Omówienie przykładu strategii usług udostępnionych ISO 27001.
Ważne
11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do specyfikacji szablonu i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:
Przykład strategii usług udostępnionych ISO 27001 zawiera zestaw zgodnych wzorców infrastruktury i poręczy zasad, które ułatwiają zaświadczenie ISO 27001. Ta strategia pomaga klientom wdrażać architektury chmurowe, które oferują rozwiązania dla scenariuszy z wymaganiami w zakresie akredytacji lub zgodności.
Przykład strategii obciążenia środowiska App Service Environment/bazy danych SQL ISO 27001 stanowi rozszerzenie tego przykładu.
Architektura
Przykład strategii usług udostępnionych ISO 27001 wdraża na platformie Azure podstawową infrastrukturę, która umożliwia organizacjom hostowanie wielu obciążeń zgodnie z metodą wirtualnego centrum danych. Wirtualne centrum danych to zestaw sprawdzonych architektur referencyjnych, narzędzi automatyzacji i modeli zaangażowania używanych przez firmę Microsoft u jej największych klientów korporacyjnych. Przykład strategii usług udostępnionych jest oparty na w pełni natywnym środowisku wirtualnego centrum danych platformy Azure, które pokazano poniżej.
To środowisko składa się z kilku usług platformy Azure, które udostępniają bezpieczną, w pełni monitorowaną infrastrukturę usług udostępnionych z obsługą przedsiębiorstw zgodną ze standardami ISO 27001. To środowisko zawiera następujące składniki:
- Role platformy Azure używane do dzielenia zadań z perspektywy płaszczyzny kontroli. Przed wdrożeniem dowolnej infrastruktury zdefiniowano trzy role:
- Rola NetOps ma uprawnienia do zarządzania środowiskiem sieci, w tym ustawieniami zapory, ustawieniami sieciowej grupy zabezpieczeń, routingiem i innymi funkcjami sieci
- Rola SecOps ma uprawnienia niezbędne do wdrażania usługi Azure Security Center i zarządzania nią oraz definiowania definicji usługi Azure Policy, a także inne prawa związane z zabezpieczeniami
- Rola SysOps ma uprawnienia niezbędne do zdefiniowania definicji usługi Azure Policy w ramach subskrypcji i zarządzania usługą Log Analytics dla całego środowiska oraz inne prawa operacyjne
- Usługa Log Analytics jest wdrażana jako pierwsza usługa platformy Azure, aby upewnić się, że wszystkie akcje i usługi są rejestrowane w centralnej lokalizacji od czasu uruchomienia bezpiecznego wdrożenia
- Sieć wirtualna obsługująca podsieci na potrzeby łączności z lokalnym centrum danych, stosem ruchu przychodzącego i wychodzącego na potrzeby łączności z Internetem oraz podsiecią usługi udostępnionej przy użyciu sieciowych grup zabezpieczeń i grup zabezpieczeń w celu uzyskania pełnej mikrosegmentacji zawierającej:
- Host przesiadkowy lub host bastionu używany do zarządzania, który jest dostępny tylko za pośrednictwem usługi Azure Firewall wdrożonej w podsieci stosu przychodzącego
- Dwie maszyny wirtualne z uruchomionymi usługami Azure Active Directory Domain Services (Azure AD DS) i systemem DNS dostępne tylko za pośrednictwem serwera przesiadkowego, które można skonfigurować tylko do replikacji usługi AD za pośrednictwem sieci VPN lub połączenia usługi ExpressRoute (nie są wdrażane w ramach strategii)
- Korzystanie z usługi Azure Net Watcher i standardowej ochrony przed atakami DDoS
- Wystąpienie usługi Azure Key Vault umożliwiające hostowanie wpisów tajnych używanych na potrzeby maszyn wirtualnych wdrożonych w środowisku usług udostępnionych
Wszystkie te elementy są zgodne ze sprawdzonymi rozwiązaniami opublikowanymi na stronie Centrum architektury platformy Azure — architektury referencyjne.
Uwaga
Infrastruktura usług udostępnionych ISO 27001 wdraża podstawową architekturę dla obciążeń. Nadal należy wdrożyć dla niej obciążenia.
Więcej informacji można znaleźć w dokumentacji wirtualnego centrum danych.
Następne kroki
Przeczytano omówienie i informacje o architekturze przykładu strategii usług udostępnionych ISO 27001. Następnie przeczytaj następujące artykuły, aby poznać mapowanie kontrolek i sposób wdrażania tego przykładu:
Strategia usług udostępnionych ISO 27001 — mapowanie kontrolekStrategia usług udostępnionych ISO 27001 — procedura wdrażania
Dodatkowe artykuły na temat strategii i sposobu ich używania:
- Uzyskaj informacje na temat cyklu życia strategii.
- Dowiedz się, jak używać parametrów statycznych i dynamicznych.
- Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
- Dowiedz się, jak używać blokowania zasobów strategii.
- Dowiedz się, jak zaktualizować istniejące przypisania.