Az ISO 27001 Azure Blueprints Megosztott szolgáltatások tervmintájának áttekintése
Fontos
2026. július 11-én a tervek (előzetes verzió) elavultak lesznek. Migrálja a meglévő tervdefiníciókat és -hozzárendeléseket a sablon specifikációiba és üzembehelyezési vermeibe. A tervösszetevőket ARM JSON-sablonokká vagy Az üzembehelyezési verem definiálásához használt Bicep-fájlokká kell konvertálni. Az összetevők ARM-erőforrásként való létrehozásához lásd:
Az ISO 27001 Shared Services tervminta megfelelő infrastruktúramintákat és szabályzatvédőket biztosít, amelyek segítenek az ISO 27001-igazolás felé. E terv segítségével az ügyfelek olyan felhőalapú architektúrákat helyezhetnek üzembe, amelyek akkreditációs vagy megfelelőségi követelményekkel rendelkező alkalmazási helyzetekre kínálnak megoldást.
Az ISO 27001 App Service Environment/SQL Database-számításifeladat tervminta e minta kiegészítéseként szolgál.
Architektúra
Az ISO 27001 Megosztott szolgáltatások tervminta alapszintű infrastruktúrát helyez üzembe az Azure-ban, amelynek segítségével a szervezetek több, virtuális adatközponti (VDC) megközelítésen alapuló számítási feladatot üzemeltethetnek. A VDC referenciaarchitektúrák, automatizáló eszközök és bevonási modellek bevált együttese, amelyet a Microsoft legnagyobb vállalati ügyfelei használnak. A Megosztott szolgáltatások tervminta az alább látható, teljesen natív Azure VDC-környezeten alapul.
Ez a környezet több Azure-szolgáltatásból épül fel, és ISO 27001 szabványokon alapuló, biztonságos, teljes körűen monitorozott, vállalati használatra kész megosztottszolgáltatás-infrastruktúrát biztosít. A környezet összetevői:
- A feladatkörök vezérlősík szempontjából való elkülönítésére használható Azure-szerepkörök. Három szerepkör van definiálva az infrastruktúra üzembe helyezése előtt:
- A NetOps szerepkör a hálózati környezet, például a tűzfalbeállítások, NSG-beállítások, útválasztás és egyéb hálózatkezelési funkciók kezeléséhez rendelkezik jogosultsággal
- A SecOps szerepkör az Azure Security Center kezeléséhez és üzembe helyezéséhez és Azure Policy-definíciók meghatározásához szükséges, illetve egyéb, biztonsághoz kapcsolódó jogosultságokkal is rendelkezik
- A SysOps szerepkör az egyéb működési jogosultságok mellett az Azure Policy-definíciók előfizetésen belüli meghatározásához, valamint a Log Analytics teljes környezetre kiterjedő kezeléséhez szükséges jogosultságokkal is rendelkezik
- A Log Analytics elsőként lesz üzembe helyezve az Azure-szolgáltatások közül. Ez biztosítja, hogy a biztonságos üzembe helyezés megkezdésétől fogva az összes művelet és szolgáltatás naplózása egyetlen központi helyen történjen
- Egy helyszíni adatközponthoz való csatlakozás alhálózatait támogató virtuális hálózat, egy bejövő és kimenő verem az internetkapcsolathoz, valamint egy megosztott szolgáltatás alhálózata, amely az NSG-ket és ASG-ket használja a teljes mikroszegmentáláshoz, amely a következőket tartalmazza:
- Felügyeleti célra használt jumpbox vagy bástyagazdagép, amely csak a bemeneti verem alhálózatán üzembe helyezett Azure-tűzfalon keresztül érhető el
- Az Azure Active Directory Domain Servicest (Azure AD DS) futtató két virtuális gép és a DNS csak a jumpboxon keresztül érhető el, és kizárólag úgy konfigurálható, hogy az AD-t VPN-en vagy ExpressRoute-kapcsolaton keresztül replikálja (ezt a terv nem helyezi üzembe)
- Az Azure Net Watcher és a standard DDoS Protection használata
- Az Azure Key Vault egy példánya, amely a megosztott szolgáltatások környezetében üzembe helyezett virtuális gépek titkos kulcsainak tárolására szolgál
A fentiek mindegyike teljesíti az Azure Architecture Center referenciaarchitektúrákkal foglalkozó részében közzétett, bevált módszerek követelményeit.
Feljegyzés
Az ISO 27001 Megosztott szolgáltatások infrastruktúra adja a számítási feladatok alapvető architektúráját. Ezen alapvető architektúrán kívül továbbra is üzembe kell helyezni számítási feladatokat.
További információért tekintse meg a virtuális adatközpont dokumentációját.
Következő lépések
Ezzel megismerte az ISO 27001 Megosztott szolgáltatások tervmintájának áttekintését és architektúráját. Következő lépésként tekintse meg az alábbi cikkeket, amelyek a vezérlőelem-leképezést és a minta üzembe helyezését ismertetik:
ISO 27001 Megosztott szolgáltatások terve – Vezérlőelem-leképezésISO 27001 Megosztott szolgáltatások terve – Üzembehelyezési lépések
További cikkek a tervekről és a használatukról:
- Tudnivalók a tervek életciklusáról.
- A statikus és dinamikus paraméterek használatának elsajátítása.
- A tervekkel kapcsolatos műveleti sorrend testreszabásának elsajátítása.
- A tervek erőforrás-zárolásának alkalmazásával kapcsolatos részletek.
- A meglévő hozzárendelések frissítésének elsajátítása.