Descrição geral do exemplo de esquema dos Serviços Partilhados ISO 27001

O exemplo de esquema serviços partilhados ISO 27001 fornece um conjunto de padrões de infraestrutura compatíveis e proteções de políticas que ajudam para o atestado ISO 27001. Este esquema ajuda os clientes a implementarem arquiteturas com base na cloud que oferecem soluções para cenários que têm requisitos de acreditação ou conformidade.

O exemplo de esquema de carga de trabalho da Base de Dados SQL/Ambiente do Serviço de Aplicações ISO 27001 expande este exemplo.

Arquitetura

O exemplo de esquema Serviços Partilhados ISO 27001 implementa uma infraestrutura de base no Azure que pode ser utilizada por organizações para alojar várias cargas de trabalho com base na abordagem de Datacenter Virtual (VDC). O VDC é um conjunto comprovado de arquiteturas de referência, ferramentas de automatização e modelos de cativação utilizados pela Microsoft com os seus clientes empresariais de maior dimensão. O exemplo de esquema Serviços Partilhados baseia-se num ambiente VDC do Azure totalmente nativo, apresentado abaixo.

Este ambiente é composto por vários serviços do Azure utilizados para fornecer uma infraestrutura de serviços partilhados segura, completamente monitorizada e preparada para empresas, com base nas normas ISO 27001. Este ambiente é composto por:

• Funções do Azure utilizadas para a separação de responsabilidades a partir de uma perspetiva de plano de controlo. Antes da implementação de qualquer infraestrutura, são definidas três funções:
  • A função NetOps tem os direitos para gerir o ambiente de rede, incluindo as definições da firewall, definições do NSG, encaminhamento e outras funcionalidades de rede
  • A função SecOps tem os direitos necessários para implementar e gerir o Centro de Segurança do Azure, definir as definições do Azure Policy e outros direitos relacionados com segurança
  • A função SysOps tem os direitos necessários para definir as definições do Azure Policy na subscrição, gerir o Log Analytics em todo o ambiente, entre outros direitos operacionais
• O Log Analytics é implementado como o primeiro serviço do Azure para garantir que todas as ações e serviços são registados numa localização central desde o momento em que inicia a implementação segura
• Uma rede virtual que suporta sub-redes para conectividade para um datacenter no local, uma pilha de entrada e saída para conectividade Internet e uma sub-rede de serviço partilhado com NSGs e ASGs para microssegmentação completa, que contém:
  • Um anfitrião jumpbox ou bastion utilizado para fins de gestão, ao qual só é possível aceder através de uma Azure Firewall implementada na sub-rede da pilha de entrada
  • Duas máquinas virtuais com o Azure Active Directory Domain Services (Azure AD DS) e DNS acessíveis apenas através da jumpbox e que só podem ser configuradas para replicar o AD através de uma ligação VPN ou do ExpressRoute (não implementada pelo esquema)
  • Utilização do Observador de Rede do Azure e de proteção contra DDoS padrão
• Uma instância do Azure Key Vault utilizada para alojar segredos utilizados para as VMs implementadas no ambiente de serviços partilhados

Todos estes elementos obedecem às práticas comprovadas publicados no Centro de Arquitetura do Azure - Arquiteturas de Referência.

Para obter mais informações, veja a documentação do Datacenter Virtual.

Passos seguintes

Analisou a descrição geral e a arquitetura do exemplo de esquema Serviços Partilhados ISO 27001. A seguir, visite os artigos seguintes para saber mais sobre o mapeamento de controlo e como implementar este exemplo:

Artigos adicionais sobre esquemas e como os utilizar:

• Saiba mais sobre o ciclo de vida do esquema.
• Compreenda como utilizar parâmetros estáticos e dinâmicos.
• Aprenda a personalizar a ordem de sequenciação do esquema.
• Saiba como utilizar o bloqueio de recursos de esquema.
• Saiba como atualizar as atribuições existentes.