Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Azure Local 2311.2 och senare
Den här artikeln beskriver hur Azure Local hjälper organisationer att uppfylla kraven på säkerhetskontroll i ISO/IEC 27001:2022, både i molnet och lokalt. Läs mer om Lokala Azure-säkerhetsstandarder och andra säkerhetsstandarder i Azure Local och säkerhetsstandarder.
ISO/IEC 27001:2022
ISO/IEC 27001 är en global säkerhetsstandard som anger krav för att upprätta, implementera, använda, övervaka, underhålla och förbättra ett ISMS (Information Security Management System). Certifiering till ISO/IEC 27001:2022 hjälper organisationer att förbättra sin säkerhetsstatus, bygga förtroende med sina klienter och kan hjälpa till att uppfylla olika juridiska och regelmässiga skyldigheter som omfattar informationssäkerhet, till exempel PCI DSS, HIPAA, HITRUST och FedRAMP. Läs mer om standarden på ISO/IEC 27001.
Azure Local
Azure Local är en hybridlösning som ger sömlös integrering mellan organisationers lokala infrastruktur och Azure-molntjänster, vilket hjälper till att konsolidera virtualiserade arbetsbelastningar och containrar och få molneffektivitet när data behöver finnas kvar lokalt av juridiska skäl eller sekretessskäl. Organisationer som söker ISO/IEC 27001:2022-certifiering för sina lösningar bör överväga både sina molnmiljöer och lokala miljöer.
Anslutna molntjänster
Azure Local ger djup integrering med flera Azure-tjänster, till exempel Azure Monitor, Azure Backup och Azure Site Recovery, för att leverera nya funktioner till hybridmiljön. Dessa molntjänster genomgår regelbundna oberoende tredjepartsgranskningar för ISO/IEC 27001:2022-efterlevnad. Du kan granska certifikatet och granskningsrapporten för Azure ISO/IEC 27001:2022 i Azures efterlevnadserbjudanden – ISO/IEC 27001:2022.
Viktigt!
Azures efterlevnadsstatus ger inte ISO/IEC 27001-ackreditering för de tjänster som en organisation bygger eller är värdar för på Azure-plattformen. Organisationer ansvarar för att säkerställa efterlevnaden av sina åtgärder med ISO/IEC 27001:2022-krav.
Lokala lösningar
Lokalt tillhandahåller Azure Local en matris med funktioner som hjälper organisationer att uppfylla säkerhetskraven i ISO/IEC 27001:2022. Följande avsnitt innehåller mer information.
Lokala Azure-funktioner som är relevanta för ISO/IEC 27001:2022
I det här avsnittet beskrivs hur organisationer kan använda Azure Local-funktioner för att uppfylla säkerhetskontrollerna i bilaga A till ISO/IEC 27001:2022. Följande information omfattar endast tekniska krav. Krav som rör säkerhetsåtgärder ligger utanför omfånget eftersom Azure Local inte kan påverka dem. Vägledningen organiseras av de nio domänerna i bilaga A:
- Nätverkssäkerhet
- Identitets- och åtkomsthantering
- Dataskydd
- Loggning
- Övervakning
- Säker konfiguration
- Skydd mot hot
- Säkerhetskopiering och återställning
- Skalbarhet och tillgänglighet
Vägledningen i den här artikeln beskriver hur Azure Local-funktioner kan användas för att uppfylla kraven för varje domän. Det är viktigt att observera att inte alla kontroller är obligatoriska. Organisationer bör analysera sin miljö och utföra riskbedömning för att avgöra vilka kontroller som är nödvändiga. Mer information om kraven finns i ISO/IEC 27001.
Nätverkssäkerhet
De nätverkssäkerhetsfunktioner som beskrivs i det här avsnittet kan hjälpa dig att uppfylla följande säkerhetskontroller som anges i STANDARDEN ISO/IEC 27001.
- 8.20 – Nätverkssäkerhet
- 8.21 – Säkerhet för nätverkstjänster
- 8.22 – Uppdelning av nätverk
- 8.23 – Webbfiltrering
Med Azure Local kan du använda nätverkssäkerhetskontroller för att skydda din plattform och de arbetsbelastningar som körs på den från nätverkshot utanför och inuti. Azure Local garanterar också rättvis nätverksallokering på en värd och förbättrar arbetsbelastningens prestanda och tillgänglighet med belastningsutjämningsfunktioner. Läs mer om nätverkssäkerhet i Azure Local i följande artiklar.
- Översikt över datacenterbrandväggen
- Software Load Balancer (SLB) för Software Define Network (SDN)
- RAS-gateway (Remote Access Service) för SDN
- Tjänstkvalitetsprinciper för dina arbetsbelastningar som finns i Azure Local
Identitets- och åtkomsthantering
Funktionerna för identitets- och åtkomsthantering som beskrivs i det här avsnittet kan hjälpa dig att uppfylla följande säkerhetskontroller som anges i STANDARDEN ISO/IEC 27001.
- 8.2 – Privilegierade åtkomsträttigheter
- 8.3 – Begränsningar för informationsåtkomst
- 8.5 – Säker autentisering
Azure Local ger fullständig och direkt åtkomst till det underliggande systemet som körs på datorer via flera gränssnitt som Azure Arc och Windows PowerShell. Du kan använda antingen konventionella Windows-verktyg i lokala miljöer eller molnbaserade lösningar som Microsoft Entra ID (tidigare Azure Active Directory) för att hantera identitet och åtkomst till plattformen. I båda fallen kan du dra nytta av inbyggda säkerhetsfunktioner, till exempel multifaktorautentisering (MFA), villkorlig åtkomst, rollbaserad åtkomstkontroll (RBAC) och privilegierad identitetshantering (PIM) för att säkerställa att din miljö är säker och kompatibel.
Läs mer om lokal identitets- och åtkomsthantering i Microsoft Identity Manager och Privileged Access Management för Active Directory Domain Services. Läs mer om molnbaserad identitets- och åtkomsthantering i Microsoft Entra ID.
Dataskydd
Dataskyddsfunktionerna som beskrivs i det här avsnittet kan hjälpa dig att uppfylla följande säkerhetskontroller som anges i STANDARDEN ISO/IEC 27001.
- 8.5 – Säker autentisering
- 8.20 – Nätverkssäkerhet
- 8.21 – Säkerhet för nätverkstjänster
- 8.24 – Användning av kryptografi
Kryptera data med BitLocker
På lokala Azure-instanser kan alla vilande data krypteras via BitLocker XTS-AES 256-bitarskryptering. Som standard rekommenderar systemet att du aktiverar BitLocker för att kryptera alla operativsystemvolymer (OS) och klusterdelade volymer (CSV) i din lokala Azure-distribution. För nya lagringsvolymer som lagts till efter distributionen måste du aktivera BitLocker manuellt för att kryptera den nya lagringsvolymen. Att använda BitLocker för att skydda data kan hjälpa organisationer att hålla sig kompatibla med ISO/IEC 27001. Läs mer i Använda BitLocker med klusterdelade volymer (CSV).
Skydda extern nätverkstrafik med TLS/DTLS
Som standard krypteras all värdkommunikation till lokala slutpunkter och fjärrslutpunkter med TLS1.2, TLS1.3 och DTLS 1.2. Plattformen inaktiverar användningen av äldre protokoll/hashar, till exempel TLS/DTLS 1.1 SMB1. Azure Local har också stöd för starka chiffersviter som elliptiska SDL-kompatibla kurvor som är begränsade till NIST-kurvorna P-256 och P-384.
Skydda intern nätverkstrafik med SMB (Server Message Block)
SMB-signering är aktiverat som standard för klientanslutningar i lokala Azure-instanser. För trafik inom klustret är SMB-kryptering ett alternativ som organisationer kan aktivera under eller efter distributionen för att skydda data under överföring mellan system. Krypteringssviterna AES-256-GCM och AES-256-CCM stöds nu av SMB 3.1.1-protokollet som används av klientserverns filtrafik och datainfrastrukturen inom klustret. Protokollet fortsätter att stödja den mer allmänt kompatibla AES-128-sviten. Läs mer på SMB-säkerhetsförbättringar.
Loggning / Skogsavverkning
Loggningsfunktionen som beskrivs i det här avsnittet kan hjälpa dig att uppfylla följande säkerhetskontroller som anges i STANDARDEN ISO/IEC 27001.
