Řízení zabezpečení: Zálohování a obnovení
Zálohování a obnovení zahrnují ovládací prvky, které zajišťují, že zálohování dat a konfigurací na různých úrovních služby se provádí, ověřuje a chrání.
BR-1: Zajištění pravidelných automatizovaných záloh
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | – |
Princip zabezpečení: Zajistěte zálohování důležitých podnikových prostředků, a to buď během vytváření prostředků, nebo vynucení prostřednictvím zásad pro existující prostředky.
Pokyny pro Azure: V případě Azure Backup podporovaných prostředků (jako jsou virtuální počítače Azure, SQL Server, databáze HANA, databáze Azure PostgreSQL, sdílené složky, objekty blob nebo disky) povolte Azure Backup a nakonfigurujte požadovanou frekvenci a dobu uchovávání. Pro virtuální počítač Azure můžete použít Azure Policy a automaticky povolit zálohování pomocí Azure Policy.
V případě prostředků nebo služeb, které Azure Backup nepodporuje, použijte funkci nativního zálohování, kterou prostředek nebo služba poskytuje. Například Azure Key Vault poskytuje funkci nativního zálohování.
V případě prostředků a služeb, které Azure Backup nepodporují ani nemají nativní zálohování, vyhodnoťte své potřeby zálohování a havárie a vytvořte vlastní mechanismus podle vašich obchodních požadavků. Příklad:
- Pokud k ukládání dat používáte Azure Storage, povolte správu verzí objektů blob pro objekty blob úložiště, která vám umožní zachovat, načíst a obnovit každou verzi každého objektu uloženého ve službě Azure Storage.
- Nastavení konfigurace služby je obvykle možné exportovat do šablon Azure Resource Manager.
Implementace Azure a další kontext:
- Povolení Azure Backup
- Automatické povolení zálohování při vytváření virtuálních počítačů s využitím Azure Policy
Pokyny pro AWS: V případě podporovaných prostředků služby AWS Backup (například EC2, S3, EBS nebo RDS) povolte službu AWS Backup a nakonfigurujte požadovanou frekvenci a dobu uchovávání.
V případě prostředků nebo služeb nepodporovaných službou AWS Backup, například AWS KmS, povolte funkci nativního zálohování v rámci vytváření prostředků.
V případě prostředků nebo služeb, které AWS Backup nepodporuje ani nemají nativní schopnost zálohování, vyhodnoťte své potřeby zálohování a havárie a vytvořte vlastní mechanismus podle vašich obchodních požadavků. Příklad:
- Pokud se k ukládání dat používá Amazon S3, povolte pro backet úložiště správu verzí S3, která vám umožní zachovat, načíst a obnovit každou verzi každého objektu uloženého v kbelíku S3.
- Nastavení konfigurace služby je obvykle možné exportovat do šablon CloudFormation.
Implementace AWS a další kontext:
- Podporované prostředky AWS Backup a aplikace třetích stran Správa verzí Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Osvědčené postupy pro AWS CloudFormation
Pokyny ke GCP: V případě prostředků podporovaných službou Google Cloud Backup (jako jsou počítačový stroj, cloudové úložiště a kontejnery) povolte zálohování GCP a nakonfigurujte požadovanou frekvenci a dobu uchovávání.
V případě prostředků nebo služeb, které služba Google Cloud Backup nepodporuje, použijte funkci nativního zálohování, kterou tento prostředek nebo služba poskytuje. Například Správce tajných kódů poskytuje nativní funkci zálohování.
V případě prostředků nebo služeb, které nejsou podporovány službou Google Cloud Backup ani nemají nativní zálohování, vyhodnoťte své potřeby zálohování a havárie a vytvořte si vlastní mechanismus podle vašich obchodních požadavků. Příklad:
- Pokud k ukládání dat záloh používáte Službu Google Storage, povolte správu verzí úložiště pro správu verzí objektů, která vám umožní zachovat, načíst a obnovit všechny verze každého objektu uloženého ve službě Google Storage.
Implementace GCP a další kontext:
- Řešení zálohování a zotavení po havárii s google cloudem
- Vytváření a správa automatických záloh na vyžádání a jejich správa
Účastníci zabezpečení zákazníků (další informace):
- Zásady a standardy
- Architektura zabezpečení
- Zabezpečení infrastruktury a koncových bodů
- Příprava na incidenty
BR-2: Ochrana dat zálohování a obnovení
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Princip zabezpečení: Zajistěte, aby data a operace zálohování byly chráněné před exfiltrací dat, ohrožením dat, ransomwarem/malwarem a škodlivými účastníky programu Insider. Mezi bezpečnostní prvky, které by se měly použít, patří řízení přístupu uživatelů a k síti, šifrování neaktivních uložených dat a přenášených dat.
Pokyny k Azure: Použití vícefaktorového ověřování a Azure RBAC k zabezpečení důležitých operací Azure Backup (jako je odstranění, uchovávání změn nebo aktualizace konfigurace zálohování). V případě Azure Backup podporovaných prostředků použijte Azure RBAC k oddělení povinností a povolení jemně odstupňovaného přístupu a vytvoření privátních koncových bodů v rámci azure Virtual Network k bezpečnému zálohování a obnovení dat z trezorů služby Recovery Services.
U Azure Backup podporovaných prostředků se zálohovaná data automaticky šifrují pomocí klíčů spravovaných platformou Azure s 256bitovým šifrováním AES. Zálohy můžete také šifrovat pomocí klíče spravovaného zákazníkem. V takovém případě se ujistěte, že klíč spravovaný zákazníkem v Key Vault Azure je také v oboru zálohování. Pokud používáte klíč spravovaný zákazníkem, použijte obnovitelné odstranění a ochranu před vymazáním v Azure Key Vault k ochraně klíčů před náhodným nebo škodlivým odstraněním. U místních záloh pomocí Azure Backup se šifrování neaktivních uložených dat zajišťuje pomocí hesla, které zadáte.
Chraňte zálohovaná data před náhodným nebo škodlivým odstraněním, jako jsou útoky ransomwaru nebo pokusy o šifrování nebo manipulaci se zálohovanými daty. V případě Azure Backup podporovaných prostředků povolte obnovitelné odstranění, abyste zajistili obnovení položek bez ztráty dat po dobu až 14 dnů po neoprávněném odstranění, a povolte vícefaktorové ověřování pomocí KÓDU PIN vygenerovaného v Azure Portal. Povolte také geograficky redundantní úložiště nebo obnovení mezi oblastmi, abyste zajistili možnost obnovení zálohovaných dat v případě havárie v primární oblasti. Můžete také povolit zónově redundantní úložiště (ZRS), abyste zajistili, že během zónových selhání bude možné zálohy obnovit.
Poznámka: Pokud používáte funkci nativního zálohování prostředku nebo jiné služby zálohování než Azure Backup, postupujte podle srovnávacího testu Microsoft Cloud Security (a standardních hodnot služeb) pro implementaci výše uvedených ovládacích prvků.
Implementace Azure a další kontext:
- Přehled funkcí zabezpečení v Azure Backup
- Šifrování zálohovaných dat s využitím klíčů spravovaných zákazníkem
- Funkce zabezpečení, které pomáhají chránit hybridní zálohy před útoky
- Azure Backup – nastavení obnovení mezi oblastmi
Pokyny pro AWS: K zabezpečení zálohování AWS použijte řízení přístupu AWS IAM. To zahrnuje zabezpečení přístupu ke službě AWS Backup a bodů zálohování a obnovení. Mezi příklady ovládacích prvků patří:
- Vícefaktorové ověřování (MFA) použijte pro důležité operace, jako je odstranění bodu zálohování nebo obnovení.
- Ke komunikaci s prostředky AWS použijte protokol SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security).
- Pomocí služby AWS KmS ve spojení se službou AWS Backup zašifrujte zálohovaná data pomocí klíče spravovaného zákazníkem nebo klíče spravovaného nástrojem AWS, který je přidružený ke službě AWS Backup.
- Pro neměnné úložiště důležitých dat použijte zámek trezoru záloh AWS.
- Zabezpečte kontejnery S3 prostřednictvím zásad přístupu, zákazu veřejného přístupu, vynucení šifrování neaktivních uložených dat a správy verzí.
Implementace AWS a další kontext:
Pokyny GCP: Používejte vyhrazené účty s nejsilnějším ověřováním k provádění důležitých operací zálohování a obnovení, jako jsou odstranění, uchovávání změn nebo aktualizace konfigurace zálohování. To by chránilo zálohovaná data před náhodným nebo škodlivým odstraněním, jako jsou útoky ransomwaru nebo pokusy o šifrování nebo manipulaci se zálohovanými daty.
V případě podporovaných prostředků GCP Backup použijte Google IAM s rolemi a oprávněními k oddělení povinností a povolte jemně odstupňovaný přístup a nastavte privátní přístupové připojení ke službám VPC, abyste mohli bezpečně zálohovat a obnovovat data ze zařízení pro zálohování a obnovení.
Zálohovaná data se ve výchozím nastavení automaticky šifrují na úrovni platformy pomocí algoritmu AES (Advanced Encryption Standard), AES-256.
Poznámka: Pokud používáte funkci nativního zálohování prostředku nebo jiné služby zálohování než Zálohování GCP, měli byste se při implementaci bezpečnostních prvků postupovat podle příslušných pokynů. Můžete například také chránit konkrétní instance virtuálních počítačů před odstraněním nastavením vlastnosti deletionProtection u prostředku instance virtuálního počítače.
Implementace GCP a další kontext:
- Zásady uchovávání informací a zámky zásad uchovávání informací
- Služba zálohování a zotavení po havárii
- Zabránění náhodnému odstranění virtuálního počítače
Účastníci zabezpečení zákazníků (další informace):
BR-3: Monitorování záloh
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | – |
Princip zabezpečení: Zajistěte, aby všechny chránitelné prostředky pro důležité obchodní informace splňovaly definované zásady zálohování a standard.
Pokyny pro Azure: Monitorujte své prostředí Azure a ujistěte se, že všechny důležité prostředky z hlediska zálohování dodržují předpisy. K auditování a vynucování těchto kontrol použijte Azure Policy zálohování. V případě Azure Backup podporovaných prostředků vám centrum zálohování pomůže centrálně řídit vaše prostředky zálohování.
Ujistěte se, že kritické operace zálohování (odstranění, uchovávání změn, aktualizace konfigurace zálohování) jsou monitorované, auditované a mají výstrahy. V případě Azure Backup podporovaných prostředků monitorujte celkový stav zálohování, upozorňování na kritické incidenty zálohování a auditujte akce aktivované uživatelem v trezorech.
Poznámka: Pokud je to možné, použijte také předdefinované zásady (Azure Policy), abyste zajistili, že vaše prostředky Azure jsou nakonfigurované pro zálohování.
Implementace Azure a další kontext:
- Řízení infrastruktury zálohování s využitím centra zálohování
- Monitorování a správa zálohování s využitím centra zálohování
- Řešení monitorování a generování sestav pro Azure Backup
Pokyny pro AWS: AWS Backup spolupracuje s dalšími nástroji AWS, abyste mohli monitorovat své úlohy. Mezi tyto nástroje patří:
- Pomocí AWS Backup Audit Manageru monitorujte operace zálohování, abyste zajistili dodržování předpisů.
- K monitorování procesů zálohování AWS použijte CloudWatch a Amazon EventBridge.
- Pomocí CloudWatch můžete sledovat metriky, vytvářet budíky a zobrazovat řídicí panely.
- K zobrazení a monitorování událostí AWS Backup použijte EventBridge.
- Pomocí Amazon Simple Notification Service (Amazon SNS) se můžete přihlásit k odběru témat souvisejících se zálohováním AWS, jako jsou události zálohování, obnovení a kopírování.
Implementace AWS a další kontext:
- AWS Backup Monitoring
- Monitorování událostí zálohování AWS pomocí EventBridge
- Monitorování metrik AWS Backup pomocí CloudWatch
- Sledování událostí služby AWS Backup pomocí Amazon SNS
- Audit záloh a vytváření sestav pomocí AWS Backup Audit Manageru
Pokyny ke GCP: Monitorujte prostředí zálohování a zotavení po havárii a ujistěte se, že všechny důležité prostředky z hlediska zálohování dodržují předpisy. K auditování a vynucování těchto kontrol použijte zásady organizace pro zálohování. V případě prostředků podporovaných službou GCP Backup vám konzola pro správu pomůže centrálně řídit vaše prostředky zálohování.
Ujistěte se, že kritické operace zálohování (odstranění, uchovávání změn, aktualizace konfigurace zálohování) jsou monitorované, auditované a mají výstrahy. V případě prostředků podporovaných službou GCP Backup monitorujte celkový stav zálohování, upozorňování na kritické incidenty zálohování a auditujte akce aktivované uživatelem.
Poznámka: Pokud je to možné, použijte také předdefinované zásady (zásady organizace), abyste zajistili, že vaše prostředky Google jsou nakonfigurované pro zálohování.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):
BR-4: Pravidelné testování zálohování
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11,5 | CP-4, CP-9 | – |
Princip zabezpečení: Pravidelně provádějte testy obnovení dat zálohy, abyste ověřili, že konfigurace zálohování a dostupnost zálohovaných dat splňují požadavky na obnovení, jak je definováno v plánovanou dobu obnovení (RTO) a cíli bodu obnovení (cíl bodu obnovení).
Pokyny Azure: Pravidelně provádějte testy obnovení dat zálohy, abyste ověřili, že konfigurace zálohování a dostupnost zálohovaných dat splňují požadavky na obnovení definované v rto a cíle bodu obnovení.
Možná budete muset definovat testovací strategii obnovení zálohování, včetně rozsahu testu, frekvence a metody, protože provedení úplného testu obnovení může být pokaždé obtížné.
Implementace Azure a další kontext:
Pokyny pro AWS: Pravidelně provádějte testy obnovení dat zálohy, abyste ověřili, že konfigurace zálohování a dostupnost zálohovaných dat splňuje požadavky na obnovení, jak je definováno v rto a RPO.
Možná budete muset definovat testovací strategii obnovení zálohování, včetně rozsahu testu, frekvence a metody, protože provedení úplného testu obnovení může být pokaždé obtížné. Implementace AWS a další kontext:
Pokyny ke GCP: Pravidelně provádějte testy obnovení dat zálohy, abyste ověřili, že konfigurace zálohování a dostupnost zálohovaných dat splňují požadavky na obnovení, jak je definováno v plánovanou dobu obnovení (RTO) a RPO.
Možná budete muset definovat testovací strategii obnovení zálohování, včetně rozsahu testu, frekvence a metody, protože provedení úplného testu obnovení může být pokaždé obtížné.
Implementace GCP a další kontext:
Účastníci zabezpečení zákazníků (další informace):