Azure Local 和 ISO/IEC 27001：2022

適用於：Azure Local 2311.2 和更新版本

本文概述 Azure Local 如何協助組織符合雲端和內部部署中 ISO/IEC 27001：2022 的安全性控制需求。 深入瞭解 Azure 本機和其他安全性標準，請參閱 Azure 本機和安全性標準。

ISO/IEC 27001：2022

ISO/IEC 27001 是一項全球安全性標準，可指定建立、實作、操作、監視、維護和改善資訊安全管理系統 （ISMS） 的需求。 ISO/IEC 27001：2022 的認證可協助組織增強其安全性狀態、與客戶建立信任，並有助於滿足涉及資訊安全的各種法律和法規義務，例如PCI DSS、HIPAA、HITRUST和 FedRAMP。 深入瞭解 ISO/IEC 27001 的標準。

Azure 區域本地化

Azure Local 是一種混合式解決方案，可在組織的內部部署基礎結構與 Azure 雲端服務之間順暢地整合，協助合併虛擬化的工作負載和容器，並在數據因法律或隱私權原因而需要保留在內部部署時獲得雲端效率。 尋求 ISO/IEC 27001：2022 認證的組織應考慮其雲端和內部部署環境。

連線的雲端服務

Azure Local 提供與數個 Azure 服務的深入整合，例如 Azure 監視器、Azure 備份 和 Azure Site Recovery，以提供新功能給混合式環境。 這些雲端服務會定期進行 ISO/IEC 27001：2022 合規性的獨立第三方稽核。 您可以在 Azure 合規性供應專案 – ISO/IEC 27001：2022 檢閱 Azure 合規性供應專案的 Azure ISO/IEC 27001：2022 憑證和稽核報告。

重要

Azure 合規性狀態不會為組織在 Azure 平臺上建置或裝載的服務授與 ISO/IEC 27001 認證。 組織須負責確保其作業符合 ISO/IEC 27001：2022 需求。

內部部署解決方案

在內部部署中，Azure Local 提供一系列功能，可協助組織滿足 ISO/IEC 27001：2022 的安全性需求。 下列各節提供詳細資訊。

與 ISO/IEC 27001：2022 相關的 Azure 本地功能

本節概述組織如何使用 Azure 本機功能來符合 ISO/IEC 27001：2022 附錄 A 中的安全性控制。 下列資訊僅涵蓋技術需求。 與安全性作業相關的需求不在範圍內，因為 Azure 本機無法影響它們。 本指南由附件 A 的九個領域組織：

• 網路安全性
• 身分識別和存取管理
• 數據保護
• 記錄
• 監測
• 安全設定
• 威脅防護
• 備份和復原
• 延展性和可用性

本文中的指引概述如何使用 Azure 本機功能來符合每個網域的需求。 請務必注意，並非所有控件都是強制性的。 組織應分析其環境並執行風險評估，以判斷哪些控件是必要的。 如需需求的詳細資訊，請參閱 ISO/IEC 27001。

網路安全性

本節所述的網路安全性功能可協助您符合 ISO/IEC 27001 標準中指定的下列安全性控制。

• 8.20 – 網路安全性
• 8.21 – 網路服務的安全性
• 8.22 – 網路隔離
• 8.23 – Web 篩選

透過 Azure 本機，您可以套用網路安全控制，以保護平台及其上執行的工作負載不受來自內部和外部的網路威脅。 Azure Local 也保證主機上的公平網路配置，並透過負載均衡功能改善工作負載的效能和可用性。 通過以下文章深入了解 Azure Local 的網路安全性。

• 數據中心防火牆概觀
• 軟體定義網路的軟體負載平衡器 （SLB）
• SDN 的遠端存取服務 （RAS） 閘道
• Azure 本地上託管工作負載的服務品質政策

身分識別與存取權管理

本節所述的身分識別和存取管理功能可協助您符合 ISO/IEC 27001 標準中指定的下列安全性控制。

• 8.2 – 特殊存取權限
• 8.3 – 資訊存取限制
• 8.5 – 安全驗證

Azure Local 透過 Azure Arc 和 Windows PowerShell 等多個介面，提供在機器上執行之基礎系統的完整和直接存取權。 您可以在本機環境中或雲端式解決方案中使用傳統 Windows 工具，例如 Microsoft Entra ID （先前稱為 Azure Active Directory）來管理身分識別和平臺存取權。 在這兩種情況下，您可以利用內建安全性功能，例如多重要素驗證 （MFA）、條件式存取、角色型訪問控制 （RBAC）和特殊許可權身分識別管理 （PIM），以確保您的環境安全且符合規範。

