Kontrollmappning av skissexemplet ISO 27001 Delade tjänster

Följande artikel beskriver hur skissexemplet för Azure Blueprints ISO 27001 Delade tjänster mappar till ISO 27001-kontrollerna. Mer information om kontrollerna finns i ISO 27001.

Följande mappningar gäller iso 27001:2013-kontrollerna . Använd navigeringen till höger för att gå direkt till en specifik kontrollmappning. Många av de mappade kontrollerna implementeras med ett Azure Policy-initiativ . Om du vill granska hela initiativet öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj kontrollerna [Förhandsversion] Granska ISO 27001:2013 och distribuera specifika VM-tillägg för att stödja inbyggda principinitiativ för granskningskrav.

Viktigt

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller en fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan kontroller och Azure Policy-definitioner för det här kompatibilitetsskissexemplet kan ändras med tiden. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

A.6.1.2 Ansvarsfördelning

Att bara ha en Azure-prenumerationsägare tillåter inte administrativ redundans. Omvänt kan för många Azure-prenumerationsägare öka risken för intrång via ett komprometterat ägarkonto. Den här skissen hjälper dig att upprätthålla ett lämpligt antal Azure-prenumerationsägare genom att tilldela två Azure Policy-definitioner som granskar antalet ägare för Azure-prenumerationer. Genom att hantera behörigheter för prenumerationsägare kan du implementera lämplig ansvarsfördelning.

  • Högst 3 ägare bör utses för din prenumeration
  • Det bör finnas fler än en ägare tilldelad till din prenumeration

A.8.2.1 Klassificering av information

Azures SQL Vulnerability Assessment-tjänst kan hjälpa dig att identifiera känsliga data som lagras i dina databaser och innehåller rekommendationer för att klassificera dessa data. Den här skissen tilldelar en Azure Policy-definition för granskning av att säkerhetsrisker som identifierats under SQL Vulnerability Assessment-genomsökningen åtgärdas.

  • Säkerhetsrisker i dina SQL-databaser bör åtgärdas

A.9.1.2 Åtkomst till nätverk och nätverkstjänster

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till Azure-resurser. Den här skissen hjälper dig att styra åtkomsten till Azure-resurser genom att tilldela sju Azure Policy-definitioner . Dessa principer granskar användningen av resurstyper och konfigurationer som kan tillåta mer tillåtande åtkomst till resurser. Att förstå resurser som bryter mot dessa principer kan hjälpa dig att vidta korrigerande åtgärder för att säkerställa att åtkomsten till Azure-resurser är begränsad till behöriga användare.

  • Visa granskningsresultat från virtuella Linux-datorer som har konton utan lösenord
  • Visa granskningsresultat från virtuella Linux-datorer som tillåter fjärranslutningar från konton utan lösenord
  • Lagringskonton ska migreras till nya Azure Resource Manager-resurser
  • Virtuella datorer ska migreras till nya Azure Resource Manager-resurser
  • Granska virtuella datorer som inte använder hanterade diskar

A.9.2.3 Hantering av privilegierade åtkomsträttigheter

Den här skissen hjälper dig att begränsa och kontrollera privilegierade åtkomsträttigheter genom att tilldela fyra Azure Policy-definitioner för granskning av externa konton med ägar- och/eller skrivbehörigheter och konton med ägar- och/eller skrivbehörigheter som inte har multifaktorautentisering aktiverat. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till Azure-resurser. Den här skissen tilldelar också tre Azure Policy-definitioner för granskning av användning av Azure Active Directory-autentisering för SQL-servrar och Service Fabric. Med Azure Active Directory-autentisering kan du förenkla behörighetshantering och central identitetshantering för databasanvändare och andra Microsoft-tjänster. Den här skissen tilldelar också en Azure Policy-definition för att granska användningen av anpassade Azure RBAC-regler. Att förstå var anpassade Azure RBAC-regler implementeras kan hjälpa dig att verifiera behovet och korrekt implementering, eftersom anpassade Azure RBAC-regler är felbenägna.

  • MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen
  • Externa konton med ägarbehörigheter bör tas bort från din prenumeration
  • Externa konton med skrivbehörigheter bör tas bort från din prenumeration
  • En Azure Active Directory-administratör bör etableras för SQL-servrar
  • Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering
  • Granska användningen av anpassade RBAC-regler

A.9.2.4 Hantering av hemlig autentiseringsinformation för användare

Den här skissen tilldelar tre Azure Policy-definitioner till granskningskonton som inte har multifaktorautentisering aktiverat. Multifaktorautentisering hjälper till att skydda konton även om en del av autentiseringsinformationen komprometteras. Genom att övervaka konton utan multifaktorautentisering aktiverat kan du identifiera konton som kan vara mer benägna att komprometteras. Den här skissen tilldelar också två Azure Policy-definitioner som granskar filbehörigheter för lösenordsfiler för virtuella Linux-datorer för att avisera om de har angetts felaktigt. Med den här konfigurationen kan du vidta åtgärder för att säkerställa att autentiseringen inte komprometteras.

  • MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
  • MFA ska aktiveras på konton med läsbehörighet för din prenumeration
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen
  • Visa granskningsresultat från virtuella Linux-datorer som inte har behörigheterna för passwd-filen inställda på 0644

A.9.2.5 Granskning av användaråtkomsträttigheter

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till resurser i Azure. Med hjälp av Azure-portalen kan du granska vem som har åtkomst till Azure-resurser och deras behörigheter. Den här skissen tilldelar fyra Azure Policy-definitioner till granskningskonton som ska prioriteras för granskning, inklusive avskrivna konton och externa konton med förhöjd behörighet.

  • Inaktuella konton bör tas bort från din prenumeration
  • Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration
  • Externa konton med ägarbehörigheter bör tas bort från din prenumeration
  • Externa konton med skrivbehörigheter bör tas bort från din prenumeration

A.9.2.6 Borttagning eller justering av åtkomsträttigheter

Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till resurser i Azure. Med hjälp av Azure Active Directory och Azure RBAC kan du uppdatera användarroller så att de återspeglar organisationsändringar. Vid behov kan konton blockeras från att logga in (eller tas bort), vilket omedelbart tar bort åtkomsträttigheter till Azure-resurser. Den här skissen tilldelar två Azure Policy-definitioner för granskning av avskrivt konto som bör övervägas för borttagning.

  • Inaktuella konton bör tas bort från din prenumeration
  • Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration

A.9.4.2 Säkra inloggningsprocedurer

Den här skissen tilldelar tre Azure Policy-definitioner till granskningskonton som inte har multifaktorautentisering aktiverat. Azure AD Multi-Factor Authentication ger ytterligare säkerhet genom att kräva en andra form av autentisering och ger stark autentisering. Genom att övervaka konton utan multifaktorautentisering aktiverat kan du identifiera konton som kan vara mer benägna att komprometteras.

  • MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
  • MFA ska aktiveras på konton med läsbehörighet för din prenumeration
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen

A.9.4.3 Lösenordshanteringssystem

Den här skissen hjälper dig att framtvinga starka lösenord genom att tilldela 10 Azure Policy-definitioner som granskar virtuella Windows-datorer som inte tillämpar minsta styrka och andra lösenordskrav. Medvetenhet om virtuella datorer som bryter mot principen för lösenordsstyrka hjälper dig att vidta korrigerande åtgärder för att säkerställa att lösenord för alla virtuella datoranvändarkonton är kompatibla med principen.

  • Visa granskningsresultat från virtuella Windows-datorer som inte har inställningen lösenordskomplexitet aktiverad
  • Visa granskningsresultat från virtuella Windows-datorer som inte har en maximal lösenordsålder på 70 dagar
  • Visa granskningsresultat från virtuella Windows-datorer som inte har en lägsta lösenordsålder på 1 dag
  • Visa granskningsresultat från virtuella Windows-datorer som inte begränsar minsta längd på lösenord till 14 tecken
  • Visa granskningsresultat från virtuella Windows-datorer som tillåter återanvändning av de tidigare 24 lösenorden

A.10.1.1 Princip för användning av kryptografiska kontroller

Den här skissen hjälper dig att tillämpa din princip på användningen av kryptografkontroller genom att tilldela 13 Azure Policy-definitioner som tillämpar specifika kryptografkontroller och granskar användningen av svaga kryptografiska inställningar. Att förstå var dina Azure-resurser kan ha icke-optimala kryptografiska konfigurationer kan hjälpa dig att vidta korrigerande åtgärder för att säkerställa att resurser konfigureras i enlighet med din informationssäkerhetsprincip. Mer specifikt kräver de principer som tilldelas av den här skissen kryptering för bloblagringskonton och Data Lake-lagringskonton. kräver transparent datakryptering på SQL-databaser. granska kryptering som saknas på lagringskonton, SQL-databaser, virtuella datordiskar och automationskontovariabler. granska osäkra anslutningar till lagringskonton, funktionsappar, webbappar, API-appar och Redis Cache. granska svag lösenordskryptering för virtuella datorer. och granska okrypterad Service Fabric-kommunikation.

  • Funktionsappen ska endast vara tillgänglig via HTTPS
  • Webbprogrammet ska endast vara tillgängligt via HTTPS
  • API-appen ska endast vara tillgänglig via HTTPS
  • Visa granskningsresultat från virtuella Windows-datorer som inte lagrar lösenord med omvändbar kryptering
  • Diskkryptering bör tillämpas på virtuella datorer
  • Automation-kontovariabler ska krypteras
  • Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade
  • Säker överföring till lagringskonton ska vara aktiverat
  • Service Fabric-kluster bör ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign
  • Transparent datakryptering på SQL-databaser bör vara aktiverat

A.12.4.1 Händelseloggning

Den här skissen hjälper dig att säkerställa att systemhändelser loggas genom att tilldela sju Azure Policy-definitioner som granskar logginställningarna på Azure-resurser. Diagnostikloggar ger insikter om åtgärder som har utförts i Azure-resurser.

  • Granska distribution av beroendeagent – VM-avbildning (OS) olistad
  • Granska distribution av beroendeagent i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
  • [Förhandsversion]: Granska Log Analytics-agentdistribution – VM-avbildning (OS) olistad
  • Granska Log Analytics-agentdistribution i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
  • Granska diagnostikinställning
  • Granskning på SQL Server ska vara aktiverat

A.12.4.3 Administratörs- och operatörsloggar

Den här skissen hjälper dig att säkerställa att systemhändelser loggas genom att tilldela sju Azure Policy-definitioner som granskar logginställningarna på Azure-resurser. Diagnostikloggar ger insikter om åtgärder som har utförts i Azure-resurser.

  • Granska distribution av beroendeagent – VM-avbildning (OS) olistad
  • Granska distribution av beroendeagent i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
  • [Förhandsversion]: Granska Log Analytics-agentdistribution – VM-avbildning (OS) olistad
  • Granska Log Analytics-agentdistribution i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
  • Granska diagnostikinställning
  • Granskning på SQL Server ska vara aktiverat

A.12.4.4 Klocksynkronisering

Den här skissen hjälper dig att säkerställa att systemhändelser loggas genom att tilldela sju Azure Policy-definitioner som granskar logginställningarna på Azure-resurser. Azure-loggar förlitar sig på synkroniserade interna klockor för att skapa en tidskorrelerad post av händelser mellan resurser.

  • Granska distribution av beroendeagent – VM-avbildning (OS) olistad
  • Granska distribution av beroendeagent i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
  • [Förhandsversion]: Granska Log Analytics-agentdistribution – VM-avbildning (OS) olistad
  • Granska Log Analytics-agentdistribution i VM-skalningsuppsättningar – VM-avbildning (OS) olistad
  • Granska diagnostikinställning
  • Granskning på SQL Server ska vara aktiverat

A.12.5.1 Installation av programvara i driftsystem

Anpassningsbar programkontroll är en lösning från Azure Security Center som hjälper dig att styra vilka program som kan köras på dina virtuella datorer i Azure. Den här skissen tilldelar en Azure Policy-definition som övervakar ändringar i uppsättningen tillåtna program. Den här funktionen hjälper dig att styra installationen av programvara och program på virtuella Azure-datorer.

  • Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer

A.12.6.1 Hantering av tekniska säkerhetsrisker

Den här skissen hjälper dig att hantera sårbarheter i informationssystemet genom att tilldela fem Azure Policy-definitioner som övervakar saknade systemuppdateringar, säkerhetsproblem i operativsystemet, SQL-sårbarheter och sårbarheter för virtuella datorer i Azure Security Center. Azure Security Center innehåller rapporteringsfunktioner som gör att du kan få insikter i realtid om säkerhetstillståndet för distribuerade Azure-resurser.

  • Övervaka endpoint Protection som saknas i Azure Security Center
  • Systemuppdateringar ska ha installerats på dina datorer
  • Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas
  • Säkerhetsrisker i dina SQL-databaser bör åtgärdas
  • Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning

A.12.6.2 Begränsningar för programvaruinstallation

Anpassningsbar programkontroll är en lösning från Azure Security Center som hjälper dig att styra vilka program som kan köras på dina virtuella datorer i Azure. Den här skissen tilldelar en Azure Policy-definition som övervakar ändringar i uppsättningen tillåtna program. Begränsningar för programvaruinstallation kan hjälpa dig att minska sannolikheten för att programsårbarheter introduceras.

  • Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer

A.13.1.1 Nätverkskontroller

Den här skissen hjälper dig att hantera och kontrollera nätverk genom att tilldela en Azure Policy-definition som övervakar nätverkssäkerhetsgrupper med tillåtande regler. Regler som är för tillåtande kan tillåta oavsiktlig nätverksåtkomst och bör granskas. Den här skissen tilldelar även tre Azure Policy-definitioner som övervakar oskyddade slutpunkter, program och lagringskonton. Slutpunkter och program som inte skyddas av en brandvägg och lagringskonton med obegränsad åtkomst kan tillåta oavsiktlig åtkomst till information som finns i informationssystemet.

  • Åtkomst via internetuppkopplad slutpunkt bör begränsas
  • Lagringskonton bör begränsa nätverksåtkomsten

A.13.2.1 Principer och procedurer för informationsöverföring

Skissen hjälper dig att säkerställa att informationsöverföring med Azure-tjänster är säker genom att tilldela två Azure Policy-definitioner för granskning av osäkra anslutningar till lagringskonton och Azure Cache for Redis.

  • Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade
  • Säker överföring till lagringskonton ska vara aktiverat

Nästa steg

Nu när du har granskat kontrollmappningen för skissen ISO 27001 Delade tjänster kan du läsa följande artiklar om arkitekturen och hur du distribuerar det här exemplet:

Ytterligare artiklar om skisser och hur de används: