Panoramica del progetto di esempio Servizi condivisi ISO 27001Overview of the ISO 27001 Shared Services blueprint sample

Il progetto di esempio Servizi condivisi ISO 27001 offre un set di modelli di infrastrutture conformi e limiti di criteri utili per ottenere l'attestazione ISO 27001.The ISO 27001 Shared Services blueprint sample provides a set of compliant infrastructure patterns and policy guard-rails that help towards ISO 27001 attestation. Questo progetto consente ai clienti di distribuire architetture basate su cloud che offrono soluzioni per scenari con requisiti di accreditamento o conformità.This blueprint helps customers deploy cloud-based architectures that offer solutions to scenarios that have accreditation or compliance requirements.

Il progetto Carico di lavoro dell'ambiente del servizio app/database SQL ISO 27001 costituisce un'estensione di questo esempio.The ISO 27001 App Service Environment/SQL Database workload blueprint sample extends this sample.

ArchitetturaArchitecture

Il progetto di esempio Servizi condivisi ISO 27001 distribuisce un'infrastruttura di base in Azure che può essere usata dalle organizzazioni per ospitare più carichi di lavoro basati su data center virtuale.The ISO 27001 Shared Services blueprint sample deploys a foundation infrastructure in Azure that can be used by organizations to host multiple workloads based on the Virtual Datacenter (VDC) approach. Per data center virtuale si intende è un set consolidato di architetture di riferimento, strumenti di automazione e modelli di engagement usato da Microsoft con i principali clienti aziendali.VDC is a proven set of reference architectures, automation tooling, and engagement model used by Microsoft with its largest enterprise customers. Il progetto di esempio Servizi condivisi si basa su un ambiente di data center virtuale Azure completamente nativo illustrato di seguito.The Shared Services blueprint sample is based on a fully native Azure VDC environment shown below.

Struttura del progetto di esempio Servizi condivisi ISO 27001

Questo ambiente è costituito da diversi servizi di Azure usati per offrire un'infrastruttura di servizi condivisi di livello aziendale sicura e completamente monitorata, basata sugli standard ISO 27001.This environment is composed of several Azure services used to provide a secure, fully monitored, enterprise-ready shared services infrastructure based on ISO 27001 standards. L'ambiente è costituito da:This environment is composed of:

  • Ruoli Controllo degli accessi in base al ruolo usati per la separazione dei compiti dal punto di vista del piano di controllo.Role-based access control (RBAC) roles used for segregation of duties from a control plane perspective. Prima della distribuzione di qualsiasi infrastruttura vengono definiti tre ruoli:Three roles are defined before deployment of any infrastructure:
    • Il ruolo NetOps include i diritti per gestire l'ambiente di rete, tra cui le impostazioni del firewall, le impostazioni del gruppo di sicurezza di rete, il routing e altre funzionalità di reteNetOps role has the rights to manage the network environment, including firewall settings, NSG settings, routing, and other networking functionality
    • Il ruolo SecOps include i diritti necessari per distribuire e gestire Centro sicurezza di Azure, definire criteri di Azure e altri diritti correlati alla sicurezzaSecOps role has the necessary rights to deploy and manage Azure Security Center, define Azure Policies, and other security-related rights
    • Il ruolo SysOps include i diritti necessari per definire i criteri di Azure all'interno della sottoscrizione, gestire Log Analytics per l'intero ambiente, oltre ad altri diritti operativiSysOps role has the necessary rights to define Azure Policies within the subscription, manage Log Analytics for the entire environment, among other operational rights
  • Log Analytics è il primo servizio di Azure a essere distribuito e garantisce la registrazione di tutte le azioni e tutti i servizi in una posizione centrale dal momento in cui viene avviata la distribuzione sicuraLog Analytics is deployed as the first Azure service to ensure all actions and services log to a central location from the moment you start your secure deployment
  • Una rete virtuale che supporta subnet per la connettività a un data center locale, uno stack in ingresso e in uscita per la connettività Internet e una subnet del servizio condiviso con gruppi di sicurezza di rete e gruppi di sicurezza delle applicazioni per la microsegmentazione completa contenente:A virtual network supporting subnets for connectivity back to an on-premises datacenter, an ingress and egress stack for Internet connectivity, and a shared service subnet using NSGs and ASGs for full micro-segmentation containing:
    • Un host jumpbox o bastion usato per la gestione, accessibile solo tramite un'istanza di Firewall di Azure distribuita nella subnet dello stack in ingressoA jumpbox or bastion host used for management purposes, which can only be accessed over an Azure Firewall deployed in the ingress stack subnet
    • Due macchine virtuali che eseguono Active Directory Domain Services (AD DS) e DNS accessibile solo attraverso il jumpbox e configurabili solo per la replica di Active Directory in una connessione VPN o ExpressRoute (non distribuita dal progetto)Two virtual machines running Active Directory Domain Services (ADDS) and DNS only accessible through the jumpbox, and can be configured only to replicate AD over a VPN or ExpressRoute connection (not deployed by the blueprint)
    • Uso di Azure Network Watcher e protezione DDoS standardUse of Azure Net Watcher and standard DDoS protection
  • Un'istanza di Azure Key Vault usata per ospitare i segreti per le macchine virtuali distribuite nell'ambiente dei servizi condivisiAn Azure Key Vault instance used to host secrets used for the VMs deployed in the shared services environment

Tutti questi elementi sono conformi a procedure comprovate pubblicate in Centro architetture di Azure - Architetture di riferimento di Azure.All these elements abide to the proven practices published in the Azure Architecture Center - Reference Architectures.

Nota

L'infrastruttura di Servizi condivisi ISO 27001 predispone un'architettura di base per i carichi di lavoro.The ISO 27001 Shared Services infrastructure lays out a foundational architecture for workloads. Sarà comunque necessario distribuire i carichi di lavoro su cui viene definita questa architettura di base.You still need to deploy workloads behind this foundational architecture.

Per altre informazioni, vedere la documentazione di Data center virtuale.For more information, see the Virtual Datacenter documentation.

Passaggi successiviNext steps

È stata esaminata la panoramica e l'architettura del progetto di esempio Servizi condivisi ISO 27001.You've reviewed the overview and architecture of the ISO 27001 Shared Services blueprint sample. Vedere gli articoli seguenti per informazioni sul mapping dei controlli e su come distribuire questo esempio:Next, visit the following articles to learn about the control mapping and how to deploy this sample:

Altri articoli sui progetti e su come usarli:Addition articles about blueprints and how to use them: