lunes, 28 de noviembre de 2022

Levántate, configura cumplimiento de ISO 27001 en Azure, vete a desayunar

 

Pues sí, con Azure puedes levantarte, encontrar que ya tienes creada una suscripción, aplicar la ISO 27001:2013, la UKOFFICIAL and UK NHS y la Australian Government ISM Protected y salir para la oficina.

A la hora de cumplir ciertos requisitos o políticas propias de la compañía, poca gente sabe que se pueden crear esas lineas generales de cumplimiento o advertencia a través de las Políticas.


A mí personalmente me gustan las políticas que obligan a que se utilicen ciertas etiquetas o advertir, e incluso configurar automáticamente, el  backup de VMs que cumplan ciertos criterios que les identifican como VMs en producción.

Cumplir la ISO 27001

A lo que iba. Hay una forma no solo de crear ciertas políticas, sino de crear toda una batería de ellas que sumadas todas, nos hacen cumplir buenas prácticas, tales como los Microsoft Managed Controls (hay más de 1.600 plantillas de securización de entornos)

azure-policy/built-in-policies/policyDefinitions/Regulatory Compliance at master · Azure/azure-policy (github.com)

azure-policy/built-in-policies/policyDefinitions at master · Azure/azure-policy (github.com)

La cuestión es que un buen número de políticas prediseñadas que se engloban para cumplir una norma, en Azure se llama Policy Initiatives y a través de esta opción, es muy muy fácil que apliques cumplimiento de toda una ISO 27001: 2013 con un par de clicks.

Resultado tras aplicación de lo que ahora vais a ver.


Ejemplos de advertencias:



Configuración paso a paso:

Para aplicar esto, solo tienes que seguir los siguientes pasos:

1. Ve a tu suscripción y elige políticas (Policies) en el grupo de opciones de configuración.


2. Dentro de las opciones de políticas, encontrarás la opción de cumplimiento y podrás elegir Asignar iniciativa.


3. Una vez allí, solo tendrás que configura el alcance (Scope) y  en Basis, elegir la iniciativa que quieres cumplir.


3.1 Tendrás la opción de no activar esto por el momento y dejarlo solo emitiendo advertencias que lo que sería, si lo activases :) o sea en modo auditoría. Esto se consigue teniéndolo desactivado.



4. Podrás parametrizarlo un poco a tu entorno. Por ejemplo configurando si tienes Azure Arc o no.


5. Podrás revisar también los avisos y advertencias que trae la norma de cumplimiento.


Saludos.


No hay comentarios: