Primero que todo: ISO / IEC 27001 es la norma que especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de administración de seguridad de la información. Los controles de seguridad se especifican en la norma ISO / IEC 27002.
En general, la serie ISO 27000 (incluidas las normas ISO / IEC 27001 y 27002) no recomienda el uso de productos o ciertas tecnologías para implementar un control. Un control típico en la norma se describe de una manera bastante abstracta. Aquí hay un ejemplo (traducido libremente de la versión alemana):
13.2.1 Pautas y procedimientos para la transmisión de información
Deben existir políticas, procedimientos y medidas de transmisión formales para proteger la transmisión de información para todos los tipos de dispositivos de comunicación.
Instrucciones para la implementación
En el contexto de los procedimientos y medidas que deben seguirse al utilizar las facilidades de comunicación para la transmisión de información, se deben tener en cuenta los siguientes puntos:
(a) desarrollar procedimientos para evitar que la información transmitida sea interceptada, copiada, alterada, desviada o destruida;
(b) los métodos de detección y protección contra el malware transmitido mediante el uso de equipos de comunicaciones electrónicas (véase 12.2.1);
(c) los procedimientos para la protección de la información electrónica sensible transferida, que están en forma de un anexo; [...] 1
Entonces, para responder a su pregunta: no hay una una verdadera ", la manera recomendada por ISO-27001 de conectarse a los servidores de Windows en Amazon", porque no se menciona qué tecnología, protocolo o producto debería ser usado. Esto es algo que debe decidir, pero lo importante aquí es que, al final, debe ajustarse a las descripciones de un control. Entonces, por ejemplo, RDP puede ser usado de manera segura, pero tiene muchas configuraciones que hacer, lo que puede ser complicado.
Para volver a su ejemplo: usar un proveedor en la nube es bastante fácil y usar uno que tenga la certificación ISO 27001 también es una ventaja en su propia auditoría. Para certificarse, tendrá que leer las normas, entenderlas y solo luego implementar un control que se ajuste a los requisitos dentro de su alcance.
1: Cita tomada de DIN ISO / IEC 27002: 2016-11