Обзор примера схемы "ISO 27001: общие службы"
Внимание
11 июля 2026 г. схемы (предварительная версия) будут устарели. Перенос существующих определений схемы и назначений в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Сведения о создании артефакта в качестве ресурса ARM см. в статье:
В примере схемы "ISO 27001: общие службы" предлагается соответствующий требованиям набор шаблонов инфраструктуры и средства для обеспечения соответствия политикам, которые помогут пройти аттестацию ISO 27001. С помощью этой схемы клиенты могут развертывать облачные архитектуры, которые предоставляют решения для сценариев, включающих требования к аккредитации или соответствию.
Пример схемы рабочей нагрузки Среды службы приложений или Базы данных SQL на основе ISO 27001 является дополнением этого примера схемы.
Архитектура
Пример схемы "ISO 27001: общие службы" позволяет развернуть базовую инфраструктуру в Azure, в которой организации могут размещать несколько рабочих нагрузок в зависимости от подхода виртуального центра обработки данных (VDC). Виртуальный центр обработки данных предоставляет проверенный набор эталонных архитектур, средств автоматизации и моделей взаимодействия, используемых корпорацией Майкрософт и крупнейшими корпоративными клиентами. Пример схемы общих служб основан на собственной среде Azure VDC, как показано ниже.
Эта среда состоит из нескольких служб Azure, которые обеспечивают защищенную, полностью отслеживаемую инфраструктуру общих служб корпоративного уровня на основе ISO 27001. Эта среда включает следующие компоненты:
- Роли Azure, которые используются для разделения обязанностей в контексте уровня управления. Перед развертыванием любой инфраструктуры определены три роли:
- роль NetOps с правами на управление сетевой средой, включая параметры брандмауэра, параметры группы безопасности сети, маршрутизацию и другие сетевые функции;
- роль SecOps с правами, необходимыми для развертывания и администрирования Центра безопасности Azure, описания определений Политики Azure и другими правами, связанными с безопасностью;
- роль SysOps с правами, необходимыми для описания определений Политики Azure в рамках подписки, управления Log Analytics для всей среды, а также другими правами для поддержания работы среды.
- Служба Log Analytics развертывается первой в Azure, чтобы обеспечить регистрацию всех действий и служб в центральном расположении с момента запуска безопасного развертывания.
- Виртуальная сеть, поддерживающая подсети для подключения к локальному центру обработки данных, стек входящего трафика и исходящего трафика для подключения к Интернету, а также подсеть общей службы с помощью групп безопасности сети и ASG для полной микросегрегации, содержащей:
- jumpbox или узел-бастион, используемый для управления, доступ к которому можно получить, развернув Брандмауэр Azure в подсети стека входящего трафика;
- две виртуальные машины, в которых работают доменные службы Azure Active Directory (Azure AD DS) и DNS, доступные только с использованием jumpbox и настраиваемые только для репликации AD через подключение VPN или ExpressRoute (не развертывается схемой);
- использование Наблюдателя за сетями Azure и стандартной защиты от атак DDoS.
- Экземпляр Azure Key Vault для размещения секретов, используемых для виртуальных машин, которые развернуты в среде общих служб
Все эти элементы соответствуют проверенным на практике рекомендациям, опубликованным в Центре архитектуры Azure (эталонные архитектуры).
Примечание.
Инфраструктура общих служб на основе ISO 27001 располагает базовой архитектурой для рабочих нагрузок. Вам потребуется развернуть рабочие нагрузки в рамках этой базовой архитектуры.
Дополнительные сведения см. в документации по виртуальному центру обработки данных.
Следующие шаги
Вы ознакомились с описанием архитектуры и обзором примера схемы "ISO 27001: общие службы". Дополнительные сведения о сопоставлении элементов управления и развертывании этого примера см. в следующих статьях:
Схема "ISO 27001: общие службы" — сопоставление элементов управленияСхема "ISO 27001: общие службы" — инструкции по развертыванию
Дополнительные статьи о схемах и способах их использования:
- Ознакомьтесь со сведениями о жизненном цикле схем.
- Узнайте, как использовать статические и динамические параметры.
- Научитесь настраивать последовательность схемы.
- Узнайте, как применять блокировку ресурсов схемы.
- Узнайте, как обновлять существующие назначения.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по