Dela via


Översikt över skissexemplet ISO 27001 Delade tjänster

Viktigt!

Den 11 juli 2026 kommer skisser (förhandsversion) att bli inaktuella. Migrera dina befintliga skissdefinitioner och tilldelningar till mallspecifikationer och distributionsstackar. Skissartefakter ska konverteras till ARM JSON-mallar eller Bicep-filer som används för att definiera distributionsstackar. Information om hur du skapar en artefakt som en ARM-resurs finns i:

Skissexemplet ISO 27001 Shared Services innehåller en uppsättning kompatibla infrastrukturmönster och principskyddsmekanismer som hjälper dig mot ISO 27001-attestering. Den här skissen hjälper kunder att distribuera molnbaserade arkitekturer som erbjuder lösningar på scenarion med auktoriserings- och efterlevnadskrav.

Skissexemplet ISO 27001 App Service-miljön/SQL Database-arbetsbelastning utökar det här exemplet.

Arkitektur

Skissexemplet ISO 27001 Delade tjänster distribuerar en grundinfrastruktur i Azure som organisationer kan använda som värd för flera arbetsbelastningar baserat på VDC-metoden (virtuellt datacenter). VDC är en uppsättning beprövade referensarkitekturer, automatiseringsverktyg och en interaktionsmodell som Microsoft använder för sina stora företagskunder. Skissexemplet för Delade tjänster är baserat på en helt intern Azure VDC-miljö (se nedan).

Utformning för skissexemplet ISO 27001 Delade tjänster

Den här miljön består av flera Azure-tjänster ger en säker, fullständigt övervakad infrastruktur för delade tjänster för företag baserat på ISO 27001-standarder. Den här miljön består av:

  • Azure-roller som används för ansvarsfördelning ur ett kontrollplansperspektiv. Tre roller definieras innan någon infrastruktur distribueras:
    • NetOps-rollen har behörigheter för att hantera nätverksmiljön, inklusive brandväggsinställningar, NSG-inställningar, routning och andra nätverksfunktioner
    • SecOps-rollen har nödvändiga behörigheter för att distribuera och hantera Azure Security Center, definiera Azure Policy-definitioner och andra säkerhetsrelaterade behörigheter
    • SysOps-rollen har nödvändiga behörigheter för att definiera Azure Policy-definitioner i prenumerationen, hantera Log Analytics för hela miljön och andra behörigheter
  • Log Analytics distribueras som första Azure-tjänsten för att se till att alla åtgärder och tjänster loggas till en central plats direkt när du påbörjar din säkra distribution
  • Ett virtuellt nätverk som stöder undernät för anslutning tillbaka till ett lokalt datacenter, en ingress- och utgående stack för Internetanslutning och ett undernät för delad tjänst med hjälp av NSG:er och ASG:er för fullständig mikrosegmentering som innehåller:
    • En jumpbox eller bastionvärd som används för hantering, som endast kan nås via en Azure Firewall som är distribuerad i undernätet för den inkommande stacken
    • Två virtuella datorer som kör Azure Active Directory Domain Services (Azure AD DS) och DNS som endast kan nås via jumpboxen, och som kan konfigureras för att endast replikera AD över en VPN- eller ExpressRoute-anslutning (distribueras inte av skissen)
    • Användning av Azure Net Watcher och DDoS-skydd (standard)
  • En Azure Key Vault-instans som används som värd för hemligheter används för de virtuella datorerna som är distribuerade i miljön för delade tjänster

Alla dessa element följer beprövade metoder som finns publicerade i Referensarkitekturer i Azure Architecture Center.

Kommentar

Infrastrukturen för ISO 27001 Delade tjänster bildar en grundläggande arkitektur för arbetsbelastningar. Du måste fortfarande distribuera arbetsbelastningar bakom den här grundläggande arkitekturen.

Mer information finns i dokumentationen för virtuellt datacenter.

Nästa steg

Du har läst översikten och arkitektur för skissexemplet ISO 27001 Delade tjänster. Nu kan du gå vidare till följande artiklar och lära dig om kontrollmappning och hur du distribuerar det här exemplet:

Ytterligare artiklar om skisser och hur de används: