Обзор примера схемы "ISO 27001: общие службы"Overview of the ISO 27001 Shared Services blueprint sample

В примере схемы "ISO 27001: общие службы" предоставляется соответствующий требованиям набор шаблонов инфраструктуры и средства для обеспечения соответствия политикам, которые помогут пройти аттестацию ISO 27001.The ISO 27001 Shared Services blueprint sample provides a set of compliant infrastructure patterns and policy guard-rails that help towards ISO 27001 attestation. С помощью этой схемы клиенты могут развертывать облачные архитектуры, которые предоставляют решения для сценариев, включающих требования к аккредитации или соответствию.This blueprint helps customers deploy cloud-based architectures that offer solutions to scenarios that have accreditation or compliance requirements.

Пример схемы рабочей нагрузки Среды службы приложений или Базы данных SQL на основе ISO 27001 является дополнением этого примера схемы.The ISO 27001 App Service Environment/SQL Database workload blueprint sample extends this sample.

ArchitectureArchitecture

Пример схемы "ISO 27001: общие службы" позволяет развернуть базовую инфраструктуру в Azure, в которой организации могут размещать несколько рабочих нагрузок в зависимости от подхода виртуального центра обработки данных (VDC).The ISO 27001 Shared Services blueprint sample deploys a foundation infrastructure in Azure that can be used by organizations to host multiple workloads based on the Virtual Datacenter (VDC) approach. Виртуальный центр обработки данных предоставляет проверенный набор эталонных архитектур, средств автоматизации и моделей взаимодействия, используемых корпорацией Майкрософт и крупнейшими корпоративными клиентами.VDC is a proven set of reference architectures, automation tooling, and engagement model used by Microsoft with its largest enterprise customers. Пример схемы общих служб основан на собственной среде Azure VDC, как показано ниже.The Shared Services blueprint sample is based on a fully native Azure VDC environment shown below.

Пример проектирования схемы по стандарту ISO 27001: общие службы

Эта среда состоит из нескольких служб Azure, которые обеспечивают защищенную, полностью отслеживаемую инфраструктуру общих служб корпоративного уровня на основе ISO 27001.This environment is composed of several Azure services used to provide a secure, fully monitored, enterprise-ready shared services infrastructure based on ISO 27001 standards. Эта среда включает следующие компоненты:This environment is composed of:

  • Роли в рамках управления доступом на основе ролей (RBAC), которые используются для разделения обязанностей в контексте плоскости управления.Role-based access control (RBAC) roles used for segregation of duties from a control plane perspective. Перед развертыванием какой-либо инфраструктуры нужно определить три роли:Three roles are defined before deployment of any infrastructure:
    • роль NetOps с правами на управление сетевой средой, включая параметры брандмауэра, параметры группы безопасности сети, маршрутизацию и другие сетевые функции;NetOps role has the rights to manage the network environment, including firewall settings, NSG settings, routing, and other networking functionality
    • роль SecOps с правами, необходимыми для развертывания и администрирования Центра безопасности Azure, определения политик Azure и другими правами, связанными с безопасностью;SecOps role has the necessary rights to deploy and manage Azure Security Center, define Azure Policies, and other security-related rights
    • роль SysOps с правами, необходимыми для определения политик Azure в рамках подписки, управления Log Analytics для всей среды, а также другими правами для поддержания работы среды.SysOps role has the necessary rights to define Azure Policies within the subscription, manage Log Analytics for the entire environment, among other operational rights
  • Служба Log Analytics развертывается первой в Azure, чтобы обеспечить регистрацию всех действий и служб в центральном расположении с момента запуска безопасного развертывания.Log Analytics is deployed as the first Azure service to ensure all actions and services log to a central location from the moment you start your secure deployment
  • Виртуальная сеть с поддержкой подсетей для обратной связи с локальным центром обработки данных, стека входящего и исходящего трафика для подключения к Интернету и подсети общей службы с использованием групп безопасности сети и групп безопасности приложения для полной микросегментации, включая следующее:A virtual network supporting subnets for connectivity back to an on-premises datacenter, an ingress and egress stack for Internet connectivity, and a shared service subnet using NSGs and ASGs for full micro-segmentation containing:
    • jumpbox или узел-бастион, используемый для управления, доступ к которому можно получить, развернув Брандмауэр Azure в подсети стека входящего трафика;A jumpbox or bastion host used for management purposes, which can only be accessed over an Azure Firewall deployed in the ingress stack subnet
    • две виртуальные машины, в которых работают доменные службы Active Directory (ADDS) и DNS, доступные только с использованием jumpbox и настраиваемые только для репликации AD через подключение VPN или ExpressRoute (не развертывается схемой);Two virtual machines running Active Directory Domain Services (ADDS) and DNS only accessible through the jumpbox, and can be configured only to replicate AD over a VPN or ExpressRoute connection (not deployed by the blueprint)
    • использование Наблюдателя за сетями Azure и стандартной защиты от атак DDoS.Use of Azure Net Watcher and standard DDoS protection
  • Экземпляр Azure Key Vault для размещения секретов, используемых для виртуальных машин, которые развернуты в среде общих службAn Azure Key Vault instance used to host secrets used for the VMs deployed in the shared services environment

Все эти элементы соответствуют проверенным на практике рекомендациям, опубликованным в Центре архитектуры Azure (эталонные архитектуры).All these elements abide to the proven practices published in the Azure Architecture Center - Reference Architectures.

Примечание

Инфраструктура общих служб на основе ISO 27001 располагает базовой архитектурой для рабочих нагрузок.The ISO 27001 Shared Services infrastructure lays out a foundational architecture for workloads. Вам потребуется развернуть рабочие нагрузки в рамках этой базовой архитектуры.You still need to deploy workloads behind this foundational architecture.

Дополнительные сведения см. в документации по виртуальному центру обработки данных.For more information, see the Virtual Datacenter documentation.

Дальнейшие действияNext steps

Вы ознакомились с описанием архитектуры и обзором примера схемы "ISO 27001: общие службы".You've reviewed the overview and architecture of the ISO 27001 Shared Services blueprint sample. Дополнительные сведения о сопоставлении элементов управления и развертывании этого примера см. в следующих статьях:Next, visit the following articles to learn about the control mapping and how to deploy this sample:

Дополнительные статьи о схемах и способах их использования:Additional articles about blueprints and how to use them: