Descrição geral do exemplo de esquema dos Serviços Partilhados ISO 27001Overview of the ISO 27001 Shared Services blueprint sample

O exemplo de esquema Serviços Partilhados ISO 27001 fornece um conjunto de grades de proteção de políticas e padrões de infraestrutura conformes que contribuem para o atestado da norma ISO 27001.The ISO 27001 Shared Services blueprint sample provides a set of compliant infrastructure patterns and policy guard-rails that help towards ISO 27001 attestation. Este esquema ajuda os clientes a implementarem arquiteturas com base na cloud que oferecem soluções para cenários que têm requisitos de acreditação ou conformidade.This blueprint helps customers deploy cloud-based architectures that offer solutions to scenarios that have accreditation or compliance requirements.

O exemplo de esquema de carga de trabalho da Base de Dados SQL/Ambiente do Serviço de Aplicações ISO 27001 expande este exemplo.The ISO 27001 App Service Environment/SQL Database workload blueprint sample extends this sample.

ArquiteturaArchitecture

O exemplo de esquema Serviços Partilhados ISO 27001 implementa uma infraestrutura de base no Azure que pode ser utilizada por organizações para alojar várias cargas de trabalho com base na abordagem de Datacenter Virtual (VDC).The ISO 27001 Shared Services blueprint sample deploys a foundation infrastructure in Azure that can be used by organizations to host multiple workloads based on the Virtual Datacenter (VDC) approach. O VDC é um conjunto comprovado de arquiteturas de referência, ferramentas de automatização e modelos de cativação utilizados pela Microsoft com os seus clientes empresariais de maior dimensão.VDC is a proven set of reference architectures, automation tooling, and engagement model used by Microsoft with its largest enterprise customers. O exemplo de esquema Serviços Partilhados baseia-se num ambiente VDC do Azure totalmente nativo, apresentado abaixo.The Shared Services blueprint sample is based on a fully native Azure VDC environment shown below.

Estrutura de exemplo do esquema Serviços Partilhados ISO 27001

Este ambiente é composto por vários serviços do Azure utilizados para fornecer uma infraestrutura de serviços partilhados segura, completamente monitorizada e preparada para empresas, com base nas normas ISO 27001.This environment is composed of several Azure services used to provide a secure, fully monitored, enterprise-ready shared services infrastructure based on ISO 27001 standards. Este ambiente é composto por:This environment is composed of:

  • Funções do Azure utilizadas para a separação de responsabilidades a partir de uma perspetiva de plano de controlo.Azure roles used for segregation of duties from a control plane perspective. Antes da implementação de qualquer infraestrutura, são definidas três funções:Three roles are defined before deployment of any infrastructure:
    • A função NetOps tem os direitos para gerir o ambiente de rede, incluindo as definições da firewall, definições do NSG, encaminhamento e outras funcionalidades de redeNetOps role has the rights to manage the network environment, including firewall settings, NSG settings, routing, and other networking functionality
    • A função SecOps tem os direitos necessários para implementar e gerir o Centro de Segurança do Azure, definir as definições do Azure Policy e outros direitos relacionados com segurançaSecOps role has the necessary rights to deploy and manage Azure Security Center, define Azure Policy definitions, and other security-related rights
    • A função SysOps tem os direitos necessários para definir as definições do Azure Policy na subscrição, gerir o Log Analytics em todo o ambiente, entre outros direitos operacionaisSysOps role has the necessary rights to define Azure Policy definitions within the subscription, manage Log Analytics for the entire environment, among other operational rights
  • O Log Analytics é implementado como o primeiro serviço do Azure para garantir que todas as ações e serviços são registados numa localização central desde o momento em que inicia a implementação seguraLog Analytics is deployed as the first Azure service to ensure all actions and services log to a central location from the moment you start your secure deployment
  • Uma rede virtual que suporta sub-redes para conectividade para um datacenter no local, uma pilha de entrada e saída para conectividade Internet e uma sub-rede de serviço partilhado com NSGs e ASGs para microssegmentação completa, que contém:A virtual network supporting subnets for connectivity back to an on-premises datacenter, an ingress and egress stack for Internet connectivity, and a shared service subnet using NSGs and ASGs for full micro-segmentation containing:
    • Um anfitrião jumpbox ou bastion utilizado para fins de gestão, ao qual só é possível aceder através de uma Azure Firewall implementada na sub-rede da pilha de entradaA jumpbox or bastion host used for management purposes, which can only be accessed over an Azure Firewall deployed in the ingress stack subnet
    • Duas máquinas virtuais com o Azure Active Directory Domain Services (Azure AD DS) e DNS acessíveis apenas através da jumpbox e que só podem ser configuradas para replicar o AD através de uma ligação VPN ou do ExpressRoute (não implementada pelo esquema)Two virtual machines running Azure Active Directory Domain Services (Azure AD DS) and DNS only accessible through the jumpbox, and can be configured only to replicate AD over a VPN or ExpressRoute connection (not deployed by the blueprint)
    • Utilização do Observador de Rede do Azure e de proteção contra DDoS padrãoUse of Azure Net Watcher and standard DDoS protection
  • Uma instância do Azure Key Vault utilizada para alojar segredos utilizados para as VMs implementadas no ambiente de serviços partilhadosAn Azure Key Vault instance used to host secrets used for the VMs deployed in the shared services environment

Todos estes elementos obedecem às práticas comprovadas publicados no Centro de Arquitetura do Azure - Arquiteturas de Referência.All these elements abide to the proven practices published in the Azure Architecture Center - Reference Architectures.

Nota

A infraestrutura dos Serviços Partilhados ISO 27001 concebe uma arquitetura básica para cargas de trabalho.The ISO 27001 Shared Services infrastructure lays out a foundational architecture for workloads. Continua a ser necessário implementar as cargas de trabalho atrás desta arquitetura básica.You still need to deploy workloads behind this foundational architecture.

Para obter mais informações, veja a documentação do Datacenter Virtual.For more information, see the Virtual Datacenter documentation.

Passos seguintesNext steps

Analisou a descrição geral e a arquitetura do exemplo de esquema Serviços Partilhados ISO 27001.You've reviewed the overview and architecture of the ISO 27001 Shared Services blueprint sample. A seguir, visite os artigos seguintes para saber mais sobre o mapeamento de controlo e como implementar este exemplo:Next, visit the following articles to learn about the control mapping and how to deploy this sample:

Artigos adicionais sobre esquemas e como os utilizar:Additional articles about blueprints and how to use them: