Control de seguridad: copia de seguridad y recuperación
La copia de seguridad y la recuperación conllevan controles para garantizar que las copias de seguridad de los datos y la configuración de los distintos niveles de servicio se realizan, se validan y se protegen.
BR-1: Garantía de copias de seguridad automáticas periódicas
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/D |
Principio de seguridad: asegúrese de la copia de seguridad de los recursos críticos para la empresa, ya sea durante la creación de recursos o aplicados a través de la directiva para los recursos existentes.
Guía de Azure: para Azure Backup recursos admitidos (como máquinas virtuales de Azure, SQL Server, bases de datos de HANA, base de datos de Azure PostgreSQL, recursos compartidos de archivos, blobs o discos), habilite Azure Backup y configure el período de retención y frecuencia deseados. En el caso de Azure VM, puede utilizar Azure Policy para que la copia de seguridad se habilite automáticamente mediante Azure Policy.
En el caso de los recursos o servicios no admitidos por Azure Backup, use la funcionalidad de copia de seguridad nativa proporcionada por el recurso o servicio. Por ejemplo, Azure Key Vault proporciona una funcionalidad de copia de seguridad nativa.
En el caso de los recursos o servicios que no son compatibles con Azure Backup ni tienen una funcionalidad de copia de seguridad nativa, evalúe las necesidades de copia de seguridad y desastres y cree su propio mecanismo según sus requisitos empresariales. Por ejemplo:
- Si usa Azure Storage para el almacenamiento de datos, habilite el control de versiones de blobs para los blobs de almacenamiento, lo que le permitirá conservar, recuperar y restaurar cada versión de cada objeto almacenado en Azure Storage.
- Normalmente, los valores de configuración del servicio se pueden exportar a plantillas de Azure Resource Manager.
Implementación de Azure y contexto adicional:
- Habilitación de Azure Backup
- Habilitación automática de la copia de seguridad al crear máquinas virtuales mediante Azure Policy
Guía de AWS: para los recursos compatibles con AWS Backup (como EC2, S3, EBS o RDS), habilite AWS Backup y configure la frecuencia y el período de retención deseados.
Para recursos o servicios no compatibles con AWS Backup, como AWS KMS, habilite la característica de copia de seguridad nativa como parte de su creación de recursos.
Para los recursos o servicios que no son compatibles con AWS Backup ni tienen una funcionalidad nativa de copia de seguridad, evalúe sus necesidades de copia de seguridad y desastres y cree su propio mecanismo según sus requisitos empresariales. Por ejemplo:
- Si Amazon S3 se usa para el almacenamiento de datos, habilite el control de versiones S3 para el backet de almacenamiento que le permitirá conservar, recuperar y restaurar cada versión de cada objeto almacenado en el cubo de S3.
- Normalmente, las opciones de configuración del servicio se pueden exportar a plantillas de CloudFormation.
Implementación de AWS y contexto adicional:
- Recursos compatibles con AWS Backup y aplicaciones de terceros Control de versiones de Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Procedimientos recomendados de AWS CloudFormation
Guía de GCP: para los recursos compatibles con Google Cloud Backup (como motor de equipo, almacenamiento en la nube y contenedores), habilite la copia de seguridad de GCP y configure la frecuencia y el período de retención deseados.
Para los recursos o servicios no compatibles con Google Cloud Backup, use la funcionalidad de copia de seguridad nativa proporcionada por el recurso o servicio. Por ejemplo, Secret Manager proporciona una funcionalidad de copia de seguridad nativa.
Para los recursos o servicios que no son compatibles con Google Cloud Backup ni tienen una funcionalidad de copia de seguridad nativa, evalúe sus necesidades de copia de seguridad y desastres y cree su propio mecanismo según sus requisitos empresariales. Por ejemplo:
- Si usa Google Storage para el almacenamiento de datos de copia de seguridad, habilite el control de versiones de almacenamiento para el control de versiones de objetos que le permitirá conservar, recuperar y restaurar cada versión de cada objeto almacenado en Google Storage.
Implementación de GCP y contexto adicional:
- Soluciones de copia de seguridad y recuperación ante desastres con Google Cloud
- Creación y administración de copias de seguridad automáticas y a petición
Partes interesadas de la seguridad del cliente (más información):
- Directivas y estándares
- Arquitectura de seguridad
- Infraestructura y seguridad de los puntos de conexión
- Preparación de incidentes
BR-2: Protección de datos de recuperación y copia de seguridad
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Principio de seguridad: asegúrese de que los datos de copia de seguridad y las operaciones están protegidos contra la filtración de datos, el riesgo de datos, el ransomware/malware y los usuarios internos malintencionados. Los controles de seguridad que se deben aplicar incluyen el control de acceso de usuario y red y el cifrado de datos en reposo y en tránsito.
Guía de Azure: use la autenticación multifactor y Azure RBAC para proteger las operaciones críticas de Azure Backup (como eliminar, cambiar la retención, actualizar la configuración de copia de seguridad). Para los recursos admitidos en Azure Backup, use Azure RBAC para separar las tareas y habilitar el acceso específico, y cree puntos de conexión privados dentro de Azure Virtual Network para realizar copias de seguridad y restaurar datos de forma segura desde los almacenes de Recovery Services.
Para los recursos admitidos en Azure Backup, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma Azure con cifrado AES de 256 bits. También puede optar por cifrar las copias de seguridad mediante una clave administrada por el cliente. En este caso, asegúrese de que la clave administrada por el cliente en Azure Key Vault también esté en el ámbito de copia de seguridad. Si usa una clave administrada por el cliente, use la eliminación temporal y la protección de purga en Azure Key Vault para proteger las claves frente a eliminaciones accidentales o malintencionadas. En el caso de las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la frase de contraseña que proporcione.
Proteja los datos de copia de seguridad de la eliminación accidental o malintencionada, como ataques de ransomware o intentos de cifrar o manipular los datos de copia de seguridad. Para los recursos admitidos en Azure Backup, habilite la eliminación temporal para garantizar la recuperación de elementos sin pérdida de datos durante un máximo de 14 días después de una eliminación no autorizada y habilite la autenticación multifactor mediante un PIN generado en Azure Portal. Habilite también el almacenamiento con redundancia geográfica o la restauración entre regiones para asegurarse de que los datos de copia de seguridad se pueden restaurar cuando se produce un desastre en la región primaria. También puede habilitar el almacenamiento con redundancia de zona (ZRS) para asegurarse de que las copias de seguridad se pueden restaurar durante errores zonales.
Nota: Si usa la característica de copia de seguridad nativa de un recurso o los servicios de copia de seguridad distintos de Azure Backup, consulte Microsoft Cloud Security Benchmark (y líneas base de servicio) para implementar los controles anteriores.
Implementación de Azure y contexto adicional:
- Introducción a las características de seguridad de Azure Backup
- Cifrado de datos de copia de seguridad mediante claves administradas por el cliente
- Características de seguridad que ayudan a proteger las copias de seguridad híbridas frente a ataques
- Azure Backup: Establecimiento de la restauración entre regiones
Guía de AWS: Use el control de acceso de AWS IAM para proteger AWS Backup. Esto incluye proteger el acceso al servicio AWS Backup y a los puntos de copia de seguridad y restauración. Entre los controles de ejemplo se incluyen:
- Use la autenticación multifactor (MFA) para operaciones críticas, como la eliminación de un punto de copia de seguridad o restauración.
- Use Capa de sockets seguros (SSL)/Seguridad de la capa de transporte (TLS) para comunicarse con los recursos de AWS.
- Use AWS KMS junto con AWS Backup para cifrar los datos de copia de seguridad mediante CMK administrado por el cliente o una CMK administrada por AWS asociada al servicio AWS Backup.
- Use el bloqueo de AWS Backup Vault para el almacenamiento inmutable de datos críticos.
- Proteja los cubos de S3 a través de la directiva de acceso, deshabilitando el acceso público, aplicando el cifrado de datos en reposo y el control de versiones.
Implementación de AWS y contexto adicional:
Guía de GCP: use cuentas dedicadas con la autenticación más segura para realizar operaciones críticas de copia de seguridad y recuperación, como la eliminación, la retención de cambios, las actualizaciones de la configuración de copia de seguridad. Esto protegería los datos de copia de seguridad de eliminaciones accidentales o malintencionadas, como ataques de ransomware o intentos de cifrar o alterar los datos de copia de seguridad.
En el caso de los recursos compatibles con GCP Backup, use Google IAM con roles y permisos para separar las tareas y habilite el acceso específico y configure una conexión de acceso de servicios privados a VPC para realizar copias de seguridad y restaurar datos de forma segura desde el dispositivo backup/Recovery.
Los datos de copia de seguridad se cifran automáticamente de forma predeterminada en el nivel de plataforma mediante el algoritmo estándar de cifrado avanzado (AES), AES-256.
Nota: Si usa la característica de copia de seguridad nativa de un recurso o los servicios de copia de seguridad distintos de GCP Backup, debe consultar la guía correspondiente para implementar los controles de seguridad. Por ejemplo, también puede proteger instancias de máquina virtual específicas de la eliminación estableciendo la propiedad deletionProtection en un recurso de instancia de máquina virtual.
Implementación de GCP y contexto adicional:
- Bloqueos de directivas de retención y directivas de retención
- Servicio de copia de seguridad y recuperación ante desastres
- Evitar la eliminación accidental de máquinas virtuales
Partes interesadas de la seguridad del cliente (más información):
- Arquitectura de seguridad
- Infraestructura y seguridad de los puntos de conexión
- Preparación de incidentes
BR-3: Supervisión de copias de seguridad
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
Principio de seguridad: asegúrese de que todos los recursos protegibles críticos para la empresa sean compatibles con la directiva de copia de seguridad definida y el estándar.
