Azure, локальный и ISO/IEC 27001:2022

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как azure Local помогает организациям соответствовать требованиям к управлению безопасностью ISO/IEC 27001:2022, как в облаке, так и в локальной среде. Дополнительные сведения о локальных и других стандартах безопасности Azure см. в стандартах локальной и безопасности Azure.

ISO/IEC 27001:2022

ISO/IEC 27001 — это глобальный стандарт безопасности, определяющий требования для установления, реализации, эксплуатации, мониторинга, обслуживания и улучшения системы управления информационной безопасностью (ISMS). Сертификация iso/IEC 27001:2022 помогает организациям повысить уровень безопасности, построить доверие с клиентами и помочь выполнить различные юридические и нормативные обязательства, связанные с информационной безопасностью, такими как PCI DSS, HIPAA, HITRUST и FedRAMP. Дополнительные сведения о стандарте ISO/IEC 27001.

Azure Локальный

Azure Local — это гибридное решение, которое обеспечивает непрерывную интеграцию между локальной инфраструктурой организации и облачными службами Azure, помогая консолидировать виртуализированные рабочие нагрузки и контейнеры и повысить эффективность облака, когда данные должны оставаться в локальной среде по юридическим или соображениям конфиденциальности. Организации, ищущие сертификацию ISO/IEC 27001:2022, должны учитывать как облачные, так и локальные среды.

Подключенные облачные службы

Локальная служба Azure обеспечивает глубокую интеграцию с несколькими службами Azure, такими как Azure Monitor, Azure Backup и Azure Site Recovery, для предоставления новых возможностей гибридной среде. Эти облачные службы проходят регулярные независимые сторонние аудиты для соответствия требованиям ISO/IEC 27001:2022. Вы можете просмотреть отчет о сертификате и аудите Azure ISO/IEC 27001:2022 в предложениях соответствия Требованиям Azure — ISO/IEC 27001:2022.

Внимание

Состояние соответствия Azure не предоставляет аккредитацию ISO/IEC 27001 для служб, которые организация создает или размещает на платформе Azure. Организации отвечают за обеспечение соответствия их операциям с требованиями ISO/IEC 27001:2022.

Локальные решения

В локальной среде Azure Local предоставляется массив функций, которые помогают организациям удовлетворять требованиям безопасности ISO/IEC 27001:2022. Дополнительные сведения см. в следующих разделах.

Локальные возможности Azure для ISO/IEC 27001:2022

В этом разделе описывается, как организации могут использовать локальные функции Azure для удовлетворения элементов управления безопасностью в приложении A ISO/IEC 27001:2022. Следующие сведения охватывают только технические требования. Требования, связанные с операциями обеспечения безопасности, не входят в сферу действий, так как локальная служба Azure не может повлиять на них. Руководство организовано девятью доменами приложения A:

• Безопасность сети
• Управление удостоверениями и доступом
• Защита данных
• Логирование
• Мониторинг
• Настройка безопасности
• Защита от угроз
• Резервное копирование и восстановление
• Масштабируемость и доступность

В этой статье описывается, как можно использовать локальные возможности Azure для удовлетворения требований каждого домена. Важно отметить, что не все элементы управления являются обязательными. Организации должны анализировать свою среду и проводить оценку рисков, чтобы определить, какие элементы управления необходимы. Дополнительные сведения о требованиях см. в разделе ISO/IEC 27001.

Безопасность сети

Функции безопасности сети, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.20 — безопасность сети
• 8.21 — безопасность сетевых служб
• 8.22 — разделение сетей
• 8.23 — веб-фильтрация

С помощью Azure Local вы можете применить средства управления безопасностью сети для защиты платформы и рабочих нагрузок, выполняемых на ней, от сетевых угроз вне и внутри. Azure Local также гарантирует справедливое распределение сети на узле и повышает производительность рабочей нагрузки и доступность с помощью возможностей балансировки нагрузки. Дополнительные сведения о безопасности сети в локальной среде Azure см. в следующих статьях.

• Обзор брандмауэра центра обработки данных
• Software Load Balancer (SLB) для программного определения сети (SDN)
• Шлюз службы удаленного доступа (RAS) для SDN
• Политики качества обслуживания для рабочих нагрузок, размещенных в локальной среде Azure

Управление удостоверениями и доступом

Функции управления удостоверениями и доступом, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.2 — права привилегированного доступа
• 8.3. Ограничения доступа к информации
• 8.5 — безопасная проверка подлинности

Azure Local предоставляет полный и прямой доступ к базовой системе, работающей на машинах, через несколько интерфейсов, таких как Azure Arc и Windows PowerShell. Вы можете использовать обычные средства Windows в локальных средах или облачных решениях, таких как Идентификатор Microsoft Entra (ранее Azure Active Directory), для управления удостоверениями и доступом к платформе. В обоих случаях вы можете воспользоваться встроенными функциями безопасности, такими как многофакторная проверка подлинности (MFA), условный доступ, управление доступом на основе ролей (RBAC) и управление привилегированными удостоверениями (PIM), чтобы обеспечить безопасность и соответствие вашей среде.

Дополнительные сведения об управлении локальными удостоверениями и доступом см. в Microsoft Identity Manager и управлении привилегированным доступом для служб домен Active Directory. Дополнительные сведения об облачном управлении удостоверениями и доступом см. в идентификаторе Microsoft Entra.

Защита данных

Функции защиты данных, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.5 — безопасная проверка подлинности
• 8.20 — безопасность сети
• 8.21 — безопасность сетевых служб
• 8.24. Использование криптографии

Шифрование данных с помощью BitLocker

В локальных экземплярах Azure все данные в состоянии покоя можно шифровать с использованием шифрования BitLocker XTS-AES с 256-разрядным ключом. По умолчанию система рекомендует включить BitLocker для шифрования всех томов операционной системы и общих томов кластера (CSV) в локальном развертывании Azure. Для всех новых томов хранилища, добавленных после развертывания, необходимо вручную включить BitLocker, чтобы зашифровать новый том хранилища. Использование BitLocker для защиты данных может помочь организациям оставаться в соответствии с ISO/IEC 27001. Дополнительные сведения об использовании BitLocker с общими томами кластера (CSV).

Защита внешнего сетевого трафика с помощью TLS/DTLS

По умолчанию все подключения узла к локальным и удаленным конечным точкам шифруются с помощью TLS1.2, TLS1.3 и DTLS 1.2. Платформа отключает использование старых протоколов и хэшей, таких как TLS/DTLS 1.1 SMB1. Azure Local также поддерживает надежные наборы шифров, такие как эллиптические кривые, совместимые с SDL, ограничены только кривыми NIST P-256 и P-384.

Защита внутреннего сетевого трафика с помощью блока сообщений сервера (SMB)

Подпись SMB включена по умолчанию для клиентских подключений в локальных экземплярах Azure. Для трафика внутри кластера шифрование SMB — это вариант, который организации могут включить во время или после развертывания для защиты данных во время передачи данных между системами. Наборы шифрования AES-256-GCM и AES-256-CCM теперь поддерживаются протоколом SMB 3.1.1, используемым трафиком файлов клиента-сервера и структурой данных внутри кластера. Протокол также продолжает поддерживать более совместимый набор AES-128. Узнайте больше об улучшениях безопасности SMB.

Логирование

Функции ведения журнала, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.15 — логирование
• 8.17 — синхронизация часов

Журналы локальной системы

По умолчанию все операции, выполняемые в локальном экземпляре Azure, записываются таким образом, чтобы отслеживать, кто сделал то, когда и где на платформе. Журналы и оповещения, созданные Защитником Windows, также включаются для предотвращения, обнаружения и минимизации вероятности и влияния компрометации данных. Тем не менее, поскольку системный журнал часто содержит большой объем информации, значительная часть которой является лишней для мониторинга информационной безопасности, необходимо определить, какие события следует собирать и использовать для целей мониторинга безопасности. Возможности мониторинга Azure помогают собирать, хранить, оповещать и анализировать эти журналы. Дополнительные сведения см. в базовой конфигурации безопасности для локальной службы Azure.

Локальные журналы действий

Azure Local Lifecycle Manager создает и сохраняет журналы действий для любого плана действий, выполняемого. Эти журналы поддерживают более глубокое исследование и мониторинг.

Журналы действий в облаке

Зарегистрировав ваши системы в Azure, вы можете использовать журналы активности Azure Monitor для записи операций над каждым ресурсом на уровне подписки, чтобы определить, что, кто и когда совершал любые операции записи (put, post или delete) над ресурсами в вашей подписке.

Журналы облачной идентификации

Если вы используете идентификатор Microsoft Entra для управления удостоверениями и доступом к платформе, вы можете просматривать журналы в отчетах Azure AD или интегрировать их с Azure Monitor, Microsoft Sentinel или другими средствами SIEM/monitoring для сложных вариантов мониторинга и анализа. Если вы используете локальная Active Directory, используйте решение Microsoft Defender для идентификации для использования сигналов локальной Active Directory для выявления, обнаружения и исследования расширенных угроз, скомпрометированных удостоверений и вредоносных действий инсайдеров, направленных на вашу организацию.

Интеграция SIEM

Microsoft Defender для облака и Microsoft Sentinel изначально интегрированы с локальными компьютерами Azure с поддержкой Arc. Вы можете включить и подключить журналы к Microsoft Sentinel, который обеспечивает управление событиями безопасности (SIEM) и автоматическое реагирование системы безопасности (SOAR). Microsoft Sentinel, как и другие облачные службы Azure, также соответствует многим хорошо установленным стандартам безопасности, таким как ISO/IEC 27001, что может помочь вам в процессе сертификации. Кроме того, Azure Local предоставляет собственный средство пересылки событий системного журнала для отправки системных событий сторонним решениям SIEM.

Наблюдение

Функции мониторинга, описанные в этом разделе, могут помочь вам в выполнении следующих элементов управления безопасностью, указанных в стандарте ISO/IEC 27001.

• 8.15 — ведение журнала

Аналитика для локальной среды Azure

Аналитика для Azure Local позволяет отслеживать работоспособность, производительность и использование систем, подключенных к Azure и участвующих в мониторинге. Во время настройки Аналитики создается правило сбора данных, указывающее собираемые данные. Эти данные хранятся в рабочей области Log Analytics, которая затем агрегируется, фильтруется и анализируется для предоставления предварительно созданных панелей мониторинга с помощью книг Azure. Данные мониторинга можно просматривать как для систем с одним узлом, так и с несколькими узлами на странице локальных ресурсов Azure или Azure Monitor. Подробнее см. в мониторинге Azure Local с помощью Insights.

Метрики для локальной среды Azure

Метрики для локальных служб Azure хранят числовые данные из отслеживаемых ресурсов в базу данных временных рядов. Вы можете использовать обозреватель метрик Azure Monitor для интерактивного анализа данных в вашей базе данных метрик и построения графиков значений нескольких метрик во времени. С помощью метрик можно создавать диаграммы из значений метрик и визуально сопоставлять тенденции.

Оповещения журнала

Чтобы указать проблемы в режиме реального времени, настройте оповещения для локальной среды Azure, используя предварительно существующие запросы журналов, такие как средний ЦП сервера, доступная память, доступная емкость тома и многое другое. Узнайте больше о настройке оповещений для локальных систем Azure.

Оповещения о метриках

Правило метрического оповещения отслеживает ресурс, оценивая условия метрик ресурса с регулярными интервалами. При соблюдении условий выдается оповещение. Временные ряды метрик — это ряд значений метрик, зарегистрированных за определенный период времени. Эти метрики можно использовать для создания правил генерации оповещений. Узнайте больше о том, как создавать оповещения метрик в разделе Оповещения метрик.

Оповещения сервисов и устройств

Локальная служба Azure предоставляет оповещения на основе служб для подключения, обновлений ОС, конфигурации Azure и т. д. Также доступны оповещения устройств о сбоях работоспособности кластера. Вы также можете отслеживать локальные экземпляры Azure и их базовые компоненты при помощи PowerShell или служба контроля состояния.

Безопасная конфигурация

Функции безопасной конфигурации, описанные в этом разделе, помогут вам удовлетворить следующие требования к управлению безопасностью ISO/IEC 27001.

• 8.8. Управление техническими уязвимостями
• 8.9. Управление конфигурацией

Защита по умолчанию

Локальный Azure настроен безопасно по умолчанию с использованием инструментов и технологий безопасности, которые защищают от современных угроз и соответствуют базовым стандартам безопасности вычислений Azure. Дополнительные сведения об управлении значениями безопасности по умолчанию для локальной среды Azure.

Защита от смещения

Конфигурация безопасности по умолчанию и параметры защищенного ядра платформы защищены как во время развертывания, так и во время выполнения с помощью защиты от смещения. При включении защита от смещения регулярно обновляет параметры безопасности каждые 90 минут, чтобы обеспечить исправление любых изменений из указанного состояния. Это непрерывный мониторинг и автоматическая коррекция позволяют поддерживать постоянную и надежную конфигурацию безопасности на протяжении всего жизненного цикла устройства. Вы можете отключить защиту смещения во время развертывания при настройке параметров безопасности.

Базовые показатели безопасности для рабочей нагрузки

Для рабочих нагрузок, работающих в локальной среде Azure, можно использовать рекомендуемые базовые показатели операционной системы Azure (как для Windows, так и Для Linux) для определения базовой конфигурации вычислительных ресурсов.

Обновление платформы

Все компоненты Azure Local, включая операционную систему, основные агенты и службы, а также расширение решения, можно легко поддерживать с помощью диспетчера жизненного цикла. Эта функция позволяет упаковать различные компоненты в выпуск обновления и проверить сочетание версий, чтобы обеспечить взаимодействие. Дополнительные сведения см. в документации по диспетчеру жизненного цикла для обновлений локального решения Azure.

Рабочие нагрузки клиентов не охватываются этим решением обновления.

Защита от угроз

Функциональные возможности защиты от угроз в этом разделе помогут вам удовлетворить следующие требования к управлению безопасностью ISO/IEC 27001.

• 8.7 . Защита от вредоносных программ

Антивирусная программа "Защитник Windows"

Антивирусная программа Защитника Windows — это приложение служебной программы, обеспечивающее возможность принудительного сканирования системы в режиме реального времени и периодического сканирования для защиты платформы и рабочих нагрузок от вирусов, вредоносных программ, шпионских программ и других угроз. По умолчанию антивирусная программа Microsoft Defender включена в локальной среде Azure. Корпорация Майкрософт рекомендует использовать антивирус Microsoft Defender вместе с локальной средой Azure, а не сторонними антивирусными программами и службами обнаружения вредоносных программ, так как они могут повлиять на то, как операционная система может получать обновления. Узнайте больше о Microsoft Defender Antivirus на Windows Server.

Управление приложениями в Защитнике Windows (WDAC)

Управление приложениями в Защитнике Windows (WDAC) включено по умолчанию в Локальной среде Azure для управления тем, какие драйверы и приложения разрешены выполнять непосредственно на каждом компьютере, что помогает предотвратить доступ к системам вредоносных программ. Дополнительные сведения о базовых политиках, включенных в локальную службу Azure, и о создании дополнительных политик в элементе управления приложениями Защитника Windows для локальной среды Azure.

