ISO 27001 共有サービス ブループリント サンプルの概要Overview of the ISO 27001 Shared Services blueprint sample

ISO 27001 共有サービス ブループリント サンプルでは、ISO 27001 構成証明に役立つ一連の準拠インフラストラクチャ パターンおよびポリシー ガードレールが提供されます。The ISO 27001 Shared Services blueprint sample provides a set of compliant infrastructure patterns and policy guard-rails that help towards ISO 27001 attestation. このブループリントにより、お客様は、認定またはコンプライアンスの要件があるシナリオにソリューションを提供するクラウド ベースのアーキテクチャをデプロイできます。This blueprint helps customers deploy cloud-based architectures that offer solutions to scenarios that have accreditation or compliance requirements.

ISO 27001 App Service Environment/SQL Database ワークロード ブループリント サンプルによりこのサンプルは拡張されます。The ISO 27001 App Service Environment/SQL Database workload blueprint sample extends this sample.

ArchitectureArchitecture

ISO 27001 共有サービス ブループリント サンプルにより、仮想データセンター (VDC) アプローチに基づいて複数のワークロードをホストするために組織が使用できる Azure 内の基盤インフラストラクチャがデプロイされます。The ISO 27001 Shared Services blueprint sample deploys a foundation infrastructure in Azure that can be used by organizations to host multiple workloads based on the Virtual Datacenter (VDC) approach. VDC は、Microsoft がその最大規模のエンタープライズのお客様と共に使用する参照アーキテクチャ、オートメーション ツール、およびエンゲージメント モデルの実証済みのセットです。VDC is a proven set of reference architectures, automation tooling, and engagement model used by Microsoft with its largest enterprise customers. 共有サービスのブループリント サンプルは、次に示す完全にネイティブな Azure VDC 環境に基づきます。The Shared Services blueprint sample is based on a fully native Azure VDC environment shown below.

ISO 27001 共有サービスのブループリント サンプル設計

この環境は、ISO 27001 標準に基づいた、完全に監視された安全なエンタープライズ対応の共有サービス インフラストラクチャを提供するために使用される複数の Azure サービスで構成されます。This environment is composed of several Azure services used to provide a secure, fully monitored, enterprise-ready shared services infrastructure based on ISO 27001 standards. この環境は、以下で構成されます。This environment is composed of:

  • Azure ロール。コントロール プレーンの観点から義務の分離のために使用します。Azure roles used for segregation of duties from a control plane perspective. すべてのインフラストラクチャのデプロイの前に、3 つのロールが定義されています。Three roles are defined before deployment of any infrastructure:
    • NetOps ロールには、ファイアウォール設定、NSG 設定、ルーティング、その他のネットワーク機能を含むネットワーク環境を管理する権限があります。NetOps role has the rights to manage the network environment, including firewall settings, NSG settings, routing, and other networking functionality
    • SecOps ロールには、Azure Security Center をデプロイ、管理し、Azure Policy 定義を定義するのに必要な権限、およびその他のセキュリティ関連の権限がありますSecOps role has the necessary rights to deploy and manage Azure Security Center, define Azure Policy definitions, and other security-related rights
    • SysOps ロールには、サブスクリプション内で Azure Policy 定義を定義し、環境全体のその他の運用権限の中で Log Analytics を管理するのに必要な権限がありますSysOps role has the necessary rights to define Azure Policy definitions within the subscription, manage Log Analytics for the entire environment, among other operational rights
  • Log Analytics は、セキュリティで保護されたデプロイの開始以降、すべてのアクションとサービス ログを一元化する最初の Azure サービスとしてデプロイされます。Log Analytics is deployed as the first Azure service to ensure all actions and services log to a central location from the moment you start your secure deployment
  • オンプレミス データセンター、インターネット接続用のイングレス/エグレス スタック、および以下を含むフル マイクロセグメンテーション用に NSG および ASG を使用する共有サービス サブネットへの折り返し接続用のサブネットをサポートする仮想ネットワーク。A virtual network supporting subnets for connectivity back to an on-premises datacenter, an ingress and egress stack for Internet connectivity, and a shared service subnet using NSGs and ASGs for full micro-segmentation containing:
    • 管理目的で使用されるジャンプボックスまたは踏み台ホスト。イングレス スタック サブネットにデプロイされた Azure Firewall 経由でのみアクセスできます。A jumpbox or bastion host used for management purposes, which can only be accessed over an Azure Firewall deployed in the ingress stack subnet
    • ジャンプボックスからのみアクセスできる Azure Active Directory Domain Services (Azure AD DS) および DNS を実行する 2 つの仮想マシン。VPN または ExpressRoute 接続 (ブループリントでデプロイされていない) 経由で AD をレプリケートするためだけに構成できますTwo virtual machines running Azure Active Directory Domain Services (Azure AD DS) and DNS only accessible through the jumpbox, and can be configured only to replicate AD over a VPN or ExpressRoute connection (not deployed by the blueprint)
    • Azure Net Watcher と標準 DDoS 保護の使用Use of Azure Net Watcher and standard DDoS protection
  • Azure Key Vault インスタンス。共有サービス環境にデプロイされた VM 用に使用されるシークレットをホストします。An Azure Key Vault instance used to host secrets used for the VMs deployed in the shared services environment

これらの要素はすべて、「Azure アーキテクチャ センター - 参照アーキテクチャ」で公開されている実証済みのプラクティスに従っています。All these elements abide to the proven practices published in the Azure Architecture Center - Reference Architectures.

注意

ISO 27001 共有サービス インフラストラクチャによって、ワークロード用の基本アーキテクチャが示されています。The ISO 27001 Shared Services infrastructure lays out a foundational architecture for workloads. この基本アーキテクチャに従ってワークロードをデプロイする必要があります。You still need to deploy workloads behind this foundational architecture.

詳細については、Virtual Datacenter のドキュメントを参照してください。For more information, see the Virtual Datacenter documentation.

次のステップNext steps

ISO 27001 共有サービス ブループリント サンプルの概要とアーキテクチャを確認しました。You've reviewed the overview and architecture of the ISO 27001 Shared Services blueprint sample. 次に、コントロール マッピングと、このサンプルをデプロイする方法を確認するには、次の記事を参照してください。Next, visit the following articles to learn about the control mapping and how to deploy this sample:

ブループリントとその使用方法に関するその他の記事:Additional articles about blueprints and how to use them: