Sicherheitskontrolle v3: Sicherung und Wiederherstellung
Sicherung und Wiederherstellung umfasst Kontrollelemente, die sicherstellen, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen durchgeführt, validiert und geschützt werden.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | – |
Sicherheitsprinzip: Stellen Sie die Sicherung unternehmenskritischer Ressourcen sicher, entweder während der Ressourcenerstellung oder durch eine Richtlinie für vorhandene Ressourcen erzwungen.
Azure-Leitfaden: Für Azure Backup unterstützte Ressourcen; aktivieren Sie Azure Backup, und konfigurieren Sie die Sicherungsquelle (z. B. virtuelle Azure-Computer, SQL Server, HANA-Datenbanken oder Dateifreigaben) mit gewünschter Häufigkeit und Beibehaltungsdauer. Für virtuelle Azure-Computer können Sie Azure Policy verwenden, um die Sicherung automatisch mithilfe von Azure Policy zu aktivieren.
Für Ressourcen, die von Azure Backup nicht unterstützt werden, aktivieren Sie die Sicherung im Rahmen der Ressourcenerstellung. Verwenden Sie ggf. integrierte Richtlinien (Azure Policy), um sicherzustellen, dass Ihre Azure-Ressourcen für die Sicherung konfiguriert sind.
Implementierung und zusätzlicher Kontext:
- Aktivieren von Azure Backup
- Automatisches Aktivieren der Sicherung bei der VM-Erstellung mithilfe von Azure Policy
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
- Richtlinien und Standards
- Sicherheitsarchitektur
- Infrastruktur- und Endpunktsicherheit
- Vorbereitung auf Vorfälle
BR-2: Schützen von Sicherungs- und Wiederherstellungsdaten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11,3 | CP-6, CP-9 | 3.4 |
Sicherheitsprinzip: Stellen Sie sicher, dass Sicherungsdaten und -vorgänge vor Datenexfiltration, Datenkompromittierung, Ransomware/Schadsoftware und böswilligen Insidern geschützt sind. Zu den Sicherheitskontrollen, die angewendet werden sollten, gehören die Benutzer- und Netzwerkzugriffssteuerung sowie die Datenverschlüsselung ruhender Daten und während der Übertragung.
Azure-Leitfaden: Verwenden Sie Azure RBAC und Multi-Faktor-Authentifizierung, um die wichtigen Azure Backup-Vorgänge (z. B. Löschen, Ändern der Aufbewahrung, Updates der Sicherungskonfiguration) zu schützen. Für von Azure Backup unterstützte Ressourcen verwenden Sie Azure RBAC, um Aufgaben zu trennen und einen differenzierten Zugriff zu ermöglichen, und private Endpunkte in Ihrem virtuellen Azure-Netzwerk zu erstellen, um Daten geschützt in Ihren Recovery Services-Tresoren zu sichern und daraus wiederherzustellen.
Für von Azure Backup unterstützte Ressourcen werden Sicherungsdaten automatisch mit von der Azure-Plattform verwalteten Schlüsseln mit 256-Bit-AES-Verschlüsselung verschlüsselt. Sie können sich auch dafür entscheiden, die Sicherungen mit einem vom Kunden verwalteten Schlüssel zu verschlüsseln. Stellen Sie in diesem Fall sicher, dass der vom Kunden verwaltete Schlüssel in der Azure Key Vault-Instanz ebenfalls Teil der Sicherung ist. Wenn Sie vom Kunden verwaltete Schlüsseloptionen verwenden, verwenden Sie vorläufiges Löschen und Bereinigungsschutz in Azure Key Vault, um Schlüssel vor versehentlichem oder böswilligem Löschen zu schützen. Für lokale Sicherungen mit Azure Backup erfolgt eine Verschlüsselung im Ruhezustand über die bereitgestellte Passphrase.
Schützen Sie Sicherungsdaten vor versehentlichem oder böswilligem Löschen (z. B. Ransomwareangriffe/Versuche, Sicherungsdaten zu verschlüsseln oder zu manipulieren). Für von Azure Backup unterstützte Ressourcen aktivieren Sie vorläufiges Löschen, um die Wiederherstellung von Elementen ohne Datenverlust bis zu 14 Tage nach einem nicht autorisierten Löschvorgang sicherzustellen, und aktivieren Sie die Multi-Faktor-Authentifizierung mithilfe einer im Azure-Portal generierten PIN. Aktivieren Sie außerdem die Regionen übergreifende Wiederherstellung, um sicherzustellen, dass Sicherungsdaten bei einem Notfall in der primären Region wiederhergestellt werden können.
Hinweis: Wenn Sie das native Sicherungsfeature der Ressource oder andere Sicherungsdienste als Azure Backup verwenden, ziehen Sie den Azure-Sicherheitsvergleichstest (und Dienstbaselines) zu Rate, um die oben genannten Steuerelemente zu implementieren.
Implementierung und zusätzlicher Kontext:
- Übersicht über Sicherheitsfeatures in Azure Backup
- Verschlüsselung von Sicherungsdaten mit von Kunden verwalteten Schlüsseln
- Sicherheitsfeatures für den Schutz von Hybridsicherungen vor Angriffen
- Azure Backup: Festlegen der Regionen übergreifenden Wiederherstellung
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
BR-3: Backups überwachen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11,3 | CP-9 | – |
Sicherheitsprinzip: Stellen Sie sicher, dass alle unternehmenskritischen schützbaren Ressourcen mit der definierten Sicherungsrichtlinie und dem definierten Standard konform sind.
Azure-Leitfaden: Überwachen Sie Ihre Azure-Umgebung, sodass sichergestellt ist, dass alle Ihre kritischen Ressourcen aus Sicherungssicht konform sind. Verwenden Sie Azure-Richtlinien für die Sicherung, um diese Kontrolle zu überwachen und zu erzwingen. Für von Azure Backup unterstützte Ressourcen: Backup Center unterstützt Sie bei der zentralen Verwaltung Ihres Sicherungsbestands.
Stellen Sie sicher, dass wichtige Sicherungsvorgänge (Löschen, Ändern der Aufbewahrung, Aktualisierungen der Sicherungskonfiguration) überwacht werden und Warnungen für sie definiert sind. Überwachen Sie für von Azure Backup unterstützte Ressourcen die allgemeine Integrität der Sicherung, empfangen Sie Warnungen zu kritischen Sicherungsvorfällen und überwachen Sie vom Benutzer ausgelöste Aktionen in Tresoren.
Implementierung und zusätzlicher Kontext:
- Steuern Ihres Sicherungsbestands mit Backup Center
- Überwachen und Verwalten von Sicherungen mit Backup Center
- Von Azure Backup bereitgestellte Lösungen zur Überwachung und Berichterstellung
Sicherheitsverantwortliche beim Kunden (weitere Informationen):
BR-4: Regelmäßiges Testen der Sicherung
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11,5 | CP-4, CP-9 | – |
Sicherheitsprinzip: Führen Sie regelmäßig Datenwiederherstellungstests Ihrer Sicherung durch, um sicherzustellen, dass die Sicherungskonfigurationen und die Verfügbarkeit der Sicherungsdaten die Wiederherstellungsanforderungen gemäß der Definition in RTO (Recovery Time Objective) und RPO (Recovery Point Objective) erfüllen.
Azure-Leitfaden: Führen Sie regelmäßig Datenwiederherstellungstests Ihrer Sicherung durch, um sicherzustellen, dass die Sicherungskonfigurationen und die Verfügbarkeit der Sicherungsdaten die Wiederherstellungsanforderungen gemäß der Definition in RTO und RPO erfüllen.
Möglicherweise müssen Sie Ihre Teststrategie für die Sicherungswiederherstellung einschließlich Testbereich, Häufigkeit und Methode definieren, da die Durchführung des vollständigen Wiederherstellungstests jedes Mal schwierig sein kann.
Implementierung und zusätzlicher Kontext:
- Wiederherstellen von Dateien aus einer Sicherung von virtuellen Azure-Computern
- Wiederherstellen von Key Vault-Schlüsseln in Azure
Sicherheitsverantwortliche beim Kunden (weitere Informationen):