Microsoft Defender для облака

Microsoft Defender для облака с Endpoint Protection (включено с помощью плана Defender для серверов) предоставляет решение для управления безопасностью с расширенными возможностями защиты от угроз. Он предоставляет средства для оценки состояния безопасности инфраструктуры, защиты рабочих нагрузок, повышения оповещений системы безопасности и выполнения конкретных рекомендаций по устранению атак и устранению будущих угроз. Она выполняет все эти службы с высокой скоростью в облаке без затрат на развертывание с помощью автоматической подготовки и защиты с помощью служб Azure. Дополнительные сведения см. в Microsoft Defender для облака.

Резервное копирование и восстановление

Функции резервного копирования и восстановления, описанные в этом разделе, помогут вам удовлетворить следующие требования к управлению безопасностью ISO/IEC 27001.

• 8.7 . Защита от вредоносных программ
• 8.13 — резервное копирование сведений
• 8.14 — избыточность информации

Растянутый кластер

Локальная служба Azure обеспечивает встроенную поддержку аварийного восстановления виртуализированных рабочих нагрузок с помощью растянутой кластеризации. При развертывании растянутой локальной инстанции Azure вы можете синхронно реплицировать свои виртуализированные рабочие нагрузки на двух различных локальных площадках и автоматически выполнять переключение на резервный узел между ними. Плановое переключение на резервный сайт может происходить без простоя с помощью живой миграции Hyper-V.

Узлы кластера Kubernetes

Если вы используете azure Local для размещения развертываний на основе контейнеров, платформа помогает повысить гибкость и устойчивость, присущую развертываниям Azure Kubernetes. Azure Local управляет автоматическим переключением виртуальных машин, действующих как узлы кластера Kubernetes, если происходит локализованный сбой основных физических компонентов. Эта конфигурация дополняет высокую доступность, встроенную в Kubernetes, который автоматически перезапускает контейнеры, вышедшие из строя, на той же или другой виртуальной машине.

Azure Site Recovery

Эта служба позволяет реплицировать рабочие нагрузки, выполняемые на локальных локальных виртуальных машинах Azure в облако, чтобы информационная система была восстановлена, если произошел инцидент, сбой или потеря носителя хранилища. Как и другие облачные службы Azure, Azure Site Recovery имеет длинный список сертификатов безопасности, включая HITRUST, которые можно использовать для поддержки процесса аккредитации. Дополнительные сведения о защите рабочих нагрузок виртуальных машин с помощью Azure Site Recovery на локальной платформе Azure.

Microsoft Azure Backup Server (MABS)

Эта служба позволяет создавать резервные копии локальных виртуальных машин Azure, указывая требуемую частоту и период хранения. Для резервного копирования большинства ресурсов в среде можно использовать MABS, в том числе:

• Состояние системы и восстановление на голое железо (BMR) узла Azure на месте
• Гостевые виртуальные машины в системе с локальным или непосредственно подключенным хранилищем
• Гостевые виртуальные машины в локальных экземплярах Azure с хранилищем CSV
• Перемещение виртуальной машины в кластере

Узнайте больше о резервном копировании локальных виртуальных машин Azure с помощью Azure Backup Server.

Доступность и масштабируемость

Функциональные возможности масштабируемости и доступности, описанные в этом разделе, помогут вам удовлетворить следующие требования к управлению безопасностью ISO/IEC 27001.

• 8.6 — управление емкостью
• 8.14 — избыточность информации

Гиперконвергированные модели

Azure Local использует гиперконвергентные модели Дисковых пространств Direct для развертывания рабочих нагрузок. Эта модель развертывания позволяет легко масштабироваться, добавляя новые узлы, которые автоматически расширяют вычислительные ресурсы и хранилище одновременно с нулевым временем простоя.

Отказоустойчивые кластеры

Локальные экземпляры Azure — это отказоустойчивые кластеры. Если сервер, который является частью Azure Local, отказал или стал недоступен, другой сервер в том же отказоустойчивом кластере берет на себя задачу предоставления служб, предлагаемых вышедшего из строя узла. Создайте отказоустойчивый кластер, включив Storage Spaces Direct на нескольких компьютерах под управлением Azure Local.