若要深入瞭解本機身分識別和存取管理，請參閱 Microsoft Identity Manager 和 Active Directory 網域服務的 Privileged Access Management。 在 entra ID Microsoft深入了解雲端式身分識別和存取管理。

資料保護

本節所述的數據保護功能可協助您符合 ISO/IEC 27001 標準中指定的下列安全性控制。

• 8.5 – 安全驗證
• 8.20 – 網路安全性
• 8.21 - 網路服務的安全性
• 8.24 – 使用密碼編譯

使用 BitLocker 加密數據

在 Azure 本機實例上，所有靜態資料都可以透過 BitLocker 的 XTS-AES 256 位加密進行加密。 根據預設，系統會建議您啟用 BitLocker，在您的 Azure 本機部署中加密所有作業系統 （OS） 磁碟區和叢集共用磁碟區 （CSV）。 針對在部署之後新增的任何新記憶體磁碟區，您必須手動開啟 BitLocker 來加密新的記憶體磁碟區。 使用 BitLocker 來保護數據可協助組織遵守 ISO/IEC 27001 規範。 若要深入瞭解，請參閱搭配叢集共用磁碟區使用 BitLocker （CSV）。

使用 TLS/DTLS 保護外部網路流量

根據預設，所有對本機和遠端端點的主機通訊都會使用 TLS1.2、TLS1.3 和 DTLS 1.2 加密。 平臺會停用舊版通訊協定/哈希的使用，例如 TLS/DTLS 1.1 SMB1。 Azure Local 也支持強式加密套件，例如只限於 NIST 曲線 P-256 和 P-384 的 SDL 相容 橢圓曲線。

使用 SMB（伺服器訊息區）保護內部網路流量

Azure 本機實例中的用戶端連線預設會啟用SMB簽署。 針對叢集內部流量，SMB 加密是組織在部署期間或之後啟用的選項，可在系統之間保護傳輸中的數據。 用戶端-伺服器檔案流量和叢集內部數據網狀架構所使用的SMB 3.1.1通訊協定現在支援 AES-256-GCM 和 AES-256-CCM 密碼編譯套件。 通訊協議也繼續支援更廣泛的相容 AES-128 套件。 深入瞭解 SMB安全性增強功能。

記錄

本節所述的記錄功能可協助您符合 ISO/IEC 27001 標準中指定的下列安全性控制。

• 8.15 – 記錄
• 8.17 – 時鐘同步處理

本機系統記錄

根據預設，系統會記錄在 Azure 本機實例內執行的所有作業，以便追蹤平台上執行的人員、時間和位置。 Windows Defender 所建立的記錄和警示也包含在內，以協助您防止、偵測及最小化數據洩露的可能性和影響。 不過，由於系統記錄檔通常包含大量的資訊，因此大部分資訊都與資訊安全性監視無關，因此您必須識別要收集和利用哪些事件來進行安全性監視。 Azure 監視功能可協助收集、儲存、警示及分析這些記錄。 如需深入瞭解，請參閱 Azure 本機的安全性基準 。

本地活動日誌

Azure 本機生命週期管理員會針對執行的任何行動計劃建立並儲存活動記錄。 這些記錄支援更深入的調查和監視。

雲端活動記錄

藉由向 Azure 註冊系統，您可以使用 Azure 監視器活動記錄 來記錄訂用帳戶層中每個資源上的作業，以判斷訂用帳戶中資源上所採取之任何寫入作業（放置、張貼或刪除）的用途、人員及時間。

雲端身分識別記錄

如果您使用 Microsoft Entra ID 來管理身分識別和存取平臺，您可以在 Azure AD 報告中 檢視記錄，或將它們與 Azure 監視器、Microsoft Sentinel 或其他 SIEM/監視工具整合，以取得複雜的監視和分析使用案例。 如果您使用內部部署的 Active Directory，請使用 Microsoft Defender for Identity 解決方案，充分利用內部部署 AD 訊號，來識別、偵測和調查進階威脅、遭入侵的身分識別，以及針對貴組織的惡意內部人員行為。

