你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

ISO 27001 共享服务蓝图示例的概述

重要

2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到模板规格部署堆栈。 蓝图项目将转换为 ARM JSON 模板或用于定义部署堆栈的 Bicep 文件。 若要了解如何将项目创作为 ARM 资源,请参阅:

ISO 27001 共享服务蓝图示例提供了一组符合标准的基础结构模式和策略防护机制,以便帮助通过 ISO 27001 认证。 此蓝图帮助客户部署基于云的体系结构,以便为有认证或符合性要求的方案提供解决方案。

ISO 27001 应用服务环境/SQL 数据库工作负荷蓝图示例扩展了此示例。

体系结构

ISO 27001 共享服务蓝图示例在 Azure 中部署一个基础结构,该基础结构可供组织用来基于虚拟数据中心 (VDC) 方法托管多个工作负荷。 VDC 是一套行之有效的参考体系结构、自动化工具和参与模型,由 Microsoft 用于其最大的企业客户。 共享服务蓝图示例基于下面所示的完全原生 Azure VDC 环境。

ISO 27001 共享服务蓝图示例设计

此环境包括多项 Azure 服务,这些服务用于根据 ISO 27001 标准提供安全的、全面受监视的、面向企业的共享服务基础结构。 此环境包括:

  • Azure 角色,用于从控制平面角度分离职责。 三个角色是在部署任何基础结构之前定义的:
    • NetOps 角色有权管理网络环境,包括防火墙设置、NSG 设置、路由和其他网络功能
    • SecOps 角色具有部署和管理 Azure 安全中心、界定 Azure Policy 定义的必要权限,还具有其他与安全相关的权限
    • SysOps 角色具有多项操作权限,包括在订阅中界定 Azure Policy 定义和为整个环境管理 Log Analytics 的必要权限
  • Log Analytics 作为第一个 Azure 服务进行部署,以便确保从开始安全部署起所有操作和服务都记录到一个中心位置
  • 一个虚拟网络,它支持用于连接回本地数据中心的子网、用于 Internet 连接的入口和出口堆叠、使用 NSG 和 ASG 进行完全微分段的共享服务子网,其中包含:
    • 一个用于管理目的的 Jumpbox 或堡垒主机,只能通过入口堆叠子网中部署的 Azure 防火墙访问
    • 两个运行 Active Directory 域服务 (Azure AD DS) 和 DNS 的虚拟机,只能通过 Jumpbox 访问,可配置为仅通过 VPN 或 ExpressRoute 连接来复制 AD(不按蓝图部署)
    • 使用 Azure 网络观察程序和标准 DDoS 保护
  • 一个 Azure Key Vault 实例,用于托管对共享服务环境中部署的 VM 使用的机密

所有这些元素遵守 Azure 体系结构中心 - 参考体系结构中发布的行之有效的做法。

注意

ISO 27001 共享服务基础结构奠定了适用于工作负荷的基础体系结构的基础。 你仍需要部署此基础体系结构后面的工作负荷。

有关详细信息,请参阅虚拟数据中心文档

后续步骤

你已查看了 ISO 27001 共享服务蓝图示例的概述和体系结构。 接下来,请访问以下文章,了解控制映射以及如何部署此示例:

有关蓝图及其使用方式的更多文章: