Introducción al ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidosOverview of the ISO 27001 Shared Services blueprint sample

El ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidos proporciona un conjunto de patrones de infraestructura compatibles y una directiva de protección que ayuda a la obtención de la certificación ISO 27001.The ISO 27001 Shared Services blueprint sample provides a set of compliant infrastructure patterns and policy guard-rails that help towards ISO 27001 attestation. Este plano técnico ayuda a los clientes a implementar arquitecturas basadas en la nube que ofrecen soluciones para escenarios que tienen requisitos de acreditación o de cumplimiento.This blueprint helps customers deploy cloud-based architectures that offer solutions to scenarios that have accreditation or compliance requirements.

El ejemplo de plano técnico para cargas de trabajo de App Service Environment y SQL Database compatibles con ISO 27001 amplía este ejemplo.The ISO 27001 App Service Environment/SQL Database workload blueprint sample extends this sample.

ArquitecturaArchitecture

El ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidos implementa una infraestructura básica en Azure que diferentes organizaciones pueden usar para hospedar varias cargas de trabajo según el enfoque de Virtual Datacenter (VDC).The ISO 27001 Shared Services blueprint sample deploys a foundation infrastructure in Azure that can be used by organizations to host multiple workloads based on the Virtual Datacenter (VDC) approach. VDC es un conjunto probado de arquitecturas de referencia, herramientas de automatización y modelos de involucración que emplea Microsoft con sus clientes empresariales de mayor tamaño.VDC is a proven set of reference architectures, automation tooling, and engagement model used by Microsoft with its largest enterprise customers. El ejemplo de plano técnico de los servicios compartidos se basa en un entorno totalmente nativo de Azure VDC que se muestra a continuación.The Shared Services blueprint sample is based on a fully native Azure VDC environment shown below.

Diseño de ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidos

Este entorno se compone de varios servicios de Azure que se usan para proporcionar una infraestructura de servicios compartidos segura, totalmente supervisada y preparada para la empresa, que se basa en los estándares de la norma ISO 27001.This environment is composed of several Azure services used to provide a secure, fully monitored, enterprise-ready shared services infrastructure based on ISO 27001 standards. Este entorno se compone de:This environment is composed of:

  • Control de acceso basado en rol (RBAC): roles usados para la separación de funciones desde una perspectiva de plano de control.Role-based access control (RBAC) roles used for segregation of duties from a control plane perspective. Antes de la implementación de cualquier infraestructura se definen tres roles:Three roles are defined before deployment of any infrastructure:
    • El rol NetOps tiene permisos para administrar el entorno de red, incluida la configuración del firewall, la del grupo de seguridad de red, el enrutamiento y otras funcionalidades de la red.NetOps role has the rights to manage the network environment, including firewall settings, NSG settings, routing, and other networking functionality
    • El rol SecOps incluye los permisos necesarios para implementar y administrar Azure Security Center, definir directivas de Azure y otros permisos relacionados con la seguridad.SecOps role has the necessary rights to deploy and manage Azure Security Center, define Azure Policies, and other security-related rights
    • El rol SysOps incluye los permisos necesarios para definir directivas de Azure dentro de la suscripción, administrar Log Analytics para todo el entorno, entre otros permisos operativos.SysOps role has the necessary rights to define Azure Policies within the subscription, manage Log Analytics for the entire environment, among other operational rights
  • Log Analytics se implementa como el primer servicio de Azure para garantizar que todas las acciones y servicios se registran en una ubicación central desde el momento en que empieza la implementación segura.Log Analytics is deployed as the first Azure service to ensure all actions and services log to a central location from the moment you start your secure deployment
  • Una red virtual que admite subredes para la conectividad con un centro de datos local, una pila de entrada y de salida para la conectividad con Internet y una subred de servicios compartidos que usa grupos de seguridad de red y ASG para una microsegmentación completa que contiene:A virtual network supporting subnets for connectivity back to an on-premises datacenter, an ingress and egress stack for Internet connectivity, and a shared service subnet using NSGs and ASGs for full micro-segmentation containing:
    • Un jumpbox o un host de tipo bastión que se usa con fines de administración y al que solo se puede acceder a través de una instancia de Azure Firewall implementada en la subred de la pila de entrada.A jumpbox or bastion host used for management purposes, which can only be accessed over an Azure Firewall deployed in the ingress stack subnet
    • Dos máquinas virtuales que ejecutan Active Directory Domain Services (ADDS) y un sistema de nombres de dominio al que solo se puede acceder mediante el jumpbox, y que únicamente se puede configurar para que replique AD en una conexión VPN o de ExpressRoute (que el plano técnico no implementa).Two virtual machines running Active Directory Domain Services (ADDS) and DNS only accessible through the jumpbox, and can be configured only to replicate AD over a VPN or ExpressRoute connection (not deployed by the blueprint)
    • Uso de Azure Net Watcher y protección contra DDoS estándarUse of Azure Net Watcher and standard DDoS protection
  • Una instancia de Azure Key Vault utilizada para hospedar los secretos empleados por las máquinas virtuales implementadas en el entorno de servicios compartidosAn Azure Key Vault instance used to host secrets used for the VMs deployed in the shared services environment

Todos estos elementos se atienen a los procedimientos probados que se publicaron en Centro de arquitectura de Azure: Arquitecturas de referencia.All these elements abide to the proven practices published in the Azure Architecture Center - Reference Architectures.

Nota

La infraestructura de servicios compartidos de la norma ISO 27001 presenta una arquitectura básica para cargas de trabajo.The ISO 27001 Shared Services infrastructure lays out a foundational architecture for workloads. Deberá implementar cargas de trabajo adicionales más allá de esta arquitectura básica.You still need to deploy workloads behind this foundational architecture.

Para más información, consulte la documentación sobre Virtual Datacenter.For more information, see the Virtual Datacenter documentation.

Pasos siguientesNext steps

Ya ha revisado la introducción y arquitectura del ejemplo de plano técnico de la norma ISO 27001 sobre servicios compartidos.You've reviewed the overview and architecture of the ISO 27001 Shared Services blueprint sample. Ahora, visite los siguientes artículos para más información sobre la asignación de control y la implementación de este ejemplo:Next, visit the following articles to learn about the control mapping and how to deploy this sample:

Artículos adicionales sobre planos técnicos y cómo utilizarlos:Addition articles about blueprints and how to use them: