Control de seguridad v3: copia de seguridad y recuperación
La copia de seguridad y la recuperación conllevan controles para garantizar que las copias de seguridad de los datos y la configuración de los distintos niveles de servicio se realizan, se validan y se protