Развертывание примера схемы "ISO 27001: общие службы"
Внимание
11 июля 2026 г. схемы (предварительная версия) будут устарели. Перенос существующих определений схемы и назначений в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Сведения о создании артефакта в качестве ресурса ARM см. в статье:
Чтобы развернуть пример схемы Azure Blueprints "ISO 27001: общие службы", следует выполнить следующие действия:
- создание схемы на основе примера;
- установка метки копии образца Опубликовано;
- назначение копии схемы существующей подписке;
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Создание схемы на основе примера
Для начала внедрите пример схемы, создав новую схему в среде на основе этого примера.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
На странице Начало работы с левой стороны в разделе Создание схемы щелкните кнопку Создать.
Найдите пример схемы СЛУЖБ ISO 27001: пример схемы общих служб в разделе "Другие примеры" и выберите "Использовать этот пример".
Введите основные данные образца схемы.
- Имя схемы: укажите имя копии примера схемы общих служб ISO 27001.
- Расположение определения: используйте многоточие и выберите группу управления, чтобы сохранить копию примера.
Выберите вкладку "Артефакты" в верхней части страницы или "Далее": артефакты в нижней части страницы.
Просмотрите список артефактов, из которых состоит образец схемы. Многие артефакты имеют параметры, которые мы определим позднее. После завершения просмотра образца схемы выберите Сохранить черновик.
Публикации копии образца
Теперь в вашей среде создана копия образца схемы. Она создана в режиме Черновик, и прежде чем назначить и развернуть эту копию, ее необходимо опубликовать. Вы можете изменить параметры своей копии этого примера схемы с учетом среды и требований, но такие изменения могут нарушить соответствие стандарту ISO 27001.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
В меню слева выберите страницу Определения схем. Примените фильтры, чтобы найти копию примера схемы, и выберите его.
В верхней части страницы выберите Опубликовать схему. В правой части новой страницы укажите версию для копии примера схемы. Это свойство позволяет вносить изменения позднее. Укажите заметки об изменениях, например "Первая версия, опубликованная на основе образца схемы ISO 27001". Затем в нижней части страницы выберите Опубликовать.
Назначение копии образца
После успешной публикации копию образца схемы можно назначить подписке в группе управления, в которой ее сохранили. На этом шаге указывают параметры, которые позволяют сделать каждое развертывание образца схемы уникальным.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
В меню слева выберите страницу Определения схем. Примените фильтры, чтобы найти копию примера схемы, и выберите его.
В верхней части страницы определения схемы выберите Назначить схему.
Укажите значения параметра для назначения схемы.
Основные сведения
- Подписки. Выберите одну или несколько подписок, которые находятся в группе управления, в которую вы сохранили копию примера схемы. Если вы выберите более одной подписки, для каждой из них будет создано назначение с использованием введенных параметров.
- Имя назначения: имя предварительно заполняется на основе имени схемы. Измените его при желании или сохраните вариант по умолчанию.
- Расположение. Выберите регион для создаваемого управляемого удостоверения. Azure Blueprints использует это управляемое удостоверение для развертывания всех артефактов в назначенной схеме. Дополнительные сведения см. в статье Управляемые удостоверения для ресурсов Azure.
- Версия определения схемы: выберите опубликованную версию копии примера схемы.
Блокировка назначения
Выберите режим блокировки для схемы с учетом своей среды. Дополнительные сведения см. в разделе Блокировка ресурсов схем.
Управляемое удостоверение
Сохраните значение по умолчанию Назначено системой для управляемого удостоверения.
Параметры схемы
Параметры, определенные в этом разделе, используются многими артефактами из определения схемы. Это сделано для обеспечения согласованности.
- Название организации: введите короткое имя для вашей организации. Это свойство в основном используется для именования ресурсов.
- Префикс адреса подсети общих служб: укажите значение нотации CIDR для сети развернутых ресурсов вместе.
- Расположение общих служб. Определяет расположение артефактов, в которых развертываются артефакты. Некоторые службы доступны не во всех регионах. Артефакты, которые развертывают такие службы, предоставляют параметр для настройки расположения для развертывания артефакта.
- Разрешенное расположение (политика: инициатива схемы для ISO 27001): значение, указывающее допустимые расположения для групп ресурсов и ресурсов.
- Рабочая область Log Analytics для агентов виртуальных машин (политика: инициатива схемы для ISO 27001): указывает идентификатор ресурса рабочей области. Этот параметр использует функцию
concatдля получения идентификатора ресурса.
Параметры артефакта
Параметры, определенные в этом разделе, применяются к артефакту, под которым они определены. Поскольку эти параметры определяются во время назначения схемы, они являются динамическими. Полный список параметров артефактов с описаниями можно найти в таблице параметров артефактов.
После ввода всех параметров в нижней части страницы выберите Назначить. Это действие создает назначение схемы и начинает развертывание артефактов. Развертывание занимает около часа. Чтобы проверить состояние развертывания, откройте назначение схемы.
Предупреждение
Служба Azure Blueprints и встроенные примеры схем предоставляются бесплатно. Ресурсы Azure оплачиваются согласно тарифам на продукты. С помощью калькулятора цен вы можете оценить расходы на выполнение ресурсов, развертываемых этим примером схемы.
Таблица параметров артефактов
Следующая таблица содержит полный список параметров артефактов схемы.
| Имя артефакта | Тип артефакта | Наименование параметра | Description |
|---|---|---|---|
| [Предварительная версия.] Развертывание агента Log Analytics для масштабируемых наборов виртуальных машин Linux (VMSS) | Назначение политики | Необязательный: список образов виртуальных машин, которые поддерживают ОС Linux для добавления в область | (Необязательно.) Значение по умолчанию — ["none"]. |
| [Предварительная версия]. Развертывание агента Log Analytics для виртуальных машин Linux | Назначение политики | Необязательный: список образов виртуальных машин, которые поддерживают ОС Linux для добавления в область | (Необязательно.) Значение по умолчанию — ["none"]. |
| [Предварительная версия]. Развертывание агента Log Analytics для масштабируемых наборов виртуальных машин Windows (VMSS) | Назначение политики | Необязательный: список образов виртуальных машин, поддерживаемых ОС Windows для добавления в область | (Необязательно.) Значение по умолчанию — ["none"]. |
| [Предварительная версия]. Развертывание агента Log Analytics для виртуальных машин Windows | Назначение политики | Необязательный: список образов виртуальных машин, поддерживаемых ОС Windows для добавления в область | (Необязательно.) Значение по умолчанию — ["none"]. |
| Допустимые типы ресурсов | Назначение политики | Допустимые типы ресурсов | Список типов ресурсов, которые могут быть развернуты. Этот список включает все типы ресурсов, развертываемых в общих службах. |
| Допустимые SKU учетной записи хранения | Назначение политики | Допустимые номера SKU для хранилища | Список разрешенных номеров SKU для учетной записи хранения диагностических журналов. Значение по умолчанию — ["Standard_LRS"]. |
| Разрешенные SKU виртуальных машин | Назначение политики | Список номеров SKU для виртуальных машин, которые можно развертывать. Значение по умолчанию — ["Standard_DS1_v2", "Standard_DS2_v2"]. | |
| Проектная инициатива для ISO 27001 | Назначение политики | Типы ресурсов для аудита журналов диагностики | Список типов ресурсов для аудита, если журнал диагностики не включен. Допустимые значения можно найти в схемах журналов диагностики Azure Monitor. |
| Группа ресурсов Log Analytics | Группа ресурсов | Имя. | Заблокировано. Чтобы группа ресурсов была уникальной, объединяются значения названия организации и -sharedsvsc-log-rg. |
| Группа ресурсов Log Analytics | Группа ресурсов | Расположение | Заблокировано. Используется параметр схемы. |
| Шаблон Log Analytics | Шаблон Resource Manager | Уровень служб | Задает уровень рабочей области Log Analytics. Значение по умолчанию — PerNode. |
| Шаблон Log Analytics | Шаблон Resource Manager | Хранение журналов в днях | Хранение данных в днях. Значение по умолчанию — 365. |
| Шаблон Log Analytics | Шаблон Resource Manager | Расположение | Регион, используемый для создания рабочей области Log Analytics. Значение по умолчанию — Западная часть США 2. |
| Группа сетевых ресурсов | Группа ресурсов | Имя. | Заблокировано. Чтобы группа ресурсов была уникальной, объединяются значения названия организации и -sharedsvcs-net-rg. |
| Группа сетевых ресурсов | Группа ресурсов | Расположение | Заблокировано. Используется параметр схемы. |
| Шаблон Брандмауэра Azure | Шаблон Resource Manager | Частный IP-адрес брандмауэра Azure | Определяет частный IP-адрес Брандмауэра Azure. Это значение также используется как таблица маршрутов по умолчанию для подсети общих служб. Должно быть частью нотации CIDR, определенной в параметре Префикс адреса подсети Брандмауэра Azure. Значение по умолчанию — 10.0.4.4. |
| Шаблон Брандмауэра Azure | Шаблон Resource Manager | Хранение журналов в днях | Хранение данных в днях. Значение по умолчанию — 365. |
| Шаблон группы безопасности сети | Шаблон Resource Manager | Хранение журналов в днях | Хранение данных в днях. Значение по умолчанию — 365. |
| Шаблон виртуальной сети и таблицы маршрутов | Шаблон Resource Manager | Префикс адреса виртуальной сети | Виртуальная сеть в нотации CIDR. Значение по умолчанию — 10.0.0.0/16. |
| Шаблон виртуальной сети и таблицы маршрутов | Шаблон Resource Manager | Включение защиты от DDoS в виртуальной сети | Настраивает защиту от атак DDoS для виртуальной сети. Значение по умолчанию — True. |
| Шаблон виртуальной сети и таблицы маршрутов | Шаблон Resource Manager | Префикс адреса подсети общих служб | Подсеть для общих служб в нотации CIDR. Значение по умолчанию — 10.0.0.0/24. |
| Шаблон виртуальной сети и таблицы маршрутов | Шаблон Resource Manager | Префикс адреса подсети DMZ | Подсеть DMZ в нотации CIDR. Значение по умолчанию — 10.0.1.0/24. |
| Шаблон виртуальной сети и таблицы маршрутов | Шаблон Resource Manager | Префикс адреса подсети Шлюза приложений | Подсеть Шлюза приложений в нотации CIDR. Значение по умолчанию — 10.0.2.0/24. |
| Шаблон виртуальной сети и таблицы маршрутов | Шаблон Resource Manager | Префикс адреса подсети шлюза виртуальной сети | Подсеть виртуальной сети шлюза в нотации CIDR. Значение по умолчанию — 10.0.3.0/24. |
| Шаблон виртуальной сети и таблицы маршрутов | Шаблон Resource Manager | Префикс адреса подсети Брандмауэра Azure | Подсеть для Брандмауэра Azure в нотации CIDR. Значение должно включать параметр Частный IP-адрес брандмауэра Azure. |
| группа ресурсов хранилища ключей; | Группа ресурсов | Имя. | Заблокировано. Чтобы группа ресурсов была уникальной, объединяются значения названия организации и -sharedsvcs-kv-rg. |
| группа ресурсов хранилища ключей; | Группа ресурсов | Расположение | Заблокировано. Используется параметр схемы. |
| Шаблон Key Vault | Шаблон Resource Manager | Имя администратора Jumpbox | Имя пользователя для Jumpbox. Должно совпадать со значением аналогичного свойства в шаблоне Jumpbox. Значение по умолчанию — jb-admin-user. |
| Шаблон Key Vault | Шаблон Resource Manager | Ключ SSH или пароль администратора Jumpbox | Ключ или пароль для учетной записи в Jumpbox. Должно совпадать со значением аналогичного свойства в шаблоне Jumpbox. Значение по умолчанию отсутствует, пустые значения не допускаются. |
| Шаблон Key Vault | Шаблон Resource Manager | Имя администратора домена | Имя пользователя для доступа к виртуальной машине Active Directory и присоединения других виртуальных машин к домену. Должно совпадать со значением свойства Имя пользователя администратора домена в шаблоне доменных служб Active Directory. Значение по умолчанию — domain-admin-user. |
| Шаблон Key Vault | Шаблон Resource Manager | Пароль администратора домена | Пароль для администратора домена. Значение по умолчанию отсутствует, пустые значения не допускаются. |
| Шаблон Key Vault | Шаблон Resource Manager | Идентификатор объекта AAD | Идентификатор объекта AAD для учетной записи, которой требуется доступ к экземпляру Key Vault. Значение по умолчанию отсутствует, пустые значения не допускаются. Чтобы найти это значение на портале Azure, найдите и выберите элемент "Пользователи" в разделе Службы. Отфильтруйте учетные записи по полю Имя и выберите нужную учетную запись. На странице Профиль пользователя щелкните значок "Щелкните, чтобы копировать" рядом с полем Идентификатор объекта. |
| Шаблон Key Vault | Шаблон Resource Manager | Хранение журналов в днях | Хранение данных в днях. Значение по умолчанию — 365. |
| Шаблон Key Vault | Шаблон Resource Manager | Номер SKU для Key Vault | Указывает номер SKU для создаваемого хранилища ключей. Значение по умолчанию — Premium. |
| Группа ресурсов Jumpbox | Группа ресурсов | Имя. | Заблокировано. Чтобы группа ресурсов была уникальной, объединяются значения названия организации и -sharedsvcs-jb-rg. |
| Группа ресурсов Jumpbox | Группа ресурсов | Расположение | Заблокировано. Используется параметр схемы. |
| Шаблон Jumpbox | Шаблон Resource Manager | Имя администратора Jumpbox | Имя пользователя, используемое для доступа к виртуальным машинам Jumpbox. Должно совпадать со значением аналогичного свойства в шаблоне Key Vault. Значение по умолчанию — jb-admin-user. |
| Шаблон Jumpbox | Шаблон Resource Manager | Пароль администратора Jumpbox (идентификатор ресурса Key Vault) | Идентификатор ресурса для Key Vault. Укажите значение /subscriptions/{subscriptionId}/resourceGroups/{orgName}-sharedsvcs-kv-rg/providers/Microsoft.KeyVault/vaults/{orgName}-sharedsvcs-kv и замените {subscriptionId} соответствующим идентификатором подписки, а {orgName} — параметром Название организации в схеме. |
| Шаблон Jumpbox | Шаблон Resource Manager | Пароль администратора Jumpbox (имя секрета Key Vault) | Имя пользователя администратора jumpbox. Должно совпадать со значением в свойстве шаблона Key Vault имя администратора Jumpbox. |
| Шаблон Jumpbox | Шаблон Resource Manager | Операционная система Jumpbox | Определяет тип операционной системы на виртуальной машине Jumpbox. Значение по умолчанию — Windows. |
| Группа ресурсов для доменных служб Active Directory | Группа ресурсов | Имя. | Заблокировано. Чтобы группа ресурсов была уникальной, объединяются значения названия организации и -sharedsvcs-adds-rg. |
| Группа ресурсов для доменных служб Active Directory | Группа ресурсов | Расположение | Заблокировано. Используется параметр схемы. |
| Шаблон доменных служб Active Directory | Шаблон Resource Manager | Имя администратора домена | Имя пользователя для ADDS Jumpbox. Должно совпадать со значением аналогичного свойства в шаблоне Key Vault. Значение по умолчанию — adds-admin-user. |
| Шаблон доменных служб Active Directory | Шаблон Resource Manager | Пароль администратора домена (идентификатор ресурса Key Vault) | Идентификатор ресурса для Key Vault. Укажите значение /subscriptions/{subscriptionId}/resourceGroups/{orgName}-sharedsvcs-kv-rg/providers/Microsoft.KeyVault/vaults/{orgName}-sharedsvcs-kv и замените {subscriptionId} соответствующим идентификатором подписки, а {orgName} — параметром Название организации в схеме. |
| Шаблон доменных служб Active Directory | Шаблон Resource Manager | Пароль администратора домена (имя секрета Key Vault) | Имя пользователя администратора домена. Должно соответствовать значению в имени администратора домена домена шаблона Key Vault. |
| Шаблон доменных служб Active Directory | Шаблон Resource Manager | Доменное имя | Имя каталога Active Directory, созданного с помощью этого примера. Значение по умолчанию — contoso.com. |
| Шаблон доменных служб Active Directory | Шаблон Resource Manager | Администратор домена | Имя пользователя для учетной записи администратора AD и для присоединения устройств к домену AD. Должно совпадать со значением свойства Имя входа администратора AD в шаблоне Key Vault. Значение по умолчанию — domain-admin-user. |
| Шаблон доменных служб Active Directory | Шаблон Resource Manager | Пароль администратора домена | Укажите необходимые сведения для сохранения пароля в Key Vault. Значение по умолчанию отсутствует, пустые значения не допускаются. |
Следующие шаги
Теперь, когда вы ознакомились с процедурой развертывания схемы "ISO 27001: общие службы", узнайте об архитектуре и сопоставлении элементов управления из следующих статей:
Обзор примера схемы "ISO 27001: общие службы"Схема "ISO 27001: общие службы". Сопоставление элементов управления
Дополнительные статьи о схемах и способах их использования:
- Ознакомьтесь со сведениями о жизненном цикле схем.
- Узнайте, как использовать статические и динамические параметры.
- Научитесь настраивать последовательность схемы.
- Узнайте, как применять блокировку ресурсов схемы.
- Узнайте, как обновлять существующие назначения.