Overzicht van de voorbeeldblauwdruk voor ISO 27001 conforme gedeelde servicesOverview of the ISO 27001 Shared Services blueprint sample

De voorbeeldblauwdruk voor ISO 27001 conforme gedeelde services biedt een set met conforme infrastructuurpatronen en beleidsrichtlijnen die de route naar ISO 27001-attestatie vergemakkelijken.The ISO 27001 Shared Services blueprint sample provides a set of compliant infrastructure patterns and policy guard-rails that help towards ISO 27001 attestation. Aan de hand van deze blauwdruk kunnen klanten op de cloud gebaseerde architecturen implementeren die oplossingen bieden voor scenario's met accreditatie- en nalevingsvereisten.This blueprint helps customers deploy cloud-based architectures that offer solutions to scenarios that have accreditation or compliance requirements.

Het blauwdrukvoorbeeld ISO 27001 conforme App Service Environment-/SQL Database-workloads vormt hier een aanvulling op.The ISO 27001 App Service Environment/SQL Database workload blueprint sample extends this sample.

ArchitectuurArchitecture

Met de voorbeeldblauwdruk voor ISO 27001 conforme gedeelde services wordt in Azure een infrastructureel fundament geïmplementeerd waarmee organisaties meerdere workloads kunnen hosten op basis van de VDC-benadering (Virtual Datacenter).The ISO 27001 Shared Services blueprint sample deploys a foundation infrastructure in Azure that can be used by organizations to host multiple workloads based on the Virtual Datacenter (VDC) approach. VDC is een in de praktijk bewezen set referentiearchitecturen, automatiseringshulpmiddelen en interactiemodellen die door Microsoft worden gebruikt voor de grootste enterprise-klanten.VDC is a proven set of reference architectures, automation tooling, and engagement model used by Microsoft with its largest enterprise customers. Het blauwdrukvoorbeeld voor gedeelde services is gebaseerd op de volledig systeemeigen Azure-VDC-omgeving die hieronder wordt weergegeven.The Shared Services blueprint sample is based on a fully native Azure VDC environment shown below.

Ontwerp van blauwdrukvoorbeeld voor ISO 27001 conforme gedeelde services

Deze omgeving bestaat uit diverse Azure-services die samen een veilige, volledig bewaakte en direct inzetbare infrastructuur voor gedeelde services bieden op basis van de ISO 27001-standaarden.This environment is composed of several Azure services used to provide a secure, fully monitored, enterprise-ready shared services infrastructure based on ISO 27001 standards. De omgeving bestaat uit de volgende elementen:This environment is composed of:

  • Azure-rollen voor scheiding van taken met het oog op optimaal beheer.Azure roles used for segregation of duties from a control plane perspective. Vóór de implementatie van de infrastructuur worden er drie rollen gedefinieerd:Three roles are defined before deployment of any infrastructure:
    • De rol NetOps beschikt over de rechten die nodig zijn om de netwerkomgeving te beheren, waaronder firewallinstellingen, instellingen voor netwerkbeveiligingsgroepen, routering en andere netwerkfunctiesNetOps role has the rights to manage the network environment, including firewall settings, NSG settings, routing, and other networking functionality
    • De rol SecOps beschikt over de rechten die nodig zijn om het Azure Security Center te implementeren en te beheren, en het Azure Policy-definities te definiëren, evenals over andere beveiligingsgerelateerde rechtenSecOps role has the necessary rights to deploy and manage Azure Security Center, define Azure Policy definitions, and other security-related rights
    • De rol SysOps beschikt over de rechten die nodig zijn om het Azure Policy-definities binnen het abonnement te definiëren en Log Analytics te beheren voor de volledige omgeving, evenals over andere operationele rechtenSysOps role has the necessary rights to define Azure Policy definitions within the subscription, manage Log Analytics for the entire environment, among other operational rights
  • Als eerste Azure-service wordt Log Analytics geïmplementeerd om te garanderen dat er op een centrale locatie logboeken worden bijgehouden voor alle acties en services zodra u begint met de beveiligde implementatieLog Analytics is deployed as the first Azure service to ensure all actions and services log to a central location from the moment you start your secure deployment
  • Een virtueel netwerk dat ondersteuning biedt voor subnetten voor connectiviteit met een on-premises datacenter, een stack voor inkomend en uitgaand verkeer voor internetconnectiviteit, en een subnet voor gedeelde services waarin gebruik wordt gemaakt van netwerkbeveiligingsgroepen (NSG's) en toepassingsbeveiligingsgroepen (ASG's) voor volledige micro-segmentatie. Het netwerk bevat de volgende elementen:A virtual network supporting subnets for connectivity back to an on-premises datacenter, an ingress and egress stack for Internet connectivity, and a shared service subnet using NSGs and ASGs for full micro-segmentation containing:
    • Een jumpbox- of bastionhost die wordt gebruikt voor beheertaken en alleen kan worden benaderd via een Azure-firewall die is geïmplementeerd in het subnet voor de stack voor inkomend verkeerA jumpbox or bastion host used for management purposes, which can only be accessed over an Azure Firewall deployed in the ingress stack subnet
    • Twee virtuele machines met Azure Active Directory Domain Services (Azure AD DS) en DNS die uitsluitend toegankelijk zijn via de jumpbox en alleen kunnen worden geconfigureerd voor replicatie van AD via een VPN- of ExpressRoute-verbinding (niet geïmplementeerd door de blauwdruk)Two virtual machines running Azure Active Directory Domain Services (Azure AD DS) and DNS only accessible through the jumpbox, and can be configured only to replicate AD over a VPN or ExpressRoute connection (not deployed by the blueprint)
    • Azure Net Watcher en standaard-DDoS-beschermingUse of Azure Net Watcher and standard DDoS protection
  • Een Azure Key Vault-exemplaar om de geheimen te bewaren voor de virtuele machines die in de omgeving met gedeelde services worden geïmplementeerdAn Azure Key Vault instance used to host secrets used for the VMs deployed in the shared services environment

Al deze elementen voldoen aan de aanbevolen procedures zoals gepubliceerd in Azure Architecture Center - Referentiearchitecturen.All these elements abide to the proven practices published in the Azure Architecture Center - Reference Architectures.

Notitie

Met deze infrastructuur voor ISO 27001 conforme gedeelde services implementeert u het infrastructurele fundament voor de uitvoering van workloads.The ISO 27001 Shared Services infrastructure lays out a foundational architecture for workloads. Naast dit fundament moet u ook de workloads zelf implementeren.You still need to deploy workloads behind this foundational architecture.

Raadpleeg voor meer informatie de documentatie voor Virtual Datacenter.For more information, see the Virtual Datacenter documentation.

Volgende stappenNext steps

U hebt het overzicht en de architectuur van de voorbeeldblauwdruk voor ISO 27001 conforme gedeelde services doorgenomen.You've reviewed the overview and architecture of the ISO 27001 Shared Services blueprint sample. Lees nu de volgende artikelen voor meer informatie over het toewijzen van beheeropties en het implementeren van dit voorbeeld:Next, visit the following articles to learn about the control mapping and how to deploy this sample:

Aanvullende artikelen over blauwdrukken en het gebruik hiervan:Additional articles about blueprints and how to use them: