Sdílet prostřednictvím


Bezpečnostní prvek v3: Zálohování a obnovení

Zálohování a obnovení zahrnuje ovládací prvky, které zajišťují, aby se zálohy dat a konfigurace na různých úrovních služby prováděly, ověřují a chránily.

BR-1: Zajištění pravidelného automatizovaného zálohování

ID cis Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
11.2 CP-2, CP-4, CP-9

Princip zabezpečení: Zajistěte zálohování důležitých obchodních prostředků, a to buď během vytváření prostředků, nebo vynucené prostřednictvím zásad pro stávající prostředky.

Pokyny k Azure: Pokud Azure Backup podporované prostředky, povolte Azure Backup a nakonfigurujte zdroj zálohování (například virtuální počítače Azure, SQL Server, databáze HANA nebo sdílené složky) na požadovanou četnost a dobu uchovávání. V případě virtuálního počítače Azure můžete pomocí Azure Policy automaticky povolit zálohování pomocí Azure Policy.

V případě prostředků, které Azure Backup, povolte zálohování v rámci vytváření prostředků. Pokud je to možné, pomocí předdefinovaných zásad (Azure Policy) zajistěte, aby vaše prostředky Azure byly nakonfigurované pro zálohování.

Implementace a další kontext:

Customer Security Stakeholders (Další informace):

BR-2: Ochrana dat zálohování a obnovení

ID cis Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
11.3 CP-6, CP-9 3.4

Princip zabezpečení: Zajistěte, aby zálohovací data a operace byly chráněny před exfiltrací dat, ohrožením dat, ransomwarem nebo malwarem a škodlivými vnitřními uživateli. Mezi bezpečnostní prvky, které se mají použít, patří řízení přístupu uživatelů a sítí, šifrování dat v klidových a přenosech.

Pokyny k Azure: Použijte Azure RBAC a vícefaktorové ověřování k zabezpečení důležitých Azure Backup operací (například odstranění, uchovávání změn, aktualizace konfigurace zálohování). U Azure Backup podporovaných prostředků použijte Azure RBAC k oddělení povinností a zajištění jemně odsunutého přístupu a vytvoření privátních koncových bodů v rámci Azure Virtual Network pro bezpečné zálohování a obnovení dat z trezorů služby Recovery Services.

U Azure Backup podporovaných prostředků se zálohovaná data automaticky šifrují pomocí klíčů spravovaných platformou Azure s 256bitovým šifrováním AES. Zálohy můžete také zašifrovat pomocí klíče spravovaného zákazníkem. V takovém případě se ujistěte, že je tento klíč spravovaný zákazníkem ve službě Azure Key Vault také v rozsahu zálohování. Pokud používáte možnosti klíčů spravovaných zákazníkem, použijte k ochraně klíčů před náhodným nebo škodlivým odstraněním ochranu před Key Vault a vymazáním v Azure. V případě místních záloh pomocí Azure Backup se šifrování v klidovém prostředí zajišťuje pomocí hesla, které poskytnete.

Ochrana zálohovaných dat před náhodným nebo škodlivým odstraněním (například útoky ransomwarem nebo pokusy o zašifrování nebo manipulaci se zálohami dat. Azure Backup U podporovaných prostředků povolte možnost softwarového odstranění, abyste zajistili obnovení položek bez ztráty dat po dobu až 14 dnů od neoprávněného odstranění, a povolte vícefaktorové ověřování pomocí kódu PIN vygenerované v Azure Portal. Povolte také obnovení mezi oblastmi, abyste zajistili, že zálohovací data budou možné obnovit v případě havárie v primární oblasti.

Poznámka: Pokud používáte nativní funkci zálohování prostředků nebo služby zálohování jiné než Azure Backup, použijte k implementaci výše uvedených ovládacích prvků srovnávací test zabezpečení Azure (a směrné plány služeb).

Implementace a další kontext:

Customer Security Stakeholders (Další informace):

BR-3: Monitorování záloh

ID cis Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
11.3 CP-9

Princip zabezpečení: Ujistěte se, že všechny prostředky s důležitými obchodními požadavky na ochranu jsou v souladu s definovanými zásadou zálohování a standardem.

Pokyny k Azure: Monitorujte své prostředí Azure a ujistěte se, že všechny důležité prostředky z hlediska zálohování dodržují předpisy. K auditování a vynucování takového řízení použijte zásady Azure pro zálohování. Podporované Azure Backup najdete v části Centrum zálohování, které vám pomůže centrálně řídit vaše zálohovací majetek.

Zajistěte, aby se důležité operace zálohování (odstranění, uchovávání změn, aktualizace konfigurace zálohování) monitorují, auditují a mají k dispozici výstrahy. Pokud Azure Backup podporované prostředky, monitorujte celkový stav zálohování, upozorníte na kritické incidenty zálohování a auditujte akce s trezory aktivované uživatelem.

Implementace a další kontext:

Customer Security Stakeholders (Další informace):

BR-4: Pravidelné testování zálohování

ID cis Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
11,5 CP-4, CP-9

Princip zabezpečení: Pravidelně proveďte testy obnovení dat vaší zálohy, abyste ověřili, že konfigurace a dostupnost zálohovaných dat splňují požadavky na obnovení podle požadavků definovaných v cílech RTO (cíl doby obnovení) a cíli bodu obnovení (RPO).

Pokyny k Azure: Pravidelně provádí testy obnovení dat vaší zálohy, aby se ověřilo, že konfigurace zálohování a dostupnost zálohovaných dat splňují požadavky na obnovení podle definice v RTO a RPO.

Možná budete muset definovat strategii testu obnovení záloh, včetně rozsahu testu, frekvence a metody, protože provádění úplného testu obnovení může být pokaždé obtížné.

Implementace a další kontext:

Customer Security Stakeholders (Další informace):