Översikt över skissexemplet ISO 27001 Delade tjänster

Skissexemplet ISO 27001 Delade tjänster innehåller en uppsättning kompatibla infrastrukturmönster och principskydd som hjälper till attestering av ISO 27001. Den här skissen hjälper kunder att distribuera molnbaserade arkitekturer som erbjuder lösningar på scenarion med auktoriserings- och efterlevnadskrav.

Skissexemplet ISO 27001 App Service-miljön/SQL Database-arbetsbelastning utökar det här exemplet.

Arkitektur

Skissexemplet ISO 27001 Delade tjänster distribuerar en grundinfrastruktur i Azure som organisationer kan använda som värd för flera arbetsbelastningar baserat på VDC-metoden (virtuellt datacenter). VDC är en uppsättning beprövade referensarkitekturer, automatiseringsverktyg och en interaktionsmodell som Microsoft använder för sina stora företagskunder. Skissexemplet för Delade tjänster är baserat på en helt intern Azure VDC-miljö (se nedan).

Den här miljön består av flera Azure-tjänster ger en säker, fullständigt övervakad infrastruktur för delade tjänster för företag baserat på ISO 27001-standarder. Den här miljön består av:

• Azure-roller som används för ansvarsfördelning ur ett kontrollplansperspektiv. Tre roller definieras före distributionen av all infrastruktur:
  • NetOps-rollen har behörigheter för att hantera nätverksmiljön, inklusive brandväggsinställningar, NSG-inställningar, routning och andra nätverksfunktioner
  • SecOps-rollen har nödvändiga behörigheter för att distribuera och hantera Azure Security Center, definiera Azure Policy-definitioner och andra säkerhetsrelaterade behörigheter
  • SysOps-rollen har nödvändiga behörigheter för att definiera Azure Policy-definitioner i prenumerationen, hantera Log Analytics för hela miljön och andra behörigheter
• Log Analytics distribueras som första Azure-tjänsten för att se till att alla åtgärder och tjänster loggas till en central plats direkt när du påbörjar din säkra distribution
• Ett virtuellt nätverk med stöd för undernät för anslutning tillbaka till ett lokalt datacenter, en inkommande och utgående stack för Internetanslutning och ett undernät för delad tjänst med NSG:er och ASG:er för fullständig mikrosegmentering som innehåller:
  • En jumpbox eller bastionvärd som används för hantering, som endast kan nås via en Azure Firewall som är distribuerad i undernätet för den inkommande stacken
  • Två virtuella datorer som kör Azure Active Directory Domain Services (Azure AD DS) och DNS som endast kan nås via jumpboxen, och som kan konfigureras för att endast replikera AD över en VPN- eller ExpressRoute-anslutning (distribueras inte av skissen)
  • Användning av Azure Net Watcher och DDoS-skydd (standard)
• En Azure Key Vault-instans som används som värd för hemligheter används för de virtuella datorerna som är distribuerade i miljön för delade tjänster

Alla dessa element följer beprövade metoder som finns publicerade i Referensarkitekturer i Azure Architecture Center.

Mer information finns i dokumentationen för virtuellt datacenter.

Nästa steg

Du har läst översikten och arkitektur för skissexemplet ISO 27001 Delade tjänster. Nu kan du gå vidare till följande artiklar och lära dig om kontrollmappning och hur du distribuerar det här exemplet:

Ytterligare artiklar om skisser och hur de används:

• Mer information om livscykeln för en skiss.
• Förstå hur du använder statiska och dynamiska parametrar.
• Lär dig hur du anpassar sekvensordningen för en skiss.
• Lär dig hur du använder resurslåsning för en skiss.
• Lär dig hur du uppdaterar befintliga tilldelningar.