Vue d’ensemble de l’exemple de blueprint Services partagés ISO 27001Overview of the ISO 27001 Shared Services blueprint sample

L’exemple de blueprint Services partagés ISO 27001 fournit un ensemble de modèles d’infrastructure conformes et de garde-fou stratégiques qui facilitent l’attestation ISO 27001.The ISO 27001 Shared Services blueprint sample provides a set of compliant infrastructure patterns and policy guard-rails that help towards ISO 27001 attestation. Ce blueprint aide les clients à déployer des architectures cloud qui offrent des solutions aux scénarios qui impliquent des obligations d’accréditation ou de conformité.This blueprint helps customers deploy cloud-based architectures that offer solutions to scenarios that have accreditation or compliance requirements.

L’exemple de blueprint Charge de travail App Service Environment/SQL Database ISO 27001 développe cet exemple.The ISO 27001 App Service Environment/SQL Database workload blueprint sample extends this sample.

ArchitectureArchitecture

L’exemple de blueprint Services partagés ISO 27001 déploie une infrastructure de base dans Azure que les organisations peuvent utiliser pour héberger plusieurs charges de travail selon l’approche du centre de données virtuel.The ISO 27001 Shared Services blueprint sample deploys a foundation infrastructure in Azure that can be used by organizations to host multiple workloads based on the Virtual Datacenter (VDC) approach. Le centre de données virtuel est un ensemble éprouvé d’architectures de référence, d’outils d’automatisation et de modèles d’engagement utilisés par Microsoft avec ses grandes entreprises clientes.VDC is a proven set of reference architectures, automation tooling, and engagement model used by Microsoft with its largest enterprise customers. L’exemple de blueprint Services partagés s’appuie sur un environnement de centre de données virtuel Azure entièrement natif illustré ci-dessous.The Shared Services blueprint sample is based on a fully native Azure VDC environment shown below.

Conception de l’exemple de blueprint Services partagés ISO 27001

Cet environnement se compose de plusieurs services Azure utilisés pour fournir une infrastructure de services partagés sécurisée, entièrement supervisée et prête pour les entreprises, basée sur les normes ISO 27001.This environment is composed of several Azure services used to provide a secure, fully monitored, enterprise-ready shared services infrastructure based on ISO 27001 standards. Cet environnement comporte les éléments suivants :This environment is composed of:

  • Rôles de contrôle d’accès en fonction du rôle (RBAC) utilisés pour la ségrégation des tâches du point de vue du plan de contrôle.Role-based access control (RBAC) roles used for segregation of duties from a control plane perspective. Trois rôles sont définis avant le déploiement d’une infrastructure :Three roles are defined before deployment of any infrastructure:
    • Le rôle NetOps dispose des droits nécessaires pour gérer l’environnement réseau, notamment les paramètres du pare-feu, les paramètres du groupe de sécurité réseau, le routage et d’autres fonctionnalités réseau.NetOps role has the rights to manage the network environment, including firewall settings, NSG settings, routing, and other networking functionality
    • Le rôle SecOps dispose des droits nécessaires pour déployer et gérer Azure Security Center, définir des stratégies Azure et d’autres droits liés à la sécurité.SecOps role has the necessary rights to deploy and manage Azure Security Center, define Azure Policies, and other security-related rights
    • Le rôle SysOps dispose des droits nécessaires pour définir des stratégies Azure au sein de l’abonnement, gérer Log Analytics pour tout l’environnement, ainsi que d’autres droits opérationnels.SysOps role has the necessary rights to define Azure Policies within the subscription, manage Log Analytics for the entire environment, among other operational rights
  • Log Analytics est déployé en tant que premier service Azure pour vérifier que toutes les actions et tous les services journalisent à un emplacement central à partir du moment où vous démarrez votre déploiement sécurisé.Log Analytics is deployed as the first Azure service to ensure all actions and services log to a central location from the moment you start your secure deployment
  • Un réseau virtuel prenant en charge des sous-réseaux pour la connectivité à un centre de données local, une pile d’entrée et de sortie pour la connectivité Internet et un sous-réseau de service partagé qui utilise des groupes de sécurité réseau et ASG pour la micro-segmentation complète contenant :A virtual network supporting subnets for connectivity back to an on-premises datacenter, an ingress and egress stack for Internet connectivity, and a shared service subnet using NSGs and ASGs for full micro-segmentation containing:
    • Un serveur de rebond ou hôte bastion utilisé à des fins de gestion, uniquement accessible par le biais d’un pare-feu Azure déployé dans le sous-réseau de la pile d’entréeA jumpbox or bastion host used for management purposes, which can only be accessed over an Azure Firewall deployed in the ingress stack subnet
    • Deux machines virtuelles exécutant AADS (Active Directory Domain Services) et DNS uniquement accessibles par Jumpbox, pouvant être configurées uniquement pour répliquer AD sur un VPN ou une connexion ExpressRoute (non déployée par le blueprint)Two virtual machines running Active Directory Domain Services (ADDS) and DNS only accessible through the jumpbox, and can be configured only to replicate AD over a VPN or ExpressRoute connection (not deployed by the blueprint)
    • Utilisation d’Azure Net Watcher et d’une protection DDoS standardUse of Azure Net Watcher and standard DDoS protection
  • Une instance Azure Key Vault utilisée pour héberger les secrets utilisés pour les machines virtuelles déployées dans l’environnement des services partagésAn Azure Key Vault instance used to host secrets used for the VMs deployed in the shared services environment

Tous ces éléments se conforment aux pratiques éprouvées publiés dans Centre des architectures Azure - Architectures de référence.All these elements abide to the proven practices published in the Azure Architecture Center - Reference Architectures.

Notes

L’infrastructure Services partagés ISO 27001 expose une architecture de base pour les charges de travail.The ISO 27001 Shared Services infrastructure lays out a foundational architecture for workloads. Vous devez quand même déployer des charges de travail derrière cette architecture de base.You still need to deploy workloads behind this foundational architecture.

Pour plus d’informations, consultez la documentation du centre de données virtuel.For more information, see the Virtual Datacenter documentation.

Étapes suivantesNext steps

Vous avez parcouru la vue d’ensemble et l’architecture de l’exemple de blueprint Services partagés ISO 27001.You've reviewed the overview and architecture of the ISO 27001 Shared Services blueprint sample. Continuez avec les articles suivants pour découvrir les correspondances de contrôles et la manière de déployer cet exemple :Next, visit the following articles to learn about the control mapping and how to deploy this sample:

Autres articles sur les blueprints et la manière de les utiliser :Additional articles about blueprints and how to use them: