Mapowanie kontrolek przykładowej strategii usług udostępnionych ISO 27001

Ważne

11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do specyfikacji szablonu i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:

• Zasady
• RBAC
• Wdrożenia

Poniższy artykuł zawiera szczegółowe informacje na temat mapowania przykładu strategii usług udostępnionych ISO 27001 na kontrolki ISO 27001.

Następujące mapowania dotyczą kontrolek ISO 27001:2013 . Użyj nawigacji po prawej stronie, aby przejść bezpośrednio do określonego mapowania kontrolek. Wiele mapowanych kontrolek jest implementowanych za pomocą inicjatywy usługi Azure Policy . Aby przejrzeć pełną inicjatywę, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz kontrolki ISO 27001:2013 inspekcji i wdróż określone rozszerzenia maszyn wirtualnych w celu obsługi wbudowanej inicjatywy zasad wymagań inspekcji.

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między kontrolkami i definicjami usługi Azure Policy dla tego przykładu strategii zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

A.6.1.2 Podział obowiązków

Posiadanie tylko jednego właściciela subskrypcji platformy Azure nie zezwala na nadmiarowość administracyjną. Z drugiej strony posiadanie zbyt wielu właścicieli subskrypcji platformy Azure może zwiększyć potencjał naruszenia za pośrednictwem naruszonego konta właściciela. Ta strategia pomaga zachować odpowiednią liczbę właścicieli subskrypcji platformy Azure, przypisując dwie definicje usługi Azure Policy , które przeprowadzają inspekcję liczby właścicieli subskrypcji platformy Azure. Zarządzanie uprawnieniami właściciela subskrypcji może pomóc w zaimplementowaniu odpowiedniego rozdzielenia obowiązków.

• Dla Twojej subskrypcji powinno zostać wyznaczonych maksymalnie 3 właścicieli
• Do Twojej subskrypcji powinien być przypisany więcej niż jeden właściciel

A.8.2.1 Klasyfikacja informacji

Usługa oceny luk w zabezpieczeniach SQL platformy Azure może pomóc w odnalezieniu poufnych danych przechowywanych w bazach danych i zawiera zalecenia dotyczące klasyfikowania tych danych. Ta strategia przypisuje definicję usługi Azure Policy do inspekcji luk w zabezpieczeniach zidentyfikowanych podczas skanowania oceny luk w zabezpieczeniach SQL.

• Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane

A.9.1.2 Dostęp do sieci i usług sieciowych

Kontrola dostępu oparta na rolach (RBAC) platformy Azure ułatwia zarządzanie osobami mającymi dostęp do zasobów platformy Azure. Ta strategia ułatwia kontrolowanie dostępu do zasobów platformy Azure przez przypisanie siedmiu definicji usługi Azure Policy . Te zasady przeprowadzają inspekcję użycia typów zasobów i konfiguracji, które mogą zezwalać na bardziej permissywny dostęp do zasobów. Zrozumienie zasobów, które są niezgodne z tymi zasadami, może pomóc w podjęciu działań naprawczych w celu zapewnienia, że dostęp do zasobów platformy Azure jest ograniczony do autoryzowanych użytkowników.

• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Linux, które mają konta bez haseł
• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł
• Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager
• Maszyny wirtualne powinny zostać zmigrowane do nowych zasobów usługi Azure Resource Manager
• Przeprowadzaj inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych

A.9.2.3 Zarządzanie uprzywilejowanym prawami dostępu

Ta strategia pomaga ograniczyć i kontrolować uprawnienia uprzywilejowanego dostępu, przypisując cztery definicje usługi Azure Policy do inspekcji kont zewnętrznych z uprawnieniami właściciela i/lub zapisu oraz kontami z uprawnieniami właściciela i/lub zapisu, które nie mają włączonego uwierzytelniania wieloskładnikowego. Kontrola dostępu oparta na rolach (RBAC) platformy Azure ułatwia zarządzanie osobami mającymi dostęp do zasobów platformy Azure. Ta strategia przypisuje również trzy definicje usługi Azure Policy do inspekcji użycia uwierzytelniania usługi Azure Active Directory dla serwerów SQL i usługi Service Fabric. Korzystanie z uwierzytelniania usługi Azure Active Directory umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft. Ta strategia przypisuje również definicję usługi Azure Policy do inspekcji użycia niestandardowych reguł RBAC platformy Azure. Zrozumienie, gdzie implementowane są niestandardowe reguły kontroli dostępu opartej na rolach platformy Azure, mogą pomóc w weryfikowaniu potrzeb i właściwej implementacji, ponieważ niestandardowe reguły kontroli dostępu opartej na rolach platformy Azure są podatne na błędy.

• Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji
• Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji
• Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
• Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji
• Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL
• Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta
• Inspekcja użycia niestandardowych reguł kontroli dostępu opartej na rolach

A.9.2.4 Zarządzanie informacjami o uwierzytelnianiu tajnym użytkowników

Ta strategia przypisuje trzy definicje usługi Azure Policy do kont inspekcji, które nie mają włączonego uwierzytelniania wieloskładnikowego. Uwierzytelnianie wieloskładnikowe pomaga zapewnić bezpieczeństwo kont nawet w przypadku naruszenia bezpieczeństwa informacji o uwierzytelnianiu. Monitorując konta bez włączonego uwierzytelniania wieloskładnikowego, można zidentyfikować konta, które mogą być bardziej narażone na naruszenie zabezpieczeń. Ta strategia przypisuje również dwie definicje usługi Azure Policy, które przeprowadzają inspekcję uprawnień do pliku haseł maszyny wirtualnej z systemem Linux, aby otrzymywać alerty, jeśli są one niepoprawnie ustawione. Ta konfiguracja umożliwia podjęcie działań naprawczych w celu zapewnienia, że uwierzytelnianie nie zostanie naruszone.

• Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji
• Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w ramach subskrypcji
• Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji
• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644

A.9.2.5 Przegląd praw dostępu użytkowników

Kontrola dostępu oparta na rolach (RBAC) platformy Azure ułatwia zarządzanie osobami mającymi dostęp do zasobów na platformie Azure. Korzystając z witryny Azure Portal, możesz sprawdzić, kto ma dostęp do zasobów platformy Azure i ich uprawnień. Ta strategia przypisuje cztery definicje usługi Azure Policy do kont inspekcji, które powinny być priorytetowe do przeglądu, w tym kont przestarzałych i kont zewnętrznych z podwyższonym poziomem uprawnień.

• Przestarzałe konta powinny zostać usunięte z subskrypcji
• Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
• Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
• Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji

A.9.2.6 Usunięcie lub dostosowanie praw dostępu

Kontrola dostępu oparta na rolach (RBAC) platformy Azure ułatwia zarządzanie osobami mającymi dostęp do zasobów na platformie Azure. Korzystając z usług Azure Active Directory i Azure RBAC, możesz zaktualizować role użytkowników, aby odzwierciedlały zmiany organizacyjne. W razie potrzeby konta mogą być blokowane podczas logowania (lub usuwania), co powoduje natychmiastowe usunięcie praw dostępu do zasobów platformy Azure. Ta strategia przypisuje dwie definicje usługi Azure Policy do konta z umorzonego inspekcji, które należy wziąć pod uwagę do usunięcia.

• Przestarzałe konta powinny zostać usunięte z subskrypcji
• Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

Procedury bezpiecznego logowania A.9.4.2

Ta strategia przypisuje trzy definicje usługi Azure Policy do kont inspekcji, które nie mają włączonego uwierzytelniania wieloskładnikowego. Usługa Azure AD Multi-Factor Authentication zapewnia dodatkowe zabezpieczenia, wymagając drugiej formy uwierzytelniania i zapewniając silne uwierzytelnianie. Monitorując konta bez włączonego uwierzytelniania wieloskładnikowego, można zidentyfikować konta, które mogą być bardziej narażone na naruszenie zabezpieczeń.

• Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji
• Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w ramach subskrypcji
• Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji

System zarządzania hasłami A.9.4.3

Ta strategia pomaga wymusić silne hasła, przypisując 10 definicji usługi Azure Policy , które przeprowadzają inspekcję maszyn wirtualnych z systemem Windows, które nie wymuszają minimalnej siły i innych wymagań dotyczących haseł. Świadomość maszyn wirtualnych naruszających zasady siły hasła ułatwia podejmowanie działań naprawczych w celu zapewnienia zgodności haseł dla wszystkich kont użytkowników maszyn wirtualnych z zasadami.

• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, które nie mają włączonego ustawienia złożoności hasła
• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, które nie mają maksymalnego wieku hasła wynoszącego 70 dni
• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, które nie mają minimalnego wieku hasła wynoszącego 1 dzień
• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, które nie ograniczają minimalnej długości hasła do 14 znaków
• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, które umożliwiają ponowne użycie poprzednich 24 haseł

A.10.1.1 Zasady dotyczące korzystania z kontrolek kryptograficznych

Ta strategia pomaga wymusić zasady korzystania z kontrolek kryptograficznych, przypisując 13 definicji usługi Azure Policy , które wymuszają określone mechanizmy kontroli kryptograficznych i przeprowadzają inspekcję słabych ustawień kryptograficznych. Zrozumienie, gdzie zasoby platformy Azure mogą mieć konfiguracje kryptograficzne inne niż optymalne, mogą pomóc w podjęciu działań naprawczych w celu upewnienia się, że zasoby są skonfigurowane zgodnie z zasadami zabezpieczeń informacji. W szczególności zasady przypisane przez tę strategię wymagają szyfrowania kont usługi Blob Storage i kont usługi Data Lake Storage; wymagaj przezroczystego szyfrowania danych w bazach danych SQL; przeprowadź inspekcję braku szyfrowania na kontach magazynu, bazach danych SQL, dyskach maszyny wirtualnej i zmiennych konta automatyzacji; przeprowadzanie inspekcji niezabezpieczonych połączeń z kontami magazynu, aplikacjami funkcji, aplikacjami internetowymi, aplikacjami interfejsu API i pamięcią podręczną Redis Cache; inspekcja słabego szyfrowania haseł maszyny wirtualnej; i przeprowadź inspekcję niezaszyfrowanej komunikacji usługi Service Fabric.

• Aplikacja funkcji powinna być dostępna tylko za pośrednictwem protokołu HTTPS
• Aplikacja internetowa powinna być dostępna tylko za pośrednictwem protokołu HTTPS
• Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS
• Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego
• Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych
• Zmienne konta usługi Automation powinny być szyfrowane
• Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis
• Należy włączyć bezpieczny transfer na konta magazynu
• Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign
• Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL

Rejestrowanie zdarzeń A.12.4.1

Ta strategia pomaga zagwarantować, że zdarzenia systemowe są rejestrowane, przypisując siedem definicji usługi Azure Policy , które przeprowadzają inspekcję ustawień dziennika na zasobach platformy Azure. Dzienniki diagnostyczne zapewniają wgląd w operacje, które zostały wykonane w ramach zasobów platformy Azure.

• Inspekcja wdrożenia agenta zależności — obraz maszyny wirtualnej (OS) nie ma na liście
• Przeprowadź inspekcję wdrożenia agenta zależności w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
• [Wersja zapoznawcza]: Inspekcja wdrożenia agenta usługi Log Analytics — obraz maszyny wirtualnej (OS) nie ma na liście
• Inspekcja wdrożenia agenta usługi Log Analytics w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
• Audit diagnostic setting (Przeprowadzaj inspekcję ustawienia diagnostyki)
• Inspekcja na serwerze SQL powinna być włączona

A.12.4.3 Administracja istrator i dzienniki operatorów

Ta strategia pomaga zagwarantować, że zdarzenia systemowe są rejestrowane, przypisując siedem definicji usługi Azure Policy, które przeprowadzają inspekcję ustawień dziennika na zasobach platformy Azure. Dzienniki diagnostyczne zapewniają wgląd w operacje, które zostały wykonane w ramach zasobów platformy Azure.

• Inspekcja wdrożenia agenta zależności — obraz maszyny wirtualnej (OS) nie ma na liście
• Przeprowadź inspekcję wdrożenia agenta zależności w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
• [Wersja zapoznawcza]: Inspekcja wdrożenia agenta usługi Log Analytics — obraz maszyny wirtualnej (OS) nie ma na liście
• Inspekcja wdrożenia agenta usługi Log Analytics w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
• Audit diagnostic setting (Przeprowadzaj inspekcję ustawienia diagnostyki)
• Inspekcja na serwerze SQL powinna być włączona

A.12.4.4 Synchronizacja zegara

Ta strategia pomaga zagwarantować, że zdarzenia systemowe są rejestrowane, przypisując siedem definicji usługi Azure Policy, które przeprowadzają inspekcję ustawień dziennika na zasobach platformy Azure. Dzienniki platformy Azure opierają się na zsynchronizowanych zegarach wewnętrznych, aby utworzyć skorelowany czas rekord zdarzeń między zasobami.

• Inspekcja wdrożenia agenta zależności — obraz maszyny wirtualnej (OS) nie ma na liście
• Przeprowadź inspekcję wdrożenia agenta zależności w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
• [Wersja zapoznawcza]: Inspekcja wdrożenia agenta usługi Log Analytics — obraz maszyny wirtualnej (OS) nie ma na liście
• Inspekcja wdrożenia agenta usługi Log Analytics w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
• Audit diagnostic setting (Przeprowadzaj inspekcję ustawienia diagnostyki)
• Inspekcja na serwerze SQL powinna być włączona

A.12.5.1 Instalacja oprogramowania w systemach operacyjnych

Adaptacyjna kontrola aplikacji to rozwiązanie z usługi Azure Security Center, które ułatwia kontrolowanie, które aplikacje mogą być uruchamiane na maszynach wirtualnych znajdujących się na platformie Azure. Ta strategia przypisuje definicję usługi Azure Policy, która monitoruje zmiany w zestawie dozwolonych aplikacji. Ta funkcja ułatwia kontrolowanie instalacji oprogramowania i aplikacji na maszynach wirtualnych platformy Azure.

• Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach

A.12.6.1 Zarządzanie lukami w zabezpieczeniach technicznych

Ta strategia ułatwia zarządzanie lukami w zabezpieczeniach systemu informacyjnego przez przypisanie pięciu definicji usługi Azure Policy , które monitorują brakujące aktualizacje systemu, luki w zabezpieczeniach systemu operacyjnego, luki w zabezpieczeniach SQL i luki w zabezpieczeniach maszyn wirtualnych w usłudze Azure Security Center. Usługa Azure Security Center udostępnia funkcje raportowania, które umożliwiają wgląd w stan zabezpieczeń wdrożonych zasobów platformy Azure w czasie rzeczywistym.

• Monitoruj brakujący program Endpoint Protection w usłudze Azure Security Center
• Należy zainstalować aktualizacje systemu na maszynach
• Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
• Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
• Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach

A.12.6.2 Ograniczenia dotyczące instalacji oprogramowania

Adaptacyjna kontrola aplikacji to rozwiązanie z usługi Azure Security Center, które ułatwia kontrolowanie, które aplikacje mogą być uruchamiane na maszynach wirtualnych znajdujących się na platformie Azure. Ta strategia przypisuje definicję usługi Azure Policy, która monitoruje zmiany w zestawie dozwolonych aplikacji. Ograniczenia dotyczące instalacji oprogramowania mogą pomóc zmniejszyć prawdopodobieństwo wprowadzenia luk w zabezpieczeniach oprogramowania.

• Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach

A.13.1.1 Kontrolki sieci

Ta strategia pomaga zarządzać sieciami i kontrolować je, przypisując definicję usługi Azure Policy , która monitoruje sieciowe grupy zabezpieczeń za pomocą reguł permissywnych. Reguły, które są zbyt permissive, mogą zezwalać na niezamierzony dostęp do sieci i powinny być przeglądane. Ta strategia przypisuje również trzy definicje usługi Azure Policy, które monitorują niechronione punkty końcowe, aplikacje i konta magazynu. Punkty końcowe i aplikacje, które nie są chronione przez zaporę, a konta magazynu z nieograniczonym dostępem mogą zezwalać na niezamierzony dostęp do informacji zawartych w systemie informacyjnym.

• Dostęp za pośrednictwem punktu końcowego dostępnego z Internetu powinien być ograniczony
• Konta magazynu powinny ograniczać dostęp sieciowy

A.13.2.1 Zasady i procedury transferu informacji

Strategia pomaga zapewnić bezpieczeństwo transferu informacji za pomocą usług platformy Azure, przypisując dwie definicje usługi Azure Policy do inspekcji niezabezpieczonych połączeń z kontami magazynu i usługą Azure Cache for Redis.

• Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis
• Należy włączyć bezpieczny transfer na konta magazynu

Następne kroki

Po przejrzeniu mapowania kontrolek strategii usług udostępnionych ISO 27001 zapoznaj się z następującymi artykułami, aby dowiedzieć się więcej o architekturze i sposobie wdrażania tego przykładu:

Strategia usług udostępnionych ISO 27001 — omówieniestrategii usług udostępnionych ISO 27001 — kroki wdrażania

Dodatkowe artykuły na temat strategii i sposobu ich używania:

• Uzyskaj informacje na temat cyklu życia strategii.
• Dowiedz się, jak używać parametrów statycznych i dynamicznych.
• Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
• Dowiedz się, jak używać blokowania zasobów strategii.
• Dowiedz się, jak zaktualizować istniejące przypisania.