Сопоставление элементов управления примера схемы "SQL ISO 27001: рабочая нагрузка Среды службы приложений или Базы данных SQL"

Внимание

11 июля 2026 г. схемы (предварительная версия) будут устарели. Перенос существующих определений схемы и назначений в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Сведения о создании артефакта в качестве ресурса ARM см. в статье:

• Политика
• RBAC
• Развертывания

В статье подробно описано, как пример схемы Azure Blueprints "SQL ISO 27001: рабочая нагрузка Среды службы приложений или Базы данных SQL" сопоставляется с элементами управления ISO 27001.

Далее представлены сопоставления для элементов управления ISO 27001:2013. Используйте панель навигации справа для перехода непосредственно к сопоставлению конкретных элементов управления. Многие сопоставленные элементы управления реализуются с помощью инициативы Политика Azure. Чтобы просмотреть полную инициативу, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенную инициативу политики [Предварительная версия]. Аудит элементов управления ISO 27001:2013 и развертывание определенных расширений виртуальной машины для обеспечения требований аудита.

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Соответствует в Политике Azure применимо только к самим политикам и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями Политики Azure для этого примера схемы соответствия могут измениться в будущем. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

A.6.1.2. Разделение обязанностей

Наличие только одного владельца подписки Azure не позволит организовать административную избыточность. И наоборот, слишком большое число владельцев подписки Azure может увеличить вероятность бреши в системе безопасности через скомпрометированную учетную запись владельца. Эта схема помогает сохранить требуемое число владельцев подписки Azure, назначая два определения Политики Azure для аудита числа владельцев для подписок Azure. Управление разрешениями владельца подписки помогает реализовать соответствующее разделение обязанностей.

• Подписке должно быть назначено не более 3 владельцев
• Подписке должно быть назначено несколько владельцев

A.8.2.1. Сведения о классификации данных

Служба оценки уязвимости SQL Azure помогает обнаруживать конфиденциальные данные в базах данных пользователя и дает рекомендации по классификации этих данных. В этой схеме назначается определение Политики Azure для аудита на предмет того, устранены ли уязвимости, обнаруженные в ходе проверки в службе оценки уязвимостей SQL.

• Уязвимости в базах данных SQL должны быть устранены.

A.9.1.2. Доступ к сетям и сетевым службам

В Azure реализовано управление доступом на основе ролей (Azure RBAC) для управления пользователями, которые обращаются к ресурсам Azure. Эта схема помогает управлять доступом к ресурсам Azure, назначая семь определений Политики Azure для аудита использования типов и конфигураций ресурсов, которые предоставляют повышенные права доступа к ресурсам. Определение ресурсов, которые нарушают эти политики, помогает применить корректирующие действия и ограничить круг доступа к ресурсам Azure только авторизованными пользователями.

• Отображение результатов аудита виртуальных машин Linux с учетными записями без паролей
• Отображение результатов аудита виртуальных машин Linux с разрешенным удаленным подключением с использованием учетных записей без паролей
• Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager
• Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager.
• Аудит виртуальных машин, которые не используют управляемые диски

A.9.2.3. Управление привилегированными правами доступа

Эта схема помогает ограничивать и контролировать привилегированные права доступа, назначая четыре определения Политики Azure для аудита внешних учетных записей с правами владельца и (или) записи, которые не используют многофакторную проверку подлинности. Управление доступом на основе ролей Azure (Azure RBAC) упрощает управление доступом к ресурсам Azure. В этой схеме назначаются три определения Политики Azure для аудита использования аутентификации Azure Active Directory для SQL Server и Service Fabric. Использование проверки подлинности Azure Active Directory упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями для пользователей баз данных и других служб Майкрософт. Эта схема также назначает определение Политики Azure для аудита использования настраиваемых правил RBAC. Понимание того, в каких случаях применяются настраиваемые правила Azure RBAC, поможет вам убедиться в их необходимости и правильной реализации, так как настраиваемые правила Azure RBAC подвержены ошибкам.

• Для учетных записей с разрешениями владельца в вашей подписке должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на запись в вашей подписке должна быть включена многофакторная проверка подлинности
• Внешние учетные записи с разрешениями владельца должны быть удалены из подписки
• Внешние учетные записи с разрешениями на запись должны быть удалены из подписки
• Для серверов SQL должен быть подготовлен администратор Azure Active Directory
• Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента
• Аудит использования настраиваемых правил RBAC

A.9.2.4. Управление секретной информацией для проверки подлинности пользователей

Эта схема назначает три определения Политики Azure для аудита учетных записей без включенной многофакторной проверки подлинности. Многофакторная проверка подлинности помогает защитить учетные записи даже в случае компрометации одной части сведений о проверке подлинности. Наблюдая за учетными записями без включенной многофакторной проверки подлинности, вы можете определить учетные записи, которые с большей вероятностью могли быть скомпрометированы. Эта схема также назначает два определения Политики Azure для аудита разрешений в файле паролей виртуальной машины Linux и создания оповещений при их неправильной настройке. Этот механизм позволяет предпринять корректирующее действие, чтобы избежать компрометации средств проверки подлинности.

• Для учетных записей с разрешениями владельца в вашей подписке должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на запись в вашей подписке должна быть включена многофакторная проверка подлинности
• Отображение результатов аудита виртуальных машин с Linux без разрешений 0644 для файла passwd

A.9.2.5. Общие сведения о правах доступа пользователя

В Azure реализовано управление доступом на основе ролей (Azure RBAC). Оно упрощает управление пользователями, которые обращаются к ресурсам Azure. С помощью портала Azure вы можете просмотреть, у кого есть доступ к ресурсам Azure и какие им назначены разрешения. Эта схема назначает четыре определения Политики Azure для аудита учетных записей, которые нужно проверять в первую очередь, например устаревшие учетные записи и внешние учетные записи с повышенными разрешениями.

• Устаревшие учетные записи должны быть удалены из подписки
• Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки
• Внешние учетные записи с разрешениями владельца должны быть удалены из подписки
• Внешние учетные записи с разрешениями на запись должны быть удалены из подписки

A.9.2.6. Удаление или корректировка прав доступа

В Azure реализовано управление доступом на основе ролей (Azure RBAC). Оно упрощает управление пользователями, которые обращаются к ресурсам Azure. С помощью Azure Active Directory и Azure RBAC вы можете обновлять роли пользователей в соответствии с изменениями в организации. При необходимости можно запретить вход для учетных записей (или удалить их), что немедленно отменит все права доступа к ресурсам Azure. Эта схема назначает два определения Политики Azure для аудита устаревших учетных записей, которые, возможно, требуется удалить.

• Устаревшие учетные записи должны быть удалены из подписки
• Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки

A.9.4.2. Безопасные процедуры входа в систему

В этой схеме назначаются три определения Политики Azure для аудита учетных записей, у которых не включена многофакторная проверка подлинности. Многофакторная проверка подлинности Azure AD предоставляет более надежную защиту за счет дополнительного способа проверки подлинности и обеспечивает строгую проверку подлинности. Наблюдая за учетными записями без включенной многофакторной проверки подлинности, вы можете определить учетные записи, которые с большей вероятностью могли быть скомпрометированы.

• Для учетных записей с разрешениями владельца в вашей подписке должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на запись в вашей подписке должна быть включена многофакторная проверка подлинности

A.9.4.3. Система управления паролями

Эта схема помогает принудительно требовать надежные пароли, назначая 10 определений Политики Azure для аудита виртуальных машин Windows, в которых не применяется минимальная надежность и другие требования к паролю. Определение виртуальных машин, которые нарушают политику надежности паролей, помогает выполнить корректирующие действия и обеспечить соблюдение требований политики для паролей всех учетных записей пользователей на виртуальных машинах.

• Отображение результатов аудита виртуальных машин с Windows без включенного параметра сложности пароля
• Отображение результатов аудита виртуальных машин с Windows, максимальный срок действия пароля которых не составляет 70 дней
• Отображение результатов аудита виртуальных машин Windows, минимальный срок действия пароля которых не составляет один день
• Отображение результатов аудита виртуальных машин с Windows, минимальная длина пароля которых не ограничена 14 символами
• Отображение результатов аудита виртуальных машин с Windows с возможностью повторного использования предыдущих 24 паролей

A.10.1.1. Политика использования элементов управления шифрованием

Эта схема помогает принудительно применить политику по использованию элементов управления шифрованием, назначая 13 определений Политики Azure для принудительного применения определенных элементов управления шифрованием и аудита использования слабых параметров шифрования. Определение областей, в которых ресурсы Azure могут иметь неоптимальные криптографические конфигурации, поможет вам выполнить корректирующие действия, чтобы убедиться, что ресурсы настроены в соответствии с вашей информационной политикой безопасности. В частности, присвоенные в рамках этой схемы политики отвечают за следующее: требуют шифрование для учетных записей хранилища больших двоичных объектов и учетных записей хранения озера данных; требуют прозрачное шифрование данных для баз данных SQL; ведут аудит отсутствия шифрования для учетных записей хранения, баз данных SQL, дисков виртуальной машины и переменных учетной записи службы автоматизации; ведут аудит небезопасных подключений для учетных записей хранения, приложений-функций, веб-приложений, Приложений API и Кэша Redis; ведут аудит слабого шифрования для паролей виртуальной машины; ведут аудит незашифрованного обмена данными с Service Fabric.

• Приложение-функция должно быть доступно только по HTTPS.
• Веб-приложение должно быть доступно только по HTTPS.
• Приложение API должно быть доступно только по HTTPS
• Отображение результатов аудита виртуальных машин с Windows без хранения паролей с использованием обратимого шифрования
• Шифрование дисков должно применяться к виртуальным машинам.
• Необходимо включить шифрование для переменных учетной записи службы автоматизации
• Использование только безопасных подключений к Кэшу Azure для Redis
• Должно выполняться безопасное перемещение в учетные записи хранения
• Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign
• Прозрачное шифрование данных должно быть включено в базах данных SQL.

A.12.4.1. Ведение журнала событий

Эта схема помогает обеспечить ведение журналов событий системы, назначая семь определений Политики Azure для аудита параметров журналов для ресурсов Azure. Журналы диагностики позволяют подробно проанализировать операции, выполненные с ресурсами Azure.

• Проверка развертывания Dependency Agent — образ виртуальной машины (ОС) отсутствует в списке
• Проверка развертывания Dependency Agent в масштабируемых наборах виртуальных машин — образ виртуальной машины (ОС) отсутствует в списке
• [Предварительная версия]: аудит развертывания агента Log Analytics — образ виртуальной машины (ОС) без списка
• Проверка развертывания агента Log Analytics в масштабируемых наборах виртуальных машин — образ виртуальной машины (ОС) отсутствует в списке
• Аудит параметров диагностики
• Следует включить аудит на сервере SQL

A.12.4.3. Журналы администратора и оператора

Эта схема помогает обеспечить ведение журнала событий системы, назначая семь определений Политики Azure для аудита параметров журналов для ресурсов Azure. Журналы диагностики позволяют подробно проанализировать операции, выполненные с ресурсами Azure.

• Проверка развертывания Dependency Agent — образ виртуальной машины (ОС) отсутствует в списке
• Проверка развертывания Dependency Agent в масштабируемых наборах виртуальных машин — образ виртуальной машины (ОС) отсутствует в списке
• [Предварительная версия]: аудит развертывания агента Log Analytics — образ виртуальной машины (ОС) без списка
• Проверка развертывания агента Log Analytics в масштабируемых наборах виртуальных машин — образ виртуальной машины (ОС) отсутствует в списке
• Аудит параметров диагностики
• Следует включить аудит на сервере SQL

A.12.4.4. Синхронизация часов

Эта схема помогает обеспечить ведение журнала событий системы, назначая семь определений Политики Azure для аудита параметров журналов для ресурсов Azure. Журналы Azure используют синхронизированные внутренние часы для создания записей о событиях с ресурсами с метками времени.

