Локальный и ISO/IEC 27001:2022

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как azure Local помогает организациям соответствовать требованиям к управлению безопасностью ISO/IEC 27001:2022, как в облаке, так и в локальной среде. Дополнительные сведения о локальных и других стандартах безопасности Azure см. в стандартах локальной и безопасности Azure.

ISO/IEC 27001:2022

ISO/IEC 27001 — это глобальный стандарт безопасности, определяющий требования для установления, реализации, эксплуатации, мониторинга, обслуживания и улучшения системы управления информационной безопасностью (ISMS). Сертификация iso/IEC 27001:2022 помогает организациям повысить уровень безопасности, построить доверие с клиентами и помочь выполнить различные юридические и нормативные обязательства, связанные с информационной безопасностью, такими как PCI DSS, HIPAA, HITRUST и FedRAMP. Дополнительные сведения о стандарте ISO/IEC 27001.

Azure Локально

Azure Local — это гибридное решение, которое обеспечивает непрерывную интеграцию между локальной инфраструктурой организации и облачными службами Azure, помогая консолидировать виртуализированные рабочие нагрузки и контейнеры и повысить эффективность облака, когда данные должны оставаться в локальной среде по юридическим или соображениям конфиденциальности. Организации, ищущие сертификацию ISO/IEC 27001:2022, должны учитывать как облачные, так и локальные среды.

Подключенные облачные службы

Локальная служба Azure обеспечивает глубокую интеграцию с несколькими службами Azure, такими как Azure Monitor, Azure Backup и Azure Site Recovery, для предоставления новых возможностей гибридной среде. Эти облачные службы проходят регулярные независимые сторонние аудиты для соответствия требованиям ISO/IEC 27001:2022. Вы можете просмотреть отчет о сертификате и аудите Azure ISO/IEC 27001:2022 в предложениях соответствия Требованиям Azure — ISO/IEC 27001:2022.

Внимание

Состояние соответствия Azure не предоставляет аккредитацию ISO/IEC 27001 для служб, которые организация создает или размещает на платформе Azure. Организации отвечают за обеспечение соответствия их операциям с требованиями ISO/IEC 27001:2022.

Локальные решения

В локальной среде Azure Local предоставляется массив функций, которые помогают организациям удовлетворять требованиям безопасности ISO/IEC 27001:2022. Дополнительные сведения см. в следующих разделах.

Локальные возможности Azure для ISO/IEC 27001:2022

В этом разделе описывается, как организации могут использовать локальные функции Azure для удовлетворения элементов управления безопасностью в приложении A ISO/IEC 27001:2022. Следующие сведения охватывают только технические требования. Требования, связанные с операциями безопасности, недоступны, так как локальная служба Azure не может повлиять на них. Руководство организовано девятью доменами приложения A:

• Безопасность сети
• Управление удостоверениями и доступом
• Защита данных
• Ведение журнала
• Мониторинг
• Настройка безопасности
• Защита от угроз
• Резервное копирование и восстановление
• Масштабируемость и доступность

В этой статье описывается, как можно использовать локальные возможности Azure для удовлетворения требований каждого домена. Важно отметить, что не все элементы управления являются обязательными. Организации должны анализировать свою среду и проводить оценку рисков, чтобы определить, какие элементы управления необходимы. Дополнительные сведения о требованиях см. в разделе ISO/IEC 27001.

Безопасность сети

Функции безопасности сети, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.20 — безопасность сети
• 8.21 — безопасность сетевых служб
• 8.22 — разделение сетей
• 8.23 — веб-фильтрация

С помощью Azure Local вы можете применить средства управления безопасностью сети для защиты платформы и рабочих нагрузок, выполняемых на ней, от сетевых угроз вне и внутри. Azure Local также гарантирует справедливое распределение сети на узле и повышает производительность рабочей нагрузки и доступность с помощью возможностей балансировки нагрузки. Дополнительные сведения о безопасности сети в локальной среде Azure см. в следующих статьях.

• Обзор брандмауэра центра обработки данных
• Software Load Balancer (SLB) для программного определения сети (SDN)
• Шлюз службы удаленного доступа (RAS) для SDN
• Политики качества обслуживания для рабочих нагрузок, размещенных в локальной среде Azure

Управление удостоверениями и доступом

Функции управления удостоверениями и доступом, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.2 — права привилегированного доступа
• 8.3. Ограничения доступа к информации
• 8.5 — безопасная проверка подлинности

Локальный azure предоставляет полный и прямой доступ к базовой системе, работающей на компьютерах с помощью нескольких интерфейсов, таких как Azure Arc и Windows PowerShell. Вы можете использовать обычные средства Windows в локальных средах или облачных решениях, таких как Идентификатор Microsoft Entra (ранее Azure Active Directory), для управления удостоверениями и доступом к платформе. В обоих случаях вы можете воспользоваться встроенными функциями безопасности, такими как многофакторная проверка подлинности (MFA), условный доступ, управление доступом на основе ролей (RBAC) и управление привилегированными удостоверениями (PIM), чтобы обеспечить безопасность и соответствие вашей среде.

