Introducción al ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidos
Importante
El 11 de julio de 2026, Blueprints (versión preliminar) quedará en desuso. Migre las definiciones y asignaciones de planos técnicos existentes a Especificaciones de plantilla y Pilas de implementación. Los artefactos de plano técnico se convertirán en plantillas JSON de ARM o archivos de Bicep que se usan para definir pilas de implementación. Para obtener información sobre cómo crear un artefacto como un recurso de ARM, consulte:
El ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidos proporciona un conjunto de patrones de infraestructura compatibles y una directiva de protección que ayuda a la obtención de la certificación ISO 27001. Este plano técnico ayuda a los clientes a implementar arquitecturas basadas en la nube que ofrecen soluciones para escenarios que tienen requisitos de acreditación o de cumplimiento.
El ejemplo de plano técnico para cargas de trabajo de App Service Environment y SQL Database compatibles con ISO 27001 amplía este ejemplo.
Architecture
El ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidos implementa una infraestructura básica en Azure que diferentes organizaciones pueden usar para hospedar varias cargas de trabajo según el enfoque de Virtual Datacenter (VDC). VDC es un conjunto probado de arquitecturas de referencia, herramientas de automatización y modelos de involucración que emplea Microsoft con sus clientes empresariales de mayor tamaño. El ejemplo de plano técnico de los servicios compartidos se basa en un entorno totalmente nativo de Azure VDC que se muestra a continuación.
Este entorno se compone de varios servicios de Azure que se usan para proporcionar una infraestructura de servicios compartidos segura, totalmente supervisada y preparada para la empresa, que se basa en los estándares de la norma ISO 27001. Este entorno se compone de:
- Roles de Azure que se usan para la segregación de controles desde una perspectiva del plano de control. Antes de la implementación de cualquier infraestructura se definen tres roles:
- El rol NetOps tiene permisos para administrar el entorno de red, incluida la configuración del firewall, la del grupo de seguridad de red, el enrutamiento y otras funcionalidades de la red.
- El rol SecOps tiene los permisos necesarios para implementar y administrar Azure Security Center, establecer las definiciones de Azure Policy y otros permisos relacionados con la seguridad
- El rol SysOps tiene los permisos necesarios para establecer las definiciones de Azure Policy dentro de la suscripción y administrar Log Analytics para todo el entorno, entre otros permisos operativos
- Log Analytics se implementa como el primer servicio de Azure para garantizar que todas las acciones y servicios se registran en una ubicación central desde el momento en que empieza la implementación segura.
- Una red virtual que admite subredes para la conectividad con un centro de datos local, una pila de entrada y de salida para la conectividad con Internet y una subred de servicios compartidos que usa grupos de seguridad de red y ASG para una microsegmentación completa que contiene:
- Un jumpbox o un host de tipo bastión que se usa con fines de administración y al que solo se puede acceder a través de una instancia de Azure Firewall implementada en la subred de la pila de entrada.
- Dos máquinas virtuales que ejecutan Azure Active Directory Domain Services (Azure AD DS) y un sistema de nombres de dominio a las que solo se puede acceder mediante el jumpbox, y que únicamente se pueden configurar para que replique AD en una conexión VPN o de ExpressRoute (que el plano técnico no implementa)
- Uso de Azure Net Watcher y protección contra DDoS estándar
- Una instancia de Azure Key Vault utilizada para hospedar los secretos empleados por las máquinas virtuales implementadas en el entorno de servicios compartidos
Todos estos elementos se atienen a los procedimientos probados que se publicaron en Centro de arquitectura de Azure: Arquitecturas de referencia.
Nota
La infraestructura de servicios compartidos de la norma ISO 27001 presenta una arquitectura básica para cargas de trabajo. Deberá implementar cargas de trabajo adicionales más allá de esta arquitectura básica.
Para más información, consulte la documentación sobre Virtual Datacenter.
Pasos siguientes
Ya ha revisado la introducción y arquitectura del ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidos. Ahora, visite los siguientes artículos para más información sobre la asignación de control y la implementación de este ejemplo:
Plano técnico de servicios compartidos de la norma ISO 27001: Asignación de controlesPlano técnico de servicios compartidos de la norma ISO 27001: Pasos de implementación
Artículos adicionales sobre planos técnicos y cómo utilizarlos:
- Información acerca del ciclo de vida del plano técnico.
- Descubra cómo utilizar parámetros estáticos y dinámicos.
- Aprenda a personalizar el orden de secuenciación de planos técnicos.
- Averigüe cómo usar el bloqueo de recursos de planos técnicos.
- Aprenda a actualizar las asignaciones existentes.