Mapování kontrol ukázky podrobného plánu ISO 27001: Sdílené služby

Důležité

11. července 2026 se podrobné plány (Preview) přestanou používat. Migrujte existující definice a přiřazení podrobného plánu do šablonových specifikací a zásobníků nasazení. Artefakty podrobného plánu se mají převést na šablony JSON ARM nebo soubory Bicep používané k definování zásobníků nasazení. Informace o vytváření artefaktu jako prostředku ARM najdete tady:

• Zásady
• RBAC
• Nasazení

Následující článek podrobně popisuje, jak ukázka podrobného plánu ISO 27001 Sdílených služeb Azure Blueprints mapuje na ovládací prvky ISO 27001.

Následující mapování jsou na ovládací prvky ISO 27001:2013 . Pomocí navigace vpravo přejděte přímo na konkrétní mapování ovládacího prvku. Mnoho mapovaných ovládacích prvků se implementuje s iniciativou Azure Policy . Pokud chcete zkontrolovat úplnou iniciativu, otevřete na webu Azure Portal zásady a vyberte stránku Definice . Pak vyhledejte a vyberte kontrolní mechanismy ISO 27001:2013 a nasaďte konkrétní rozšíření virtuálních počítačů, která podporují požadavky na audit předdefinované zásady.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů ve službě Azure Policy se proto týká jenom samotných zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi ovládacími prvky a definicemi azure Policy pro tuto ukázku podrobného plánu dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

A.6.1.2 Oddělení povinností

Mít jenom jednoho vlastníka předplatného Azure neumožňuje redundanci správy. Naopak příliš mnoho vlastníků předplatného Azure může zvýšit potenciál porušení zabezpečení prostřednictvím ohroženého účtu vlastníka. Tento podrobný plán vám pomůže udržovat odpovídající počet vlastníků předplatného Azure přiřazením dvou definic Azure Policy , které auditují počet vlastníků předplatných Azure. Správa oprávnění vlastníka předplatného vám může pomoct s implementací vhodného oddělení povinností.

• Pro vaše předplatné by se měli určit nanejvýš 3 vlastníci.
• K vašemu předplatnému by měl být přiřazený více než jeden vlastník.

A.8.2.1 Klasifikace informací

Služba Posouzení ohrožení zabezpečení SQL v Azure vám může pomoct zjistit citlivá data uložená v databázích a obsahuje doporučení ke klasifikaci dat. Tento podrobný plán přiřadí definici služby Azure Policy k auditování, že se opraví ohrožení zabezpečení identifikovaná během kontroly posouzení ohrožení zabezpečení SQL.

• Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.

A.9.1.2 Přístup k sítím a síťovým službám

Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům Azure. Tento podrobný plán vám pomůže řídit přístup k prostředkům Azure přiřazením sedmi definic Azure Policy . Tyto zásady auditují použití typů a konfigurací prostředků, které můžou umožnit přístup k prostředkům s větší pravděpodobností. Porozumění prostředkům, které jsou v rozporu s těmito zásadami, vám můžou pomoct s nápravnými akcemi, abyste zajistili, že přístup k prostředkům Azure je omezený na oprávněné uživatele.

• Zobrazení výsledků auditu z virtuálních počítačů s Linuxem, které mají účty bez hesel
• Zobrazení výsledků auditu z virtuálních počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel
• Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru.
• Virtuální počítače by se měly migrovat do nových prostředků Azure Resource Manageru.
• Auditovat virtuální počítače, které nevyužívají spravované disky

A.9.2.3 Správa privilegovaných přístupových práv

Tento podrobný plán vám pomůže omezit a řídit privilegovaná přístupová práva tím, že přiřadíte čtyři definice služby Azure Policy k auditování externích účtů s oprávněními vlastníka nebo zápisu s oprávněními vlastníka nebo zápisu, které nemají povolené vícefaktorové ověřování. Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům Azure. Tento podrobný plán také přiřazuje tři definice azure Policy k auditování použití ověřování Azure Active Directory pro SQL Servery a Service Fabric. Použití ověřování Azure Active Directory umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft. Tento podrobný plán také přiřadí definici služby Azure Policy k auditování použití vlastních pravidel Azure RBAC. Pochopení toho, kde se implementují vlastní pravidla Azure RBAC, vám můžou pomoct ověřit potřebu a správnou implementaci, protože vlastní pravidla Azure RBAC jsou náchylná k chybám.