Дополнительные сведения об управлении локальными удостоверениями и доступом см. в Microsoft Identity Manager и управлении привилегированным доступом для служб домен Active Directory. Дополнительные сведения об облачном управлении удостоверениями и доступом см. в идентификаторе Microsoft Entra.

Защита данных

Функции защиты данных, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.5 — безопасная проверка подлинности
• 8.20 — безопасность сети
• 8.21 — безопасность сетевых служб
• 8.24. Использование криптографии

Шифрование данных с помощью BitLocker

В локальных экземплярах Azure все неактивных данных можно шифровать с помощью шифрования BitLocker XTS-AES 256-разрядного шифрования. По умолчанию система рекомендует включить BitLocker для шифрования всех томов операционной системы и общих томов кластера (CSV) в локальном развертывании Azure. Для всех новых томов хранилища, добавленных после развертывания, необходимо вручную включить BitLocker, чтобы зашифровать новый том хранилища. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с ISO/IEC 27001. Дополнительные сведения об использовании BitLocker с общими томами кластера (CSV).

Защита внешнего сетевого трафика с помощью TLS/DTLS

По умолчанию все подключения узла к локальным и удаленным конечным точкам шифруются с помощью TLS1.2, TLS1.3 и DTLS 1.2. Платформа отключает использование старых протоколов и хэшей, таких как TLS/DTLS 1.1 SMB1. Azure Local также поддерживает надежные наборы шифров, такие как эллиптические кривые, совместимые с SDL, ограничены только кривыми NIST P-256 и P-384.

Защита внутреннего сетевого трафика с помощью блока сообщений сервера (SMB)

Подпись SMB включена по умолчанию для клиентских подключений в локальных экземплярах Azure. Для трафика внутри кластера шифрование SMB — это вариант, который организации могут включить во время или после развертывания для защиты данных во время передачи данных между системами. Наборы шифрования AES-256-GCM и AES-256-CCM теперь поддерживаются протоколом SMB 3.1.1, используемым трафиком файлов клиента-сервера и структурой данных внутри кластера. Протокол продолжает поддерживать более широкий набор AES-128, а также. Узнайте больше об улучшениях безопасности SMB.

Ведение журнала

Функции ведения журнала, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.15 — ведение журнала
• 8.17 — синхронизация часов

Журналы локальной системы

По умолчанию все операции, выполняемые в локальном экземпляре Azure, записываются таким образом, чтобы отслеживать, кто сделал то, когда и где на платформе. Журналы и оповещения, созданные Защитником Windows, также включаются для предотвращения, обнаружения и минимизации вероятности и влияния компрометации данных. Тем не менее, поскольку системный журнал часто содержит большой объем информации, большую часть которой он не является дополнительным для мониторинга информационной безопасности, необходимо определить, какие события относятся к сбору и использованию для мониторинга безопасности. Возможности мониторинга Azure помогают собирать, хранить, оповещать и анализировать эти журналы. Дополнительные сведения см. в базовой конфигурации безопасности для локальной службы Azure.

Локальные журналы действий

Azure Local Lifecycle Manager создает и сохраняет журналы действий для любого плана действий, выполняемого. Эти журналы поддерживают более глубокое исследование и мониторинг.

Журналы действий в облаке

Зарегистрируя системы в Azure, вы можете использовать журналы действий Azure Monitor для записи операций на каждом ресурсе на уровне подписки, чтобы определить, кто и когда для любых операций записи (put, post или delete), принятых на ресурсы в вашей подписке.

Журналы удостоверений облака

Если вы используете идентификатор Microsoft Entra для управления удостоверениями и доступом к платформе, вы можете просматривать журналы в отчетах Azure AD или интегрировать их с Azure Monitor, Microsoft Sentinel или другими средствами SIEM/monitoring для сложных вариантов мониторинга и анализа. Если вы используете локальная служба Active Directory, используйте решение Microsoft Defender для удостоверений для использования локальная служба Active Directory сигналы для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных действий предварительной оценки, направленных на вашу организацию.

Интеграция SIEM

Microsoft Defender для облака и Microsoft Sentinel изначально интегрированы с локальными компьютерами Azure с поддержкой Arc. Вы можете включить и подключить журналы к Microsoft Sentinel, который обеспечивает управление событиями безопасности (SIEM) и автоматическое реагирование системы безопасности (SOAR). Microsoft Sentinel, как и другие облачные службы Azure, также соответствует многим хорошо установленным стандартам безопасности, таким как ISO/IEC 27001, что может помочь вам в процессе сертификации. Кроме того, Azure Local предоставляет собственный средство пересылки событий системного журнала для отправки системных событий сторонним решениям SIEM.

Наблюдение

Функции мониторинга, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.15 — ведение журнала

Аналитика для локальной среды Azure

Аналитика для Azure Local позволяет отслеживать работоспособность, производительность и использование систем, подключенных к Azure, и регистрироваться в мониторинге. Во время настройки Аналитики создается правило сбора данных, указывающее собираемые данные. Эти данные хранятся в рабочей области Log Analytics, которая затем агрегируется, фильтруется и анализируется для предоставления предварительно созданных панелей мониторинга с помощью книг Azure. Данные мониторинга можно просматривать как для систем с одним узлом, так и с несколькими узлами на странице локальных ресурсов Azure или Azure Monitor. Дополнительные сведения см. в справочнике по Azure Local с помощью Аналитики.

Метрики для локальной среды Azure

Метрики для локальных служб Azure хранят числовые данные из отслеживаемых ресурсов в базу данных временных рядов. Обозреватель метрик Azure Monitor можно использовать для интерактивного анализа данных в базе данных метрик и диаграммы значений нескольких метрик с течением времени. С помощью метрик можно создавать диаграммы из значений метрик и визуально сопоставлять тенденции.

Оповещения журнала в Azure Monitor

Чтобы указать проблемы в режиме реального времени, настройте оповещения для локальной среды Azure, используя предварительно существующие запросы журналов, такие как средний ЦП сервера, доступная память, доступная емкость тома и многое другое. Узнайте больше о настройке оповещений для локальных систем Azure.

Оповещения метрики

Правило генерации оповещений по метрике отслеживает ресурс, оценивая условия для метрик ресурсов через регулярные интервалы. При соблюдении условий создается оповещение. Временные ряды метрик — это ряд значений метрик, зарегистрированных за определенный период времени. Эти метрики можно использовать для создания правил генерации оповещений. Дополнительные сведения о создании оповещений метрик см. в оповещениях метрик.

Оповещения службы и устройства

Локальная служба Azure предоставляет оповещения на основе служб для подключения, обновлений ОС, конфигурации Azure и т. д. Кроме того, доступны оповещения на основе устройств для сбоев работоспособности кластера. Вы также можете отслеживать локальные экземпляры Azure и их базовые компоненты с помощью PowerShell или служба работоспособности.

Безопасная конфигурация

Функции безопасной конфигурации, описанные в этом разделе, помогут вам удовлетворить следующие требования к управлению безопасностью ISO/IEC 27001.

• 8.8. Управление техническими уязвимостями
• 8.9. Управление конфигурацией

Защита по умолчанию

Локальный azure настроен безопасно с помощью средств безопасности и технологий, которые защищают от современных угроз и соответствуют базовым планам безопасности вычислений Azure. Дополнительные сведения об управлении значениями безопасности по умолчанию для локальной среды Azure.

Защита от смещения

Конфигурация безопасности по умолчанию и параметры защищенного ядра платформы защищены как во время развертывания, так и во время выполнения с помощью защиты от смещения. При включении защита от смещения регулярно обновляет параметры безопасности каждые 90 минут, чтобы обеспечить исправление любых изменений из указанного состояния. Это непрерывное мониторинг и автоматическое отслеживание позволяет иметь согласованную и надежную конфигурацию безопасности на протяжении всего жизненного цикла устройства. Вы можете отключить защиту смещения во время развертывания при настройке параметров безопасности.

Базовые показатели безопасности для рабочей нагрузки

Для рабочих нагрузок, работающих в локальной среде Azure, можно использовать рекомендуемые базовые показатели операционной системы Azure (как для Windows, так и Для Linux) для определения базовой конфигурации вычислительных ресурсов.

Обновление платформы

Все компоненты Azure Local, включая операционную систему, основные агенты и службы, а также расширение решения, можно легко поддерживать с помощью диспетчера жизненного цикла. Эта функция позволяет упаковать различные компоненты в выпуск обновления и проверить сочетание версий, чтобы обеспечить взаимодействие. Дополнительные сведения см. в документации по диспетчеру жизненного цикла для обновлений локального решения Azure.

Рабочие нагрузки клиентов не охватываются этим решением обновления.

Защита от угроз

Функциональные возможности защиты от угроз в этом разделе помогут вам удовлетворить следующие требования к управлению безопасностью ISO/IEC 27001.

• 8.7 . Защита от вредоносных программ

Антивирусная программа "Защитник Windows"

Антивирусная программа Защитника Windows — это приложение служебной программы, обеспечивающее возможность принудительного сканирования системы в режиме реального времени и периодического сканирования для защиты платформы и рабочих нагрузок от вирусов, вредоносных программ, шпионских программ и других угроз. По умолчанию антивирусная программа в Microsoft Defender включен в локальной среде Azure. Корпорация Майкрософт рекомендует использовать антивирусная программа в Microsoft Defender с локальной средой Azure, а не сторонними антивирусными программами и службами обнаружения вредоносных программ, так как они могут повлиять на способность операционной системы получать обновления. Дополнительные сведения см. в антивирусная программа в Microsoft Defender в Windows Server.

Управление приложениями в Защитнике Windows (WDAC)

Управление приложениями в Защитнике Windows (WDAC) включено по умолчанию в Локальной среде Azure для управления тем, какие драйверы и приложения разрешены выполнять непосредственно на каждом компьютере, что помогает предотвратить доступ к системам вредоносных программ. Дополнительные сведения о базовых политиках, включенных в локальную службу Azure, и о создании дополнительных политик в элементе управления приложениями Защитника Windows для локальной среды Azure.

Microsoft Defender для облака

Microsoft Defender для облака с Endpoint Protection (включено с помощью плана Defender для серверов) предоставляет решение для управления безопасностью с расширенными возможностями защиты от угроз. Он предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Она выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание с помощью автоматической подготовки и защиты с помощью служб Azure. Дополнительные сведения см. в Microsoft Defender для облака.

Резервное копирование и восстановление

Функции резервного копирования и восстановления, описанные в этом разделе, помогут вам удовлетворить следующие требования к управлению безопасностью ISO/IEC 27001.

• 8.7 . Защита от вредоносных программ
• 8.13 — резервное копирование сведений
• 8.14 — избыточность информации

Растянутый кластер

Локальная служба Azure обеспечивает встроенную поддержку аварийного восстановления виртуализированных рабочих нагрузок с помощью растянутой кластеризации. Развернув растянутый локальный экземпляр Azure, вы можете синхронно реплицировать свои виртуализированные рабочие нагрузки в двух отдельных локальных расположениях и автоматически выполнять отработку отказа между ними. Плановая отработка отказа сайта может происходить без возникновения простоя с помощью динамической миграции Hyper-V.

Узлы кластера Kubernetes

Если вы используете azure Local для размещения развертываний на основе контейнеров, платформа помогает повысить гибкость и устойчивость, присущую развертываниям Azure Kubernetes. Локальная служба Azure управляет автоматической отработкой отказа виртуальных машин, работающих в качестве узлов кластера Kubernetes, если имеется локализованный сбой базовых физических компонентов. Эта конфигурация дополняет высокий уровень доступности, встроенный в Kubernetes, который автоматически перезапускает контейнеры сбоем на той же или другой виртуальной машине.

Azure Site Recovery

Эта служба позволяет реплицировать рабочие нагрузки, выполняемые на локальных локальных виртуальных машинах Azure в облако, чтобы информационная система была восстановлена, если произошел инцидент, сбой или потеря носителя хранилища. Как и другие облачные службы Azure, Azure Site Recovery имеет длинный список сертификатов безопасности, включая HITRUST, которые можно использовать для поддержки процесса аккредитации. Дополнительные сведения о защите рабочих нагрузок виртуальных машин с помощью Azure Site Recovery на локальной платформе Azure.

Microsoft Azure Backup Server (MABS)

Эта служба позволяет создавать резервные копии локальных виртуальных машин Azure, указывая требуемую частоту и период хранения. Для резервного копирования большинства ресурсов в среде можно использовать MABS, в том числе:

• Состояние системы или восстановление без операционной системы (BMR) локального узла Azure
• Гостевые виртуальные машины в системе с локальным или непосредственно подключенным хранилищем
• Гостевые виртуальные машины в локальных экземплярах Azure с хранилищем CSV
• Перемещение виртуальной машины в кластере

Узнайте больше о резервном копировании локальных виртуальных машин Azure с помощью Azure Backup Server.

Доступность и масштабируемость

Функциональные возможности масштабируемости и доступности, описанные в этом разделе, помогут вам удовлетворить следующие требования к управлению безопасностью ISO/IEC 27001.

• 8.6 — управление емкостью
• 8.14 — избыточность информации

Гиперконвергированные модели

Локальный azure использует гиперконвергентные модели Локальные дисковые пространства для развертывания рабочих нагрузок. Эта модель развертывания позволяет легко масштабироваться, добавляя новые узлы, которые автоматически расширяют вычислительные ресурсы и хранилище одновременно с нулевым временем простоя.

Отказоустойчивые кластеры

Локальные экземпляры Azure — это отказоустойчивые кластеры. Если сервер, который является частью локальной службы Azure, завершается сбоем или становится недоступным, другой сервер в том же отказоустойчивом кластере берет на себя задачу предоставления служб, предлагаемых сбоем узла. Создайте отказоустойчивый кластер, включив дисковые пространства прямо на нескольких компьютерах с локальной службой Azure.