Azure 本地和 ISO/IEC 27001：2022

本文概述了 Azure Local 如何帮助组织满足云和本地 ISO/IEC 27001：2022 的安全控制要求。 在 Azure 本地和安全标准中 详细了解 Azure 本地和其他安全标准。

ISO/IEC 27001:2022

ISO/IEC 27001 是一种全球安全标准，它指定建立、实施、操作、监视、维护和改进信息安全管理系统（ISMS）的要求。 ISO/IEC 27001：2022 认证可帮助组织增强其安全态势，与客户建立信任，并帮助履行涉及信息安全的各种法律和法规义务，例如 PCI DSS、HIPAA、HITRUST 和 FedRAMP。 详细了解 ISO/IEC 27001 的标准。

Azure 本地

Azure Local 是一种混合解决方案，可在组织的本地基础结构和 Azure 云服务之间实现无缝集成，帮助整合虚拟化工作负载和容器，并在数据出于法律或隐私原因需要保留本地时提高云效率。 寻求 ISO/IEC 27001：2022 认证解决方案的组织应考虑其云环境和本地环境。

连接的云服务

Azure Local 提供与多个 Azure 服务的深度集成，例如 Azure Monitor、Azure 备份 和 Azure Site Recovery，以便为混合环境提供新功能。 这些云服务定期对 ISO/IEC 27001：2022 合规性进行独立的第三方审核。 可以在 Azure 合规性产品/服务 （ISO/IEC 27001：2022）中 查看 Azure ISO/IEC 27001：2022 证书和审核报告。

重要

Azure 合规性状态不会为组织在 Azure 平台上构建或托管的服务授予 ISO/IEC 27001 认证。 组织负责确保其运营符合 ISO/IEC 27001：2022 要求。

本地解决方案

在本地，Azure Local 提供了一系列功能，可帮助组织满足 ISO/IEC 27001：2022 的安全要求。 以下部分提供了详细信息。

与 ISO/IEC 27001：2022 相关的 Azure 本地功能

本部分概述了组织如何使用 Azure 本地功能来满足 ISO/IEC 27001：2022 附件 A 中的安全控制。 以下信息仅涵盖技术要求。 与安全操作相关的要求不在范围内，因为 Azure 本地无法影响这些要求。 本指南由附件 A 的九个域组织：

• 网络安全
• 标识和访问管理
• 数据保护
• Logging
• 监视
• 安全配置
• 威胁防护
• 备份和恢复
• 可伸缩性和可用性

本文中的指南概述了如何利用 Azure 本地功能来满足每个域的要求。 请务必注意，并非所有控件都是强制性的。 组织应分析其环境并执行风险评估，以确定哪些控制措施是必要的。 有关要求的详细信息，请参阅 ISO/IEC 27001。

网络安全性

本节中所述的网络安全功能可以帮助你满足 ISO/IEC 27001 标准中指定的以下安全控制措施。

• 8.20 – 网络安全
• 8.21 – 网络服务的安全性
• 8.22 - 网络隔离
• 8.23 – Web 筛选

借助 Azure 本地，可以应用网络安全控制来保护平台及其上运行的工作负载免受外部和内部的网络威胁。 Azure 本地还保证主机上的公平网络分配，并通过负载均衡功能提高工作负荷性能和可用性。 若要详细了解 Azure Local 中的网络安全，请参阅以下文章。

• 数据中心防火墙概述
• 软件定义网络的软件负载均衡器 （SLB）
• 用于 SDN 的远程访问服务 （RAS） 网关
• Azure 本地托管工作负载的服务质量策略

标识和访问管理

本节中所述的标识和访问管理功能可以帮助你满足 ISO/IEC 27001 标准中指定的以下安全控制措施。

• 8.2 – 特权访问权限
• 8.3 - 信息访问限制
• 8.5 - 安全身份验证

Azure Local 通过多个接口（例如 Azure Arc 和 Windows PowerShell）提供对计算机上运行的基础系统的完全直接访问权限。 可以在本地环境中使用传统的 Windows 工具或基于云的解决方案（如 Microsoft Entra ID（前 Azure Active Directory）来管理标识和访问平台。 在这两种情况下，都可以利用内置安全功能，例如多重身份验证（MFA）、条件访问、基于角色的访问控制（RBAC）和特权标识管理（PIM），以确保环境安全且合规。

有关本地标识和访问管理的详细信息，请参阅 Microsoft Identity Manager 和 privileged Access Management for Active Directory 域服务。 有关基于云的标识和访问管理的详细信息，请参阅 Microsoft Entra ID。

数据保护

本节中所述的数据保护功能可以帮助你满足 ISO/IEC 27001 标准中指定的以下安全控制。

• 8.5 - 安全身份验证
• 8.20 – 网络安全
• 8.21 - 网络服务的安全性
• 8.24 - 加密的使用

使用 BitLocker 加密数据

在 Azure 本地实例上，可以通过 BitLocker XTS-AES 256 位加密来加密所有数据静态数据。 默认情况下，系统会建议启用 BitLocker 以加密 Azure 本地部署中的所有操作系统（OS）卷和群集共享卷（CSV）。 对于部署后添加的任何新存储卷，需要手动启用 BitLocker 来加密新的存储卷。 使用 BitLocker 保护数据可以帮助组织遵守 ISO/IEC 27001。 有关详细信息，请在 将 BitLocker 与群集共享卷（CSV）配合使用。

使用 TLS/DTLS 保护外部网络流量

默认情况下，所有到本地和远程终结点的主机通信都使用 TLS1.2、TLS1.3 和 DTLS 1.2 进行加密。 平台禁用旧协议/哈希（如 TLS/DTLS 1.1 SMB1）的使用。 Azure Local 还支持强密码套件，例如 仅限 NIST 曲线 P-256 和 P-384 的符合 SDL 的椭圆曲线。

使用服务器消息块保护内部网络流量 （SMB）

默认情况下，为 Azure 本地实例中的客户端连接启用 SMB 签名。 对于群集内流量，SMB 加密是组织可以在部署期间或部署后启用的选项，以保护系统之间传输的数据。 客户端-服务器文件流量和群集内数据构造使用的 SMB 3.1.1 协议现在支持 AES-256-GCM 和 AES-256-CCM 加密套件。 该协议还继续支持更广泛的兼容 AES-128 套件。 在 SMB 安全增强功能中了解详细信息。

Logging

本节中所述的日志记录功能可以帮助你满足 ISO/IEC 27001 标准中指定的以下安全控制。

• 8.15 – 日志记录
• 8.17 - 时钟同步

本地系统日志

默认情况下，会记录在 Azure 本地实例中执行的所有操作，以便跟踪在平台上执行哪些操作、时间和位置。 还包含由 Windows Defender 创建的日志和警报，以帮助防止、检测和尽量减少数据泄露的可能性和影响。 但是，由于系统日志通常包含大量信息，因此大部分信息都与信息安全监视无关，因此需要确定要收集和利用哪些事件以实现安全监视目的。 Azure 监视功能有助于收集、存储、警报和分析这些日志。 参考 Azure 本地的安全基线了解详细信息。

本地活动日志

Azure 本地生命周期管理器为执行的任何行动计划创建和存储活动日志。 这些日志支持更深入的调查和监视。

云活动日志

通过将系统注册到 Azure，可以使用 Azure Monitor 活动日志 记录订阅层中每个资源上的操作，以确定对订阅中的资源执行的任何写入操作（放置、发布或删除）时，以及何时执行哪些操作。

云标识日志

如果使用 Microsoft Entra ID 来管理标识和访问平台，可以查看 Azure AD 报告中的日志或将其与 Azure Monitor 集成、Microsoft Sentinel 或其他 SIEM/监视工具，以便进行复杂的监视和分析用例。 如果使用本地 Active Directory，请使用 Microsoft Defender for Identity 解决方案来使用本地 Active Directory信号来识别、检测和调查针对组织的高级威胁、泄露标识和恶意内部操作。

SIEM 集成

Microsoft Defender for Cloud 和 Microsoft Sentinel 本机与已启用 Arc 的 Azure 本地计算机集成。 可以启用日志并将其载入 Microsoft Sentinel，后者提供安全信息事件管理（SIEM）和安全业务流程自动响应（SOAR）功能。 Microsoft Sentinel 与其他 Azure 云服务一样，也符合许多成熟的安全标准，例如 ISO/IEC 27001，可帮助完成认证过程。 此外，Azure Local 还提供本机 syslog 事件转发器，用于将系统事件发送到第三方 SIEM 解决方案。

监视

本节中所述的监视功能可以帮助你满足 ISO/IEC 27001 标准中指定的以下安全控制措施。

• 8.15 – 日志记录

Azure 本地见解

借助 Azure Local 的见解，可以监视连接到 Azure 且已注册监视的系统运行状况、性能和使用情况信息。 在 Insights 配置期间，将创建数据收集规则，该规则指定要收集的数据。 此数据存储在 Log Analytics 工作区中，然后聚合、筛选和分析，以便使用 Azure 工作簿提供预生成的监视仪表板。 可以从 Azure 本地资源页或 Azure Monitor 查看单节点系统和多节点系统的监视数据。 在 Monitor Azure Local with Insights 中了解详细信息。

Azure 本地的指标

Azure 本地的指标将受监视资源中的数值数据存储到时序数据库中。 可以使用 Azure Monitor 指标资源管理器 以交互方式分析指标数据库中的数据，并在一段时间内绘制多个指标的值图表。 使用指标，可以从指标值创建图表，并直观地关联趋势。

日志警报

若要实时指示问题，请使用预先存在的示例日志查询（例如服务器 CPU、可用内存、可用卷容量等）为 Azure 本地设置警报。 有关详细信息，请参阅 为 Azure 本地系统设置警报。

指标警报

指标警报规则通过定期评估资源指标的条件来监视资源。 如果满足条件，则会触发警报。 指标时序是在一段时间内捕获的一系列指标值。 可以使用这些指标来创建警报规则。 详细了解如何在指标警报中创建 指标警报。

服务和设备警报

Azure Local 为连接、OS 更新、Azure 配置等提供基于服务的警报。 群集运行状况故障的基于设备的警报也可用。 还可以使用 PowerShell 或运行状况服务监视 Azure 本地实例及其基础组件。

安全配置

本节中所述的安全配置功能可以帮助你满足 ISO/IEC 27001 的以下安全控制要求。

• 8.8 - 管理技术漏洞
• 8.9 - 配置管理

默认情况下安全

默认情况下，使用安全工具和技术安全地配置 Azure 本地，这些工具和技术可抵御新式威胁，并与 Azure 计算安全基线保持一致。 有关详细信息，请参阅 “管理 Azure 本地”的安全默认值。

偏移保护

平台的默认安全配置和安全核心设置在部署和运行时都受到保护，并受到 偏移控制 保护。 启用时，偏移控制保护每隔 90 分钟定期刷新安全设置，以确保修正来自指定状态的任何更改。 通过这种持续监视和自动护理，可以在设备的整个生命周期内配置一致且可靠的安全配置。 配置安全设置时，可以在部署期间禁用偏移保护。

工作负荷的安全基线

对于在 Azure 本地上运行的工作负荷，可以使用 Azure 建议的操作系统基线（适用于 Windows 和 Linux）作为基准来定义计算资源配置基线。

平台更新

Azure Local 的所有组件（包括操作系统、核心代理和服务以及解决方案扩展）都可以使用生命周期管理器轻松维护。 此功能允许将不同的组件捆绑到更新版本中，并验证版本的组合以确保互操作性。 在 Azure 本地解决方案更新的生命周期管理器中了解详细信息。

此更新解决方案未涵盖客户工作负荷。

威胁防护

本节中的威胁防护功能可以帮助你满足 ISO/IEC 27001 的以下安全控制要求。

• 8.7 – 防范恶意软件

Windows Defender 防病毒

Windows Defender 防病毒是一个实用工具应用程序，能够强制实施实时系统扫描和定期扫描，以保护平台和工作负载免受病毒、恶意软件、间谍软件和其他威胁的攻击。 默认情况下，Microsoft Defender 防病毒在 Azure 本地启用。 Microsoft建议将Microsoft Defender 防病毒与 Azure 本地（而不是第三方防病毒和恶意软件检测软件和服务）配合使用，因为它们可能会影响操作系统接收更新的能力。 在 Windows Server 上的Microsoft Defender 防病毒了解详细信息。