• U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.
• Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA.
• Z vašeho předplatného by se měly odebrat externí účty s oprávněními vlastníka.
• Z předplatného by se měly odebrat externí účty s oprávněními pro zápis
• Správce Azure Active Directory by měl být zřízený pro sql servery.
• Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.
• Auditování využití vlastních pravidel RBAC

A.9.2.4 Správa tajných ověřovacích informací uživatelů

Tento podrobný plán přiřazuje tři definice služby Azure Policy k auditování účtů, které nemají povolené vícefaktorové ověřování. Vícefaktorové ověřování pomáhá zabezpečit účty i v případě ohrožení jedné části ověřovacích informací. Monitorováním účtů bez povoleného vícefaktorového ověřování můžete identifikovat účty, u kterých může dojít k ohrožení zabezpečení. Tento podrobný plán také přiřadí dvě definice služby Azure Policy, které auditují oprávnění k souborům hesel virtuálního počítače s Linuxem, aby upozorňovaly, pokud jsou správně nastavené. Toto nastavení umožňuje provést nápravnou akci, abyste zajistili, že ověřovací znaky nebudou ohroženy.

• U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.
• U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování.
• Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA.
• Zobrazení výsledků auditu z virtuálních počítačů s Linuxem, které nemají nastavená přístupová oprávnění k souboru 0644

A.9.2.5 Kontrola přístupových práv uživatelů

Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům v Azure. Pomocí webu Azure Portal můžete zkontrolovat, kdo má přístup k prostředkům Azure a jejich oprávnění. Tento podrobný plán přiřazuje čtyři definice služby Azure Policy k auditování účtů, které by měly být upřednostňovány ke kontrole, včetně vyřazených účtů a externích účtů se zvýšenými oprávněními.

• Zastaralé účty by se měly z vašeho předplatného odebrat.
• Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.
• Z vašeho předplatného by se měly odebrat externí účty s oprávněními vlastníka.
• Z předplatného by se měly odebrat externí účty s oprávněními pro zápis

A.9.2.6 Odebrání nebo úprava přístupových práv

Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům v Azure. Pomocí Azure Active Directory a Azure RBAC můžete aktualizovat role uživatelů tak, aby odrážely změny organizace. V případě potřeby je možné zablokovat přihlášení (nebo odebrání) účtů, které okamžitě odeberou přístupová práva k prostředkům Azure. Tento podrobný plán přiřazuje dvě definice Azure Policy k auditování vyřazeného účtu, který by se měl zvážit pro odebrání.

• Zastaralé účty by se měly z vašeho předplatného odebrat.
• Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.

A.9.4.2 Zabezpečené postupy přihlašování

Tento podrobný plán přiřazuje tři definice služby Azure Policy k auditování účtů, které nemají povolené vícefaktorové ověřování. Azure AD Multi-Factor Authentication poskytuje dodatečné zabezpečení tím, že vyžaduje druhou formu ověřování a zajišťuje silné ověřování. Monitorováním účtů bez povoleného vícefaktorového ověřování můžete identifikovat účty, u kterých může dojít k ohrožení zabezpečení.

• U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.
• U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování.
• Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA.

A.9.4.3 Systém pro správu hesel

Tento podrobný plán vám pomůže vynutit silná hesla přiřazením 10 definic Azure Policy , které auditují virtuální počítače s Windows, které nevynucují minimální sílu a další požadavky na heslo. Povědomí o virtuálních počítačích v rozporu se zásadami síly hesel pomáhá provádět nápravné akce, které zajistí, že hesla pro všechny uživatelské účty virtuálních počítačů vyhovují zásadám.

• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které nemají povolené nastavení složitosti hesla
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které nemají maximální stáří hesla 70 dnů
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které nemají minimální stáří hesla 1 den
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které neomezují minimální délku hesla na 14 znaků
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které umožňují opakované použití předchozích 24 hesel

A.10.1.1 Zásady použití kryptografických ovládacích prvků

Tento podrobný plán vám pomůže vynucovat zásady týkající se používání ovládacích prvků kryptografických metrik přiřazením 13 definic Azure Policy , které vynucují konkrétní kontroly kryptografických dat a auditují použití slabých kryptografických nastavení. Pochopení, kde vaše prostředky Azure můžou mít neoptimální kryptografické konfigurace, vám můžou pomoct provést nápravné akce, abyste zajistili, že jsou prostředky nakonfigurované v souladu s vašimi zásadami zabezpečení informací. Konkrétně zásady přiřazené tímto podrobným plánem vyžadují šifrování účtů úložiště objektů blob a účtů Data Lake Storage; vyžadovat transparentní šifrování dat u databází SQL; audit chybějícího šifrování účtů úložiště, databází SQL, disků virtuálních počítačů a proměnných účtu Automation; auditování nezabezpečených připojení k účtům úložiště, aplikacím funkcí, webovým aplikacím, aplikacím API a Redis Cache; auditovat slabé šifrování hesla virtuálního počítače; a auditujte nešifrovanou komunikaci Service Fabric.

• Aplikace funkcí by měla být přístupná jenom přes HTTPS.
• Webová aplikace by měla být přístupná jen přes protokol HTTPS
• Aplikace API by měla být přístupná jenom přes HTTPS.
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování
• Pro virtuální počítače by se mělo povolit šifrování disků
• Proměnné účtu Automation by měly být šifrované.
• Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis.
• Měl by se povolit zabezpečený přenos do účtů úložiště
• Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign.
• transparentní šifrování dat v databázích SQL by měly být povolené

Protokolování událostí A.12.4.1

Tento podrobný plán vám pomůže zajistit protokolování systémových událostí přiřazením sedmi definic Azure Policy , které auditují nastavení protokolu u prostředků Azure. Diagnostické protokoly poskytují přehled o operacích provedených v rámci prostředků Azure.

• Auditovat nasazení agenta závislostí – nevysazená image virtuálního počítače (OS)
• Audit nasazení agenta závislostí ve škálovacích sadách virtuálních počítačů – image virtuálního počítače (OS) není v seznamu
• [Preview]: Audit nasazení agenta Log Analytics – image virtuálního počítače (operační systém) není v seznamu
• Audit nasazení agenta Log Analytics ve škálovacích sadách virtuálních počítačů – nevysazená image virtuálního počítače (OS)
• Auditování nastavení diagnostiky
• Auditování na SQL Serveru by mělo být povolené.

A.12.4.3 Správa istrator a protokoly operátorů

Tento podrobný plán vám pomůže zajistit protokolování systémových událostí přiřazením sedmi definic Azure Policy, které auditují nastavení protokolu u prostředků Azure. Diagnostické protokoly poskytují přehled o operacích provedených v rámci prostředků Azure.

• Auditovat nasazení agenta závislostí – nevysazená image virtuálního počítače (OS)
• Audit nasazení agenta závislostí ve škálovacích sadách virtuálních počítačů – image virtuálního počítače (OS) není v seznamu
• [Preview]: Audit nasazení agenta Log Analytics – image virtuálního počítače (operační systém) není v seznamu
• Audit nasazení agenta Log Analytics ve škálovacích sadách virtuálních počítačů – nevysazená image virtuálního počítače (OS)
• Auditování nastavení diagnostiky
• Auditování na SQL Serveru by mělo být povolené.

Synchronizace hodin A.12.4.4

Tento podrobný plán vám pomůže zajistit protokolování systémových událostí přiřazením sedmi definic Azure Policy, které auditují nastavení protokolu u prostředků Azure. Protokoly Azure využívají synchronizované interní hodiny k vytvoření časového korelovaného záznamu událostí napříč prostředky.

• Auditovat nasazení agenta závislostí – nevysazená image virtuálního počítače (OS)
• Audit nasazení agenta závislostí ve škálovacích sadách virtuálních počítačů – image virtuálního počítače (OS) není v seznamu
• [Preview]: Audit nasazení agenta Log Analytics – image virtuálního počítače (operační systém) není v seznamu
• Audit nasazení agenta Log Analytics ve škálovacích sadách virtuálních počítačů – nevysazená image virtuálního počítače (OS)
• Auditování nastavení diagnostiky
• Auditování na SQL Serveru by mělo být povolené.

A.12.5.1 Instalace softwaru v operačních systémech

Adaptivní řízení aplikací je řešení ze služby Azure Security Center, které pomáhá řídit, které aplikace se můžou spouštět na virtuálních počítačích umístěných v Azure. Tento podrobný plán přiřadí definici služby Azure Policy, která monitoruje změny sady povolených aplikací. Tato funkce pomáhá řídit instalaci softwaru a aplikací na virtuálních počítačích Azure.

• Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.

A.12.6.1 Správa technických ohrožení zabezpečení

Tento podrobný plán vám pomůže spravovat ohrožení zabezpečení informačního systému přiřazením pěti definic služby Azure Policy , které monitorují chybějící aktualizace systému, ohrožení zabezpečení operačního systému, ohrožení zabezpečení SQL a ohrožení zabezpečení virtuálních počítačů ve službě Azure Security Center. Azure Security Center poskytuje možnosti vytváření sestav, které umožňují získat přehled o stavu zabezpečení nasazených prostředků Azure v reálném čase.

• Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center
• Na počítače by se měly nainstalovat aktualizace systému
• V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
• Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
• Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.

A.12.6.2 Omezení instalace softwaru

Adaptivní řízení aplikací je řešení ze služby Azure Security Center, které pomáhá řídit, které aplikace se můžou spouštět na virtuálních počítačích umístěných v Azure. Tento podrobný plán přiřadí definici služby Azure Policy, která monitoruje změny sady povolených aplikací. Omezení instalace softwaru vám můžou pomoct snížit pravděpodobnost zavedení ohrožení zabezpečení softwaru.

• Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.

A.13.1.1 Síťové ovládací prvky

Tento podrobný plán vám pomůže spravovat a řídit sítě tím, že přiřadí definici služby Azure Policy , která monitoruje skupiny zabezpečení sítě pomocí pravidel, která jsou pro vás nutná. Pravidla, která jsou příliš přístupná, můžou umožňovat nezamýšlený přístup k síti a měla by se zkontrolovat. Tento podrobný plán také přiřadí tři definice Azure Policy, které monitorují nechráněné koncové body, aplikace a účty úložiště. Koncové body a aplikace, které nejsou chráněné bránou firewall, a účty úložiště s neomezeným přístupem můžou umožnit nezamýšlený přístup k informacím obsaženým v informačním systému.

• Přístup přes internetový koncový bod by měl být omezený.
• Účty úložiště by měly omezit přístup k síti

A.13.2.1 Zásady a postupy přenosu informací

Podrobný plán vám pomůže zajistit zabezpečení přenosu informací se službami Azure tím, že přiřadí dvě definice služby Azure Policy pro audit nezabezpečených připojení k účtům úložiště a službě Azure Cache for Redis.

• Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis.
• Měl by se povolit zabezpečený přenos do účtů úložiště

Další kroky

Teď, když jste se seznámili s mapováním kontrol podrobného plánu ISO 27001 Shared Services, najdete v následujících článcích informace o architektuře a postupu nasazení této ukázky:

Podrobný plán ISO 27001 Sdílené služby – Přehledpodrobného plánu ISO 27001 Sdílené služby – Kroky nasazení

Další články věnované podrobným plánům a postupu jejich využití:

• Další informace o životním cyklu podrobného plánu
• Principy použití statických a dynamických parametrů
• Další informace o přizpůsobení pořadí podrobných plánů
• Použití zamykání prostředků podrobného plánu
• Další informace o aktualizaci existujících přiřazení