• Проверка развертывания Dependency Agent — образ виртуальной машины (ОС) отсутствует в списке
• Проверка развертывания Dependency Agent в масштабируемых наборах виртуальных машин — образ виртуальной машины (ОС) отсутствует в списке
• [Предварительная версия]: аудит развертывания агента Log Analytics — образ виртуальной машины (ОС) без списка
• Проверка развертывания агента Log Analytics в масштабируемых наборах виртуальных машин — образ виртуальной машины (ОС) отсутствует в списке
• Аудит параметров диагностики
• Следует включить аудит на сервере SQL

A.12.5.1. Установка программного обеспечения в операционных системах

Адаптивное управление приложениями — решение из Центра безопасности Azure, которое помогает управлять приложениями, запускаемыми на виртуальных машинах в Azure. Эта схема назначает определение Политики Azure для мониторинга изменений в наборе разрешенных приложений. Эта возможность позволяет управлять установкой программного обеспечения и приложений на виртуальных машинах Azure.

• На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений.

A.12.6.1. Управление техническими уязвимостями

Эта схема помогает управлять уязвимостями информационной системы, назначая пять определений Политики Azure для мониторинга в Центре безопасности Azure отсутствующих обновлений системы, уязвимостей операционной системы, уязвимостей SQL и уязвимостей виртуальной машины. Центр безопасности Azure предоставляет возможности подготовки отчетов, которые позволяют получать полезные сведения в реальном времени о состоянии безопасности развернутых ресурсов Azure.

• Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure
• На ваших компьютерах должны быть установлены обновления системы
• Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
• Уязвимости в базах данных SQL должны быть устранены.
• Уязвимости должны быть устранены с помощью решения для оценки уязвимостей

A.12.6.2. Ограничения на установку программного обеспечения

Адаптивное управление приложениями — решение из Центра безопасности Azure, которое помогает управлять приложениями, запускаемыми на виртуальных машинах в Azure. Эта схема назначает определение Политики Azure для мониторинга изменений в наборе разрешенных приложений. Ограничения на установку программного обеспечения помогают снизить вероятность возникновения уязвимостей в программном обеспечении.

• На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений.

A.13.1.1. Элементы управления сетью

Эта схема упрощает управление сетями, назначая определение Политики Azure для мониторинга групп безопасности сети с разрешительными правилами. Использование недостаточно строгих правил может привести к несанкционированному доступу по сети. Такие правила следует пересмотреть. В этой схеме также назначаются три определения Политики Azure для мониторинга незащищенных конечных точек, приложений и учетных записей хранения. Использование конечных точек и приложений, которые не защищены брандмауэром, а также учетных записей хранения с неограниченным доступом может привести к нежелательному доступу к данным, содержащимся в информационной системе.

• Доступ через конечную точку с выходом в Интернет должен быть ограничен
• Учетные записи хранения должны ограничивать доступ к сети.

A.13.2.1. Политики и процедуры передачи информации

Эта схема помогает обеспечить безопасность при передаче информации с помощью служб Azure, назначая два определения Политики Azure для аудита небезопасных подключений к учетным записям хранения и Кэшу Azure для Redis.

• Использование только безопасных подключений к Кэшу Azure для Redis
• Должно выполняться безопасное перемещение в учетные записи хранения

Следующие шаги

Теперь, когда вы ознакомились с сопоставлением элементов управления для примера схемы "ISO 27001: рабочая нагрузка Среды службы приложений или Базы данных SQL", изучите дополнительные сведения об архитектуре и развертывании этого примера из следующих статей:

Схема "ISO 27001: рабочая нагрузка Среды службы приложений или Базы данных SQL". Общие сведенияСхема "ISO 27001: рабочая нагрузка Среды службы приложений или Базы данных SQL". Инструкции по развертыванию

Дополнительные статьи о схемах и способах их использования:

• Ознакомьтесь со сведениями о жизненном цикле схем.
• Узнайте, как использовать статические и динамические параметры.
• Научитесь настраивать последовательность схемы.
• Узнайте, как применять блокировку ресурсов схемы.
• Узнайте, как обновлять существующие назначения.