Bezpečnostní prvek v3: Zálohování a obnovení
Zálohování a obnovení zahrnuje ovládací prvky, které zajišťují, aby se zálohy dat a konfigurace na různých úrovních služby prováděly, ověřují a chránily.
BR-1: Zajištění pravidelného automatizovaného zálohování
| ID cis Controls v8 | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | – |
Princip zabezpečení: Zajistěte zálohování důležitých obchodních prostředků, a to buď během vytváření prostředků, nebo vynucené prostřednictvím zásad pro stávající prostředky.
Pokyny k Azure: Pokud Azure Backup podporované prostředky, povolte Azure Backup a nakonfigurujte zdroj zálohování (například virtuální počítače Azure, SQL Server, databáze HANA nebo sdílené složky) na požadovanou četnost a dobu uchovávání. V případě virtuálního počítače Azure můžete pomocí Azure Policy automaticky povolit zálohování pomocí Azure Policy.
V případě prostředků, které Azure Backup, povolte zálohování v rámci vytváření prostředků. Pokud je to možné, pomocí předdefinovaných zásad (Azure Policy) zajistěte, aby vaše prostředky Azure byly nakonfigurované pro zálohování.
Implementace a další kontext:
- Jak povolit Azure Backup
- Automatické povolení zálohování při vytváření virtuálních počítačů s využitím Azure Policy
Customer Security Stakeholders (Další informace):
- Zásady a standardy
- Architektura zabezpečení
- Zabezpečení infrastruktury a koncových bodů
- Příprava na incidenty
BR-2: Ochrana dat zálohování a obnovení
| ID cis Controls v8 | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Princip zabezpečení: Zajistěte, aby zálohovací data a operace byly chráněny před exfiltrací dat, ohrožením dat, ransomwarem nebo malwarem a škodlivými vnitřními uživateli. Mezi bezpečnostní prvky, které se mají použít, patří řízení přístupu uživatelů a sítí, šifrování dat v klidových a přenosech.
Pokyny k Azure: Použijte Azure RBAC a vícefaktorové ověřování k zabezpečení důležitých Azure Backup operací (například odstranění, uchovávání změn, aktualizace konfigurace zálohování). U Azure Backup podporovaných prostředků použijte Azure RBAC k oddělení povinností a zajištění jemně odsunutého přístupu a vytvoření privátních koncových bodů v rámci Azure Virtual Network pro bezpečné zálohování a obnovení dat z trezorů služby Recovery Services.
U Azure Backup podporovaných prostředků se zálohovaná data automaticky šifrují pomocí klíčů spravovaných platformou Azure s 256bitovým šifrováním AES. Zálohy můžete také zašifrovat pomocí klíče spravovaného zákazníkem. V takovém případě se ujistěte, že je tento klíč spravovaný zákazníkem ve službě Azure Key Vault také v rozsahu zálohování. Pokud používáte možnosti klíčů spravovaných zákazníkem, použijte k ochraně klíčů před náhodným nebo škodlivým odstraněním ochranu před Key Vault a vymazáním v Azure. V případě místních záloh pomocí Azure Backup se šifrování v klidovém prostředí zajišťuje pomocí hesla, které poskytnete.
Ochrana zálohovaných dat před náhodným nebo škodlivým odstraněním (například útoky ransomwarem nebo pokusy o zašifrování nebo manipulaci se zálohami dat. Azure Backup U podporovaných prostředků povolte možnost softwarového odstranění, abyste zajistili obnovení položek bez ztráty dat po dobu až 14 dnů od neoprávněného odstranění, a povolte vícefaktorové ověřování pomocí kódu PIN vygenerované v Azure Portal. Povolte také obnovení mezi oblastmi, abyste zajistili, že zálohovací data budou možné obnovit v případě havárie v primární oblasti.
Poznámka: Pokud používáte nativní funkci zálohování prostředků nebo služby zálohování jiné než Azure Backup, použijte k implementaci výše uvedených ovládacích prvků srovnávací test zabezpečení Azure (a směrné plány služeb).
Implementace a další kontext:
- Přehled funkcí zabezpečení v Azure Backup
- Šifrování zálohovaných dat s využitím klíčů spravovaných zákazníkem
- Funkce zabezpečení, které pomáhají chránit hybridní zálohy před útoky
- Azure Backup – nastavení obnovení mezi oblastmi
Customer Security Stakeholders (Další informace):
BR-3: Monitorování záloh
| ID cis Controls v8 | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | – |
Princip zabezpečení: Ujistěte se, že všechny prostředky s důležitými obchodními požadavky na ochranu jsou v souladu s definovanými zásadou zálohování a standardem.
Pokyny k Azure: Monitorujte své prostředí Azure a ujistěte se, že všechny důležité prostředky z hlediska zálohování dodržují předpisy. K auditování a vynucování takového řízení použijte zásady Azure pro zálohování. Podporované Azure Backup najdete v části Centrum zálohování, které vám pomůže centrálně řídit vaše zálohovací majetek.
Zajistěte, aby se důležité operace zálohování (odstranění, uchovávání změn, aktualizace konfigurace zálohování) monitorují, auditují a mají k dispozici výstrahy. Pokud Azure Backup podporované prostředky, monitorujte celkový stav zálohování, upozorníte na kritické incidenty zálohování a auditujte akce s trezory aktivované uživatelem.
Implementace a další kontext:
- Řízení infrastruktury zálohování s využitím centra zálohování
- Monitorování a správa zálohování s využitím centra zálohování
- Řešení monitorování a vytváření sestav pro Azure Backup
Customer Security Stakeholders (Další informace):
BR-4: Pravidelné testování zálohování
| ID cis Controls v8 | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11,5 | CP-4, CP-9 | – |
Princip zabezpečení: Pravidelně proveďte testy obnovení dat vaší zálohy, abyste ověřili, že konfigurace a dostupnost zálohovaných dat splňují požadavky na obnovení podle požadavků definovaných v cílech RTO (cíl doby obnovení) a cíli bodu obnovení (RPO).
Pokyny k Azure: Pravidelně provádí testy obnovení dat vaší zálohy, aby se ověřilo, že konfigurace zálohování a dostupnost zálohovaných dat splňují požadavky na obnovení podle definice v RTO a RPO.
Možná budete muset definovat strategii testu obnovení záloh, včetně rozsahu testu, frekvence a metody, protože provádění úplného testu obnovení může být pokaždé obtížné.
Implementace a další kontext:
Customer Security Stakeholders (Další informace):