Guía de Azure: supervise el entorno de Azure para asegurarse de que todos los recursos críticos son compatibles desde una perspectiva de copia de seguridad. Use Azure Policy de copia de seguridad para auditar y aplicar dichos controles. Para Azure Backup recursos admitidos, el Centro de copias de seguridad le ayuda a controlar de forma centralizada el patrimonio de copias de seguridad.
Asegúrese de que las operaciones críticas de copia de seguridad (eliminación, retención de cambios, actualizaciones de la configuración de copia de seguridad) se supervisan, auditan y tienen alertas implementadas. Para Azure Backup recursos admitidos, supervise el estado general de la copia de seguridad, reciba alertas de los incidentes críticos de copia de seguridad y audite las acciones de usuario desencadenadas en almacenes.
Nota: Si procede, use también directivas integradas (Azure Policy) para asegurarse de que los recursos de Azure están configurados para la copia de seguridad.
Implementación de Azure y contexto adicional:
- Gobernanza del estado de copia de seguridad mediante el Centro de copias de seguridad
- Supervisión y funcionamiento de copias de seguridad con el Centro de copias de seguridad
- Soluciones de supervisión y creación informes de Azure Backup
Guía de AWS: AWS Backup funciona con otras herramientas de AWS para ayudarle a supervisar sus cargas de trabajo. Entre estas herramientas se incluyen las siguientes:
- Use AWS Backup Audit Manager para supervisar las operaciones de copia de seguridad para garantizar el cumplimiento.
- Use CloudWatch y Amazon EventBridge para supervisar los procesos de AWS Backup.
- Use CloudWatch para realizar un seguimiento de las métricas, crear alarmas y ver paneles.
- Use EventBridge para ver y supervisar los eventos de AWS Backup.
- Use Amazon Simple Notification Service (Amazon SNS) para suscribirse a temas relacionados con AWS Backup, como eventos de copia de seguridad, restauración y copia.
Implementación de AWS y contexto adicional:
- Supervisión de AWS Backup
- Supervisión de eventos de AWS Backup mediante EventBridge
- Supervisión de métricas de AWS Backup con CloudWatch
- Uso de Amazon SNS para realizar un seguimiento de los eventos de AWS Backup
- Auditar copias de seguridad y crear informes con AWS Backup Audit Manager
Guía de GCP: supervise el entorno de copia de seguridad y recuperación ante desastres para asegurarse de que todos los recursos críticos son compatibles desde una perspectiva de copia de seguridad. Use la directiva organizativa para realizar una copia de seguridad para auditar y aplicar dichos controles. En el caso de los recursos compatibles con GCP Backup, la Consola de administración le ayuda a controlar de forma centralizada el patrimonio de copia de seguridad.
Asegúrese de que las operaciones críticas de copia de seguridad (eliminación, retención de cambios, actualizaciones de la configuración de copia de seguridad) se supervisan, auditan y tienen alertas implementadas. En el caso de los recursos compatibles con GCP Backup, supervise el estado general de la copia de seguridad, reciba alertas de los incidentes críticos de copia de seguridad y audite las acciones de usuario desencadenadas.
Nota: Si procede, use también directivas integradas (directiva organizativa) para asegurarse de que los recursos de Google están configurados para la copia de seguridad.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):
BR-4: Pruebas periódicas de la copia de seguridad
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11,5 | CP-4, CP-9 | N/A |
Principio de seguridad: realice periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad cumplen las necesidades de recuperación según lo definido en el RTO (objetivo de tiempo de recuperación) y el RPO (objetivo de punto de recuperación).
Guía de Azure: realice periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación según se define en RTO y RPO.
Es posible que tenga que definir la estrategia de prueba de recuperación de copia de seguridad, incluido el ámbito de prueba, la frecuencia y el método, ya que realizar la prueba de recuperación completa cada vez puede ser difícil.
Implementación de Azure y contexto adicional:
- Recuperación de archivos desde una copia de seguridad de máquina virtual de Azure
- Restauración de las claves de Key Vault en Azure
Guía de AWS: realice periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación según se define en RTO y RPO.
Es posible que tenga que definir la estrategia de prueba de recuperación de copia de seguridad, incluido el ámbito de prueba, la frecuencia y el método, ya que realizar la prueba de recuperación completa cada vez puede ser difícil. Implementación de AWS y contexto adicional:
Guía de GCP: realice periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad cumplen las necesidades de recuperación según lo definido en RTO y RPO.
Es posible que tenga que definir la estrategia de prueba de recuperación de copia de seguridad, incluido el ámbito de prueba, la frecuencia y el método, ya que realizar la prueba de recuperación completa cada vez puede ser difícil.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (más información):