Přehled ukázky podrobného plánu ISO 27001: Sdílené službyOverview of the ISO 27001 Shared Services blueprint sample

Ukázka podrobného plánu ISO 27001: Sdílené služby poskytuje sadu kompatibilních vzorů infrastruktury a ochranné mantinely zásad, které pomáhají zajistit osvědčení ISO 27001.The ISO 27001 Shared Services blueprint sample provides a set of compliant infrastructure patterns and policy guard-rails that help towards ISO 27001 attestation. Tento podrobný plán pomáhá zákazníkům nasazovat cloudové architektury, které nabízejí řešení pro scénáře s požadavky na dodržování předpisů nebo akreditaci.This blueprint helps customers deploy cloud-based architectures that offer solutions to scenarios that have accreditation or compliance requirements.

Ukázka podrobného plánu úlohy ISO 27001 App Service Environment/SQL Database je rozšířením této ukázky.The ISO 27001 App Service Environment/SQL Database workload blueprint sample extends this sample.

ArchitekturaArchitecture

Ukázka podrobného plánu ISO 27001: Sdílené služby nasazuje v Azure základní infrastrukturu, kterou organizace mohou využít k hostování více úloh na základě přístupu VDC (virtuální datové centrum).The ISO 27001 Shared Services blueprint sample deploys a foundation infrastructure in Azure that can be used by organizations to host multiple workloads based on the Virtual Datacenter (VDC) approach. VDC je prověřená sada referenčních architektur, nástrojů pro automatizaci a modelů zapojení využívaných Microsoftem pro největší podnikové zákazníky.VDC is a proven set of reference architectures, automation tooling, and engagement model used by Microsoft with its largest enterprise customers. Ukázka podrobného plánu sdílených služeb je založená na plně nativním prostředí Azure VDC znázorněném níž.The Shared Services blueprint sample is based on a fully native Azure VDC environment shown below.

Návrhy ukázky podrobného plánu ISO 27001: Sdílené služby

Toto prostředí je tvořené několika službami Azure, které se využívají k zajištění zabezpečené a plně monitorované infrastruktury sdílených služeb na podnikové úrovni, která je založená na standardech ISO 27001.This environment is composed of several Azure services used to provide a secure, fully monitored, enterprise-ready shared services infrastructure based on ISO 27001 standards. Toto prostředí tvoří:This environment is composed of:

  • Role řízení přístupu na základě role (RBAC) využívaná k oddělení povinností od roviny kontrolRole-based access control (RBAC) roles used for segregation of duties from a control plane perspective. Před nasazením libovolné infrastruktury jsou definované tři role:Three roles are defined before deployment of any infrastructure:
    • Role NetOps má oprávnění spravovat síťové prostředí, včetně nastavení brány firewall, nastavení NSG, směrování a dalších síťových funkcíNetOps role has the rights to manage the network environment, including firewall settings, NSG settings, routing, and other networking functionality
    • Role SecOps má nezbytná oprávnění k nasazení a správě služby Azure Security Center, definování zásad Azure a další oprávnění související se zabezpečenímSecOps role has the necessary rights to deploy and manage Azure Security Center, define Azure Policies, and other security-related rights
    • Role SysOps má nezbytná oprávnění k definování zásad Azure v rámci předplatného, správě služby Log Analytics pro celé prostředí a další provozní právaSysOps role has the necessary rights to define Azure Policies within the subscription, manage Log Analytics for the entire environment, among other operational rights
  • Jako první služba Azure se nasadí Log Analytics, aby se zajistilo, že se všechny akce a služby připojují k centrálnímu umístění, a to od okamžiku, kdy vaše zabezpečené nasazení spustíte.Log Analytics is deployed as the first Azure service to ensure all actions and services log to a central location from the moment you start your secure deployment
  • Virtuální síť podporující podsítě pro možnosti připojení zpátky k místnímu datovému centru, zásobník příchozího a odchozího přenosu dat pro internetové připojení a podsíť sdílených služeb využívající skupiny zabezpečení sítě a skupiny zabezpečení aplikace pro kompletní mikrosegmentaci obsahující:A virtual network supporting subnets for connectivity back to an on-premises datacenter, an ingress and egress stack for Internet connectivity, and a shared service subnet using NSGs and ASGs for full micro-segmentation containing:
    • Jumpbox nebo hostitele typu bašta (bastion host) používaného pro účely správy, který je přístupný jenom přes službu Azure Firewall nasazenou v podsíti stacku příchozího přenosu datA jumpbox or bastion host used for management purposes, which can only be accessed over an Azure Firewall deployed in the ingress stack subnet
    • Dva virtuální počítače, na kterých běží Active Directory Domain Services (ADDS) a DNS, které jsou přístupné jenom přes tento jumpbox a které se dají nakonfigurovat jenom pro replikaci AD přes VPN nebo připojení ExpressRoute (nejsou nasazené v rámci podrobného plánu)Two virtual machines running Active Directory Domain Services (ADDS) and DNS only accessible through the jumpbox, and can be configured only to replicate AD over a VPN or ExpressRoute connection (not deployed by the blueprint)
    • Použití Azure Net Watcheru a standardní ochrany před útoky DDoSUse of Azure Net Watcher and standard DDoS protection
  • Instance služby Azure Key Vault, která slouží k hostování tajných kódů používaných pro virtuální počítače nasazené v prostředí sdílených služebAn Azure Key Vault instance used to host secrets used for the VMs deployed in the shared services environment

Všechny tyto prvky dodržují prověřené postupy publikované v článku zaměřeném na Centrum architektury Azure – referenční architektury.All these elements abide to the proven practices published in the Azure Architecture Center - Reference Architectures.

Poznámka

Infrastruktura ISO 27001: Sdílené služby poskytuje základní architekturu pro úlohy.The ISO 27001 Shared Services infrastructure lays out a foundational architecture for workloads. V rámci této základní architektury je ale pořád potřeba úlohy nasadit.You still need to deploy workloads behind this foundational architecture.

Další informace najdete v dokumentaci k virtuálním datovým centrům.For more information, see the Virtual Datacenter documentation.

Další krokyNext steps

Prošli jste si přehled a architekturu ukázky podrobného plánu ISO 27001: Sdílené služby.You've reviewed the overview and architecture of the ISO 27001 Shared Services blueprint sample. Jako další si projděte následující články, ve kterých se dozvíte víc o mapování kontrol a o postupu nasazení této ukázky:Next, visit the following articles to learn about the control mapping and how to deploy this sample:

Další články věnované podrobným plánům a postupu jejich využití:Additional articles about blueprints and how to use them: