli. Przed wdrożeniem infrastruktury są definiowane trzy role:
  • Rola NetOps ma uprawnienia do zarządzania środowiskiem sieci, w tym ustawieniami zapory, ustawieniami sieciowej grupy zabezpieczeń, routingiem i innymi funkcjami sieci
  • Rola SecOps ma uprawnienia niezbędne do wdrażania usługi Azure Security Center i zarządzania nią oraz definiowania definicji usługi Azure Policy, a także inne prawa związane z zabezpieczeniami
  • Rola SysOps ma uprawnienia niezbędne do zdefiniowania definicji usługi Azure Policy w ramach subskrypcji i zarządzania usługą Log Analytics dla całego środowiska oraz inne prawa operacyjne
• Usługa Log Analytics jest wdrażana jako pierwsza usługa platformy Azure, aby upewnić się, że wszystkie akcje i usługi są rejestrowane w centralnej lokalizacji od czasu uruchomienia bezpiecznego wdrożenia
• Sieć wirtualna obsługująca podsieci na potrzeby łączności z lokalnym centrum danych, stos przychodzący i wychodzący na potrzeby łączności z Internetem oraz podsieć usługi udostępnionej używającą sieciowych grup zabezpieczeń i grup zabezpieczeń aplikacji na potrzeby pełnej mikrosegmentacji, która zawiera następujące elementy:
  • Host przesiadkowy lub host bastionu używany do zarządzania, który jest dostępny tylko za pośrednictwem usługi Azure Firewall wdrożonej w podsieci stosu przychodzącego
  • Dwie maszyny wirtualne z uruchomionymi usługami Azure Active Directory Domain Services (Azure AD DS) i systemem DNS dostępne tylko za pośrednictwem serwera przesiadkowego, które można skonfigurować tylko do replikacji usługi AD za pośrednictwem sieci VPN lub połączenia usługi ExpressRoute (nie są wdrażane w ramach strategii)
  • Korzystanie z usługi Azure Net Watcher i standardowej ochrony przed atakami DDoS
• Wystąpienie usługi Azure Key Vault umożliwiające hostowanie wpisów tajnych używanych na potrzeby maszyn wirtualnych wdrożonych w środowisku usług udostępnionych

Wszystkie te elementy są zgodne ze sprawdzonymi rozwiązaniami opublikowanymi na stronie Centrum architektury platformy Azure — architektury referencyjne.

Więcej informacji można znaleźć w dokumentacji wirtualnego centrum danych.

Następne kroki

Przeczytano omówienie i informacje o architekturze przykładu strategii usług udostępnionych ISO 27001. Następnie przeczytaj następujące artykuły, aby poznać mapowanie kontrolek i sposób wdrażania tego przykładu:

Dodatkowe artykuły na temat strategii i sposobu ich używania:

• Uzyskaj informacje na temat cyklu życia strategii.
• Dowiedz się, jak używać parametrów statycznych i dynamicznych.
• Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
• Dowiedz się, jak używać blokowania zasobów strategii.
• Dowiedz się, jak zaktualizować istniejące przypisania.