SIEM 整合

Microsoft Defender for Cloud 和 Microsoft Sentinel 已經與啟用 Arc 的伺服器原生整合。 您可以啟用記錄並將其上架至 Microsoft Sentinel，其提供安全性資訊事件管理 （SIEM） 和安全性協調流程自動化回應 （SOAR） 功能。 Microsoft Sentinel 與其他 Azure 雲端服務一樣，也符合許多成熟的安全性標準，例如 ISO/IEC 27001，可協助您進行認證程式。 此外，Azure Local 提供原生 syslog 事件轉寄站，以將系統事件傳送至第三方 SIEM 解決方案。

監視

本節所述的監視功能可協助您符合 ISO/IEC 27001 標準中指定的下列安全性控制。

• 8.15 – 記錄

Azure 本地的洞見

適用於 Azure Local 的 Insights 可讓您監控連接至 Azure 並註冊於監控中的系統的健康狀況、效能和使用資訊。 在深入解析設定期間，會建立數據收集規則，以指定要收集的數據。 此數據會儲存在Log Analytics工作區中，然後匯總、篩選和分析，以使用 Azure 活頁簿提供預先建置的監視儀錶板。 您可以從 Azure 本機資源頁面或 Azure 監視器，檢視單一節點和多節點系統的監視數據。 如需詳細資訊，請參閱 Azure 本機監視深入解析。

Azure 本地度量指标

Azure 發布的本地儲存功能將受監視資源的數值數據儲存到時序資料庫。 您可以使用 Azure Monitor 指標瀏覽器，以互動方式分析指標資料庫中的數據，並繪製多個指標在不同時間的變化。 透過計量，您可以從計量值建立圖表，並以可視化方式將趨勢相互關聯。

記錄警示

若要即時指出問題，請使用預先存在的範例記錄查詢來設定 Azure Local 的警示，例如平均伺服器 CPU、可用的記憶體、可用的磁碟區容量等等。 如需詳細資訊，請參閱 設定 Azure 本機系統的警示。

指標警示

計量警示規則會定期評估資源計量的條件，以監視資源。 如果符合條件，即會引發警示。 計量時間序列是一段時間內所擷取的一系列計量值。 您可以使用這些計量來建立警示規則。 深入瞭解如何在 計量警示中建立計量警示。

服務和裝置警示

Azure Local 提供關於連線、作業系統更新、Azure 設定等的服務為基礎的警示。 也提供叢集健康故障的裝置型警示。 您也可以使用 PowerShell 或 Health Service 來監視 Azure 本機實例及其基礎元件。

安全設定

本節所述的安全設定功能可協助您符合 ISO/IEC 27001 的下列安全性控制需求。

• 8.8 – 管理技術弱點
• 8.9 – 組態管理

默認保護

根據預設，Azure Local 會藉由使用防禦新式威脅的安全性工具和技術來安全地進行設定，並與 Azure 計算安全性基準保持一致。 若要深入瞭解，請參閱 管理 Azure 本機的安全性預設值。

漂移保護

平台的預設安全性組態和安全核心設定會在部署和運行時間期間受到保護，並受到 漂移控制 保護。 啟用後，漂移控制保護會每隔 90 分鐘定期更新安全性設定，確保修正與指定狀態不一致的任何變更。 此持續監視和自動修復可讓您在整個裝置生命週期中擁有一致且可靠的安全性設定。 設定安全性設定時，您可以在部署期間停用漂移保護。

工作負載的安全性基準

針對在 Azure 本機上執行的工作負載，您可以使用 Azure 建議的作系統基準（適用於 Windows 和 Linux）作為基準，以定義計算資源組態基準。

平台更新

Azure Local 的所有元件，包括操作系統、核心代理程式和服務，以及解決方案擴充功能，都可以使用生命週期管理員輕鬆維護。 這項功能可讓您將不同的元件組合成更新版本，並驗證版本組合以確保互操作性。 如需深入瞭解 ，請參閱 Azure 本機解決方案更新的生命週期管理員。

此更新解決方案未涵蓋客戶工作負載。

威脅保護

本節中的威脅防護功能可協助您符合 ISO/IEC 27001 的下列安全性控制需求。

• 8.7 – 防範惡意代碼

Windows Defender 防毒軟體

Windows Defender 防病毒軟體是公用程式應用程式，可讓您強制執行即時系統掃描和定期掃描，以保護平臺和工作負載免於病毒、惡意代碼、間諜軟體和其他威脅。 預設情況下，Azure Local 上會啟用 Microsoft Defender 防毒軟體。 Microsoft建議搭配 Azure 本機使用 Microsoft Defender 防毒軟體，而不是第三方防毒和惡意代碼偵測軟體和服務，因為它們可能會影響操作系統接收更新的能力。 若要深入瞭解 ，請參閱 Windows Server 上的 Microsoft Defender 防病毒軟體。

Windows Defender 應用程式控制 (WDAC)

Windows Defender 應用程控 （WDAC） 預設會在 Azure 本機上啟用，以控制允許在每部電腦上直接執行哪些驅動程式和應用程式，協助防止惡意代碼存取系統。 深入瞭解 Azure 本機中包含的基底原則，以及如何在 適用於 Azure 本機的 Windows Defender 應用程控中建立補充原則。

適用於雲端的 Microsoft Defender

Microsoft Defender for Cloud 配合 Endpoint Protection（透過 適用於伺服器的 Defender 方案啟用），提供具備進階威脅防護功能的安全性管理解決方案。 它提供您工具來評估基礎結構的安全性狀態、保護工作負載、引發安全性警示，並遵循特定建議來補救攻擊並解決未來的威脅。 它會透過使用 Azure 服務的自動布建和保護，以高速方式在雲端中執行所有這些服務，而不需要部署額外負荷。 若要深入瞭解 Microsoft Defender for Cloud，請參閱。

備份及復原

本節所述的備份和復原功能可協助您符合 ISO/IEC 27001 的下列安全性控制需求。

• 8.7 – 防範惡意代碼
• 8.13 – 信息備份
• 8.14 – 信息的冗餘

延展式叢集

Azure 本機利用延展式叢集，提供虛擬化工作負載的災害復原內建支援。 藉由部署 Azure 延展本機實例，您可以同步地在兩個不同的內部部署位置間復寫其虛擬化工作負載，並自動在這兩者之間進行故障轉移。 使用 Hyper-V 即時遷移，可以在無需停機的情況下進行計劃性站台故障轉移。

Kubernetes 叢集節點

如果您使用 Azure 本機來裝載容器型部署，平臺能協助您提升 Azure Kubernetes 部署固有的靈活性和韌性。 如果基礎實體元件發生區域性失敗，Azure Local 會管理作為 Kubernetes 叢集節點的 VM 自動故障轉移。 此設定可以補充 Kubernetes 內建的高可用性，在相同或另一部 VM 上自動重新啟動失敗的容器。

Azure Site Recovery（站台復原服務）

此服務可讓您將內部部署 Azure 本機 VM 上執行的工作負載復寫至雲端，以便在發生事件、失敗或遺失記憶體媒體時還原信息系統。 與其他 Azure 雲端服務一樣，Azure Site Recovery 有很長的安全性憑證記錄，包括 HITRUST，可用來支援您的認證程式。 若要深入瞭解，請參閱使用 Azure 本機上的 Azure Site Recovery 保護 VM 工作負載。

Microsoft Azure 備份伺服器 (MABS)

此服務可讓您備份 Azure 本機虛擬機，並指定所需的頻率和保留期間。 您可以使用 MABS 在整個環境中備份大部分的資源，包括：

• Azure 本機主機的系統狀態/裸機復原（BMR）
• 在具有本地或直接連接存儲的系統中的客體 VM
• 具有 CSV 儲存的 Azure 本機執行個體上的虛擬機器客體
• VM 在集群中移動

若要深入瞭解，請參閱 使用 Azure 備份伺服器備份 Azure 本機虛擬機。

延展性和可用性

本節所述的延展性和可用性功能可協助您符合 ISO/IEC 27001 的下列安全性控制需求。

• 8.6 – 容量管理
• 8.14 – 信息的冗餘

超融合模型

Azure Local 會使用儲存空間直接存取的超融合模型來部署工作負載。 此部署模型可讓您輕鬆地調整，方法是新增新的節點，以零停機同時自動擴充計算和記憶體。

冗餘叢集

Azure 地區實例是故障轉移叢集。 如果屬於 Azure 本機的一台伺服器發生故障或變得不可用，相同故障轉移叢集中的另一台伺服器將接管由故障節點所提供的服務。 您可以藉由在執行 Azure Local 的多部電腦上啟用 Storage Spaces Direct，來建立容錯移轉叢集。