- 8.15 – Loggföring
- 8.17 – Klocksynkronisering
Lokala systemloggar
Som standard registreras alla åtgärder som utförs i den lokala Azure-instansen så att du kan spåra vem som gjorde vad, när och var på plattformen. Loggar och aviseringar som skapats av Windows Defender ingår också för att hjälpa dig att förhindra, identifiera och minimera sannolikheten för och effekten av en datakompromiss. Men eftersom systemloggen ofta innehåller en stor mängd information, mycket av den är onödig för övervakning av informationssäkerhet, måste du identifiera vilka händelser som är relevanta för att samlas in och användas för säkerhetsövervakning. Azure-övervakningsfunktioner hjälper dig att samla in, lagra, avisera och analysera loggarna. Mer information finns i Säkerhetsbaslinje för Azure Local .
Lokala aktivitetsloggar
Azure Local Lifecycle Manager skapar och lagrar aktivitetsloggar för alla åtgärdsplaner som körs. Dessa loggar stöder djupare undersökning och övervakning.
Molnaktivitetsloggar
Genom att registrera dina system med Azure kan du använda Azure Monitor-aktivitetsloggar för att registrera åtgärder på varje resurs på prenumerationsnivå för att fastställa vad, vem och när för skrivåtgärder (placera, publicera eller ta bort) som tagits på resurserna i din prenumeration.
Molnidentitetsloggar
Om du använder Microsoft Entra-ID för att hantera identitet och åtkomst till plattformen kan du visa loggar i Azure AD-rapportering eller integrera dem med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg för avancerade användningsfall för övervakning och analys. Om du använder lokal Active Directory kan du använda Microsoft Defender för identitet för att dra nytta av dina lokala Active Directory-signaler för att identifiera, upptäcka och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder som riktas mot din organisation.
SIEM-integrering
Microsoft Defender for Cloud och Microsoft Sentinel är inbyggt integrerade med Arc-aktiverade servrar. Du kan aktivera och ansluta dina loggar till Microsoft Sentinel, som tillhandahåller SIEM-funktioner (Security Information Event Management) och SOAR (Security Orchestration Automated Response). Microsoft Sentinel, liksom andra Azure-molntjänster, uppfyller också många väletablerade säkerhetsstandarder som ISO/IEC 27001, vilket kan hjälpa dig med certifieringsprocessen. Dessutom tillhandahåller Azure Local en intern syslog-händelsevidare för att skicka systemhändelserna till SIEM-lösningar från tredje part.
Övervakning
Övervakningsfunktionerna som beskrivs i det här avsnittet kan hjälpa dig att uppfylla följande säkerhetskontroller som anges i STANDARDEN ISO/IEC 27001.
- 8.15 – Loggföring
Insikter för Azure Local
Med Insikter för Azure Local kan du övervaka information om hälsa, prestanda och användning för system som är anslutna till Azure och som registreras i övervakningen. Under Insights-konfigurationen skapas en datainsamlingsregel som anger vilka data som ska samlas in. Dessa data lagras på en Log Analytics workspace, som sedan aggregeras, filtreras och analyseras för att tillhandahålla förbyggda övervakningspaneler genom att använda Azure-arbetsböcker. Du kan visa övervakningsdata för både system med en enskild nod och flera noder från din Azure Local-resurssida eller Azure Monitor. Läs mer i Övervaka Azure Local med Insights.
Mått för Azure Local
Metiker för Azure Local lagrar numeriska data från övervakade resurser i en tidsserie-databas. Du kan använda Azure Monitor Metrics Explorer för att interaktivt analysera data i din måttdatabas och kartlägga värdena för flera mått över tid. Med Mått kan du skapa diagram från måttvärden och visuellt korrelera trender.
Loggvarningar
Om du vill ange problem i realtid konfigurerar du aviseringar för Azure Local med hjälp av befintliga exempelloggfrågor som genomsnittlig serverprocessor, tillgängligt minne, tillgänglig volymkapacitet med mera. Läs mer i Konfigurera aviseringar för lokala Azure-system.
Måttaviseringar
En måttaviseringsregel övervakar en resurs genom att utvärdera villkor för resursmåtten med jämna mellanrum. Om villkoren uppfylls utlöses en avisering. En tidsserie för mått är en serie måttvärden som samlats in under en tidsperiod. Du kan använda dessa mått för att skapa aviseringsregler. Läs mer om hur du skapar måttaviseringar i Måttaviseringar.
Tjänst- och enhetsaviseringar
Azure Local tillhandahåller tjänstbaserade aviseringar för anslutning, OS-uppdateringar, Azure-konfiguration med mera. Enhetsbaserade aviseringar för klusterhälsofel är också tillgängliga. Du kan också övervaka lokala Azure-instanser och deras underliggande komponenter med hjälp av PowerShell eller Health Service.
Säker Konfiguration
De säkra konfigurationsfunktioner som beskrivs i det här avsnittet kan hjälpa dig att uppfylla följande krav för säkerhetskontroll i ISO/IEC 27001.
- 8.8 – Hantering av tekniska säkerhetsrisker
- 8.9 – Konfigurationshantering
Säker som standard
Azure Local konfigureras som standard på ett säkert sätt med säkerhetsverktyg och tekniker som skyddar mot moderna hot och överensstämmer med Azure Compute Security-baslinjerna. Läs mer i Hantera standardinställningar för säkerhet för Azure Local.
Driftskydd
Standard säkerhetskonfiguration och säkerhetskärninställningar för plattformen skyddas under både distribution och körning med driftkontrollskydd. När det är aktiverat uppdaterar driftkontrollskyddet säkerhetsinställningarna regelbundet var 90:e minut för att säkerställa att eventuella ändringar från det angivna tillståndet åtgärdas. Med den här kontinuerliga övervakningen och autoremediering kan du ha en konsekvent och tillförlitlig säkerhetskonfiguration genom hela enhetens livscykel. Du kan inaktivera driftskyddet under distributionen när du konfigurerar säkerhetsinställningarna.
Säkerhetsbaslinje för arbetsbelastning
För arbetsbelastningar som körs på Azure Local kan du använda azure-rekommenderad operativsystembaslinje (för både Windows och Linux) som ett riktmärke för att definiera baslinjen för konfiguration av beräkningsresurser.
Plattformsuppdatering
Alla komponenter i Azure Local, inklusive operativsystemet, kärnagenter och tjänster och lösningstillägget, kan enkelt underhållas med Livscykelhanteraren. Med den här funktionen kan du paketera olika komponenter i en uppdateringsversion och verifierar kombinationen av versioner för att säkerställa samverkan. Läs mer i Lifecycle Manager för uppdateringar av lokala Azure-lösningar.
Kundarbetsbelastningar omfattas inte av den här uppdateringslösningen.
Hotsskydd
Funktionerna för skydd mot hot i det här avsnittet kan hjälpa dig att uppfylla följande krav för säkerhetskontroll i ISO/IEC 27001.
- 8.7 – Skydd mot skadlig kod
Windows Defender Antivirus
Windows Defender Antivirus är ett verktygsprogram som ger möjlighet att framtvinga systemgenomsökning i realtid och regelbunden genomsökning för att skydda plattform och arbetsbelastningar mot virus, skadlig kod, spionprogram och andra hot. Som standard är Microsoft Defender Antivirus aktiverat på Azure Local. Microsoft rekommenderar att du använder Microsoft Defender Antivirus med Azure Local i stället för program och tjänster för identifiering av antivirus och skadlig kod från tredje part eftersom de kan påverka operativsystemets möjlighet att ta emot uppdateringar. Läs mer på Microsoft Defender Antivirus på Windows Server.
Windows Defender-programkontroll (WDAC)
Windows Defender Application Control (WDAC) är aktiverat som standard på Azure Local för att styra vilka drivrutiner och program som tillåts köras direkt på varje dator, vilket förhindrar att skadlig kod kommer åt systemen. Läs mer om grundläggande principer som ingår i Azure Local och hur du skapar tilläggsprinciper i Windows Defender Application Control för Azure Local.
Microsoft Defender för molnet
Microsoft Defender för molnet med Endpoint Protection (aktiverat via Defender för servrar-planen) tillhandahåller en säkerhetshanteringslösning med avancerade funktioner för skydd mot hot. Det ger dig verktyg för att utvärdera säkerhetsstatusen för din infrastruktur, skydda arbetsbelastningar, skapa säkerhetsaviseringar och följa specifika rekommendationer för att åtgärda attacker och hantera framtida hot. Den utför alla dessa tjänster med hög hastighet i molnet utan några distributionskostnader genom automatisk etablering och skydd med Azure-tjänster. Läs mer på Microsoft Defender för molnet.
Säkerhetskopiering och återställning
Funktionerna för säkerhetskopiering och återställning som beskrivs i det här avsnittet kan hjälpa dig att uppfylla följande krav för säkerhetskontroll i ISO/IEC 27001.
- 8.7 – Skydd mot skadlig kod
- 8.13 – Säkerhetskopiering av information
- 8.14 – Informationsredundans
Utsträckt kluster
Azure Local har inbyggt stöd för katastrofåterställning av virtualiserade arbetsbelastningar via utökad klustring. Genom att distribuera en utsträckt lokal Azure-instans kan du synkront replikera dess virtualiserade arbetsbelastningar på två separata lokala platser och automatiskt redundansväxla mellan dem. Planerade plats-felövergångar kan ske utan stilleståndstid med Hyper-V live-migrering.
Kubernetes-klusternoder
Om du använder Azure Local som värd för containerbaserade distributioner hjälper plattformen dig att förbättra flexibiliteten och motståndskraften i Azure Kubernetes-distributioner. Azure Local hanterar automatisk redundansväxling av virtuella datorer som fungerar som Kubernetes-klusternoder om det uppstår ett lokaliserat fel i de underliggande fysiska komponenterna. Den här konfigurationen kompletterar den höga tillgänglighet som är inbyggd i Kubernetes, som automatiskt startar om misslyckade containrar på samma eller en annan virtuell dator.
Azure Site Recovery (återställningstjänst för webbplatser)
Med den här tjänsten kan du replikera arbetsbelastningar som körs på dina lokala lokala Azure-datorer till molnet så att informationssystemet kan återställas om det uppstår en incident, ett fel eller en förlust av lagringsmedia. Precis som andra Azure-molntjänster har Azure Site Recovery en lång erfarenhet av säkerhetscertifikat, inklusive HITRUST, som du kan använda för att stödja ackrediteringsprocessen. Läs mer i Skydda vm-arbetsbelastningar med Azure Site Recovery på Azure Local.
Microsoft Azure Backup Server (MABS)
Med den här tjänsten kan du säkerhetskopiera virtuella Azure Local-datorer och ange önskad frekvens och kvarhållningsperiod. Du kan använda MABS för att säkerhetskopiera de flesta av dina resurser i miljön, inklusive:
- Systemtillstånd/Bare Metal Recovery (BMR) för Azure lokal värd
- Virtuella gästdatorer i ett system som har lokal eller direkt ansluten lagring
- Virtuella gästdatorer på lokala Azure-instanser med CSV-lagring
- Flytta VM inom ett kluster
Läs mer i Säkerhetskopiera lokala virtuella Azure-datorer med Azure Backup Server.
Skalbarhet och tillgänglighet
De skalbarhets- och tillgänglighetsfunktioner som beskrivs i det här avsnittet kan hjälpa dig att uppfylla följande krav för säkerhetskontroll i ISO/IEC 27001.
- 8.6 – Kapacitetshantering
- 8.14 – Informationsredundans
Hyperkonvergerade modeller
Azure Local använder hyperkonvergerade modeller av Lagringsutrymmen Direct för att distribuera arbetsbelastningar. Med den här distributionsmodellen kan du enkelt skala genom att lägga till nya noder som automatiskt expanderar beräkning och lagring samtidigt utan avbrott.
Failover-kluster
Lokala Azure-instanser är redundanskluster. Om en server som ingår i Azure Local misslyckas eller blir otillgänglig tar en annan server i samma redundanskluster över uppgiften att tillhandahålla de tjänster som erbjuds av den misslyckade noden. Du skapar ett redundanskluster genom att aktivera Lagringsutrymmen direkt på flera datorer som kör Azure Local.