Windows Defender 应用程序控制 (WDAC)

默认情况下，Azure Local 上启用了 Windows Defender 应用程序控制（WDAC），以控制允许哪些驱动程序和应用程序直接在每台计算机上运行，帮助防止恶意软件访问系统。 详细了解 Azure 本地中包含的基本策略，以及如何在适用于 Azure 本地的 Windows Defender 应用程序控制中创建补充策略。

Microsoft Defender for Cloud

Microsoft使用 Endpoint Protection（通过 Defender for Servers 计划启用）的 Defender for Cloud 提供了具有高级威胁防护功能的安全管理解决方案。 它提供用于评估基础结构的安全状态、保护工作负载、引发安全警报以及遵循特定建议来修正攻击和解决未来威胁的工具。 它通过自动预配和保护 Azure 服务，在云中以高速方式执行所有这些服务，无需部署开销。 在 Microsoft Defender for Cloud 中了解详细信息。

备份和恢复

本节中所述的备份和恢复功能可以帮助你满足 ISO/IEC 27001 的以下安全控制要求。

• 8.7 – 防范恶意软件
• 8.13 - 信息备份
• 8.14 - 信息的冗余

拉伸群集

Azure Local 通过拉伸群集提供对虚拟化工作负荷灾难恢复的内置支持。 通过部署延伸的 Azure 本地实例，可以在两个单独的本地位置同步复制其虚拟化工作负荷，并在它们之间自动故障转移。 使用 Hyper-V 实时迁移，可在无停机的情况下进行计划内站点故障转移。

Kubernetes 群集节点

如果使用 Azure 本地托管基于容器的部署，则平台可帮助你增强 Azure Kubernetes 部署固有的敏捷性和复原能力。 如果基础物理组件发生本地化故障，Azure 本地管理充当 Kubernetes 群集节点的 VM 的自动故障转移。 此配置补充了内置在 Kubernetes 中的高可用性，它可以自动在相同的或其他 VM 上重启失败的容器。

Azure Site Recovery

此服务允许将本地 Azure 本地 VM 上运行的工作负荷复制到云中，以便在发生事件、故障或存储介质丢失时可以还原信息系统。 与其他 Azure 云服务一样，Azure Site Recovery 有很长的安全证书记录，包括 HITRUST，可用于支持认证过程。 在 Azure 本地使用 Azure Site Recovery 保护 VM 工作负荷时了解详细信息。

Microsoft Azure 备份服务器 (MABS)

使用此服务可以备份 Azure 本地虚拟机，并指定所需的频率和保留期。 可以使用 MABS 在整个环境中备份大部分资源，包括：

• Azure 本地主机的系统状态/裸机恢复 （BMR）
• 系统中具有本地或直接附加存储的来宾 VM
• 使用 CSV 存储的 Azure 本地实例上的来宾 VM
• VM 在群集中移动

有关详细信息，请通过 Azure 备份 服务器备份 Azure 本地虚拟机。

可伸缩性和可用性

本节中所述的可伸缩性和可用性功能可以帮助你满足 ISO/IEC 27001 的以下安全控制要求。

• 8.6 – 容量管理
• 8.14 - 信息的冗余

超融合模型

Azure Local 使用存储空间直通的超融合模型来部署工作负荷。 通过此部署模型，可以通过添加新节点，在零停机的情况下自动扩展计算和存储，从而轻松进行缩放。

故障转移群集

Azure 本地实例是故障转移群集。 如果属于 Azure 本地的服务器发生故障或不可用，则同一故障转移群集中的另一台服务器将接管提供失败节点提供的服务的任务。 可以通过在运行 Azure 本地的多台计算机上直接启用存储空间来创建故障转移群集。