ISO 27001 共用服務藍圖範例概觀
重要
在 2026 年 7 月 11 日,藍圖 (預覽) 將會淘汰。 將現有的藍圖定義和指派移轉至範本規格和部署堆疊。 藍圖成品會轉換成用來定義部署堆疊的 ARM JSON 範本或 Bicep 檔案。 若要了解如何將成品撰寫為 ARM 資源,請參閱:
ISO 27001 共用服務藍圖範例提供一組符合規範的基礎結構模式和原則防護措施,可協助您取得 ISO 27001 證明。 此藍圖可協助客戶部署雲端式架構,進而將解決方案提供給有認證或合規性需求的案例。
ISO 27001 App Service 環境/SQL Database 工作負載藍圖範例會延續此範例。
架構
ISO 27001 共用服務藍圖範例會在 Azure 中部署基礎結構,讓組織使用此結構來裝載多個以虛擬資料中心 (VDC) 方法為基礎的工作負載。 VDC 是經過實證的一組參考架構、自動化工具和業務開發模型,由 Microsoft 和其最大企業客戶所使用。 共用服務藍圖範例會以完全原生的 Azure VDC 環境為基礎,如下所示。
此環境包含數個 Azure 服務,用來提供以 ISO 27001 標準為基礎且完全受到監視的企業級安全共用服務基礎結構。 此環境包含:
- Azure 角色,以便從控制平面的角度來進行權責區分。 部署任何基礎結構之前,會定義三個角色:
- NetOps 角色有權管理網路環境,包括防火牆設定、NSG 設定、路由及其他網路功能
- SecOps 角色具有部署和管理 Azure 資訊安全中心和定義 Azure 原則定義的必要權限,以及其他與安全性相關的權限
- SysOps 角色具有在訂用帳戶中定義 Azure 原則定義和為整個環境管理 Log Analytics 的必要權限,以及其他與作業相關的權限
- Log Analytics 會部署為第一個 Azure 服務,以確保當您開始進行安全部署時,所有動作和服務皆會記錄到中央位置
- 虛擬網路,其支援用於連接回內部部署資料中心的子網路、用於網際網路連線的輸入和輸出堆疊,以及為進行完整微型分割而使用 NSG 和 ASG 的共用服務子網路,包括:
- 作為管理用途的 Jumpbox 或防禦主機,其只能透過輸入堆疊子網路中部署的 Azure 防火牆來存取
- 執行 Azure Active Directory Domain Services (Azure AD DS) 和 DNS 的兩部虛擬機器,這兩部虛擬機器只能透過 Jumpbox 存取,而且可設定為只能透過 VPN 或 ExpressRoute 連線來複寫 AD (不是由藍圖所部署)
- 使用 Azure 網路監看員與標準 DDoS 保護
- Azure Key Vault 執行個體,用來裝載共用服務環境中已部署 VM 所使用的祕密
所有這些項目皆遵循 Azure 架構中心 - 參考架構中所發佈且經過實證的做法。
注意
ISO 27001 共用服務基礎結構會配置工作負載的基礎架構。 在此基礎架構的背後,您仍需要部署工作負載。
如需詳細資訊,請參閱虛擬資料中心文件。
下一步
您已檢閱 ISO 27001 共用服務藍圖範例的概觀和架構。 接下來,請瀏覽下列文章,以深入了解控制項對應及部署此範例的方法:
有關藍圖及其使用方式的其他文件: