Обзор примера схемы "ISO 27001: общие службы"

В примере схемы "ISO 27001: общие службы" предлагается соответствующий требованиям набор шаблонов инфраструктуры и средства для обеспечения соответствия политикам, которые помогут пройти аттестацию ISO 27001. С помощью этой схемы клиенты могут развертывать облачные архитектуры, которые предоставляют решения для сценариев, включающих требования к аккредитации или соответствию.

Пример схемы рабочей нагрузки Среды службы приложений или Базы данных SQL на основе ISO 27001 является дополнением этого примера схемы.

Architecture

Пример схемы "ISO 27001: общие службы" позволяет развернуть базовую инфраструктуру в Azure, в которой организации могут размещать несколько рабочих нагрузок в зависимости от подхода виртуального центра обработки данных (VDC). Виртуальный центр обработки данных предоставляет проверенный набор эталонных архитектур, средств автоматизации и моделей взаимодействия, используемых корпорацией Майкрософт и крупнейшими корпоративными клиентами. Пример схемы общих служб основан на собственной среде Azure VDC, как показано ниже.

Эта среда состоит из нескольких служб Azure, которые обеспечивают защищенную, полностью отслеживаемую инфраструктуру общих служб корпоративного уровня на основе ISO 27001. Эта среда включает следующие компоненты:

• Роли Azure, которые используются для разделения обязанностей в контексте уровня управления. Перед развертыванием какой-либо инфраструктуры нужно определить три роли:
  • роль NetOps с правами на управление сетевой средой, включая параметры брандмауэра, параметры группы безопасности сети, маршрутизацию и другие сетевые функции;
  • роль SecOps с правами, необходимыми для развертывания и администрирования Центра безопасности Azure, описания определений Политики Azure и другими правами, связанными с безопасностью;
  • роль SysOps с правами, необходимыми для описания определений Политики Azure в рамках подписки, управления Log Analytics для всей среды, а также другими правами для поддержания работы среды.
• Служба Log Analytics развертывается первой в Azure, чтобы обеспечить регистрацию всех действий и служб в центральном расположении с момента запуска безопасного развертывания.
• Виртуальная сеть с поддержкой подсетей для обратной связи с локальным центром обработки данных, стека входящего и исходящего трафика для подключения к Интернету и подсети общей службы с использованием групп безопасности сети и групп безопасности приложения для полной микросегментации, включая следующее:
  • jumpbox или узел-бастион, используемый для управления, доступ к которому можно получить, развернув Брандмауэр Azure в подсети стека входящего трафика;
  • две виртуальные машины, в которых работают доменные службы Azure Active Directory (Azure AD DS) и DNS, доступные только с использованием jumpbox и настраиваемые только для репликации AD через подключение VPN или ExpressRoute (не развертывается схемой);
  • использование Наблюдателя за сетями Azure и стандартной защиты от атак DDoS.
• Экземпляр Azure Key Vault для размещения секретов, используемых для виртуальных машин, которые развернуты в среде общих служб

Все эти элементы соответствуют проверенным на практике рекомендациям, опубликованным в Центре архитектуры Azure (эталонные архитектуры).

Дополнительные сведения см. в документации по виртуальному центру обработки данных.

Дальнейшие действия

Вы ознакомились с описанием архитектуры и обзором примера схемы "ISO 27001: общие службы". Дополнительные сведения о сопоставлении элементов управления и развертывании этого примера см. в следующих статьях:

Дополнительные статьи о схемах и способах их использования:

• Ознакомьтесь со сведениями о жизненном цикле схем.
• Узнайте, как использовать статические и динамические параметры.
• Научитесь настраивать последовательность схемы.
• Узнайте, как применять блокировку ресурсов схемы.
• Узнайте, как обновлять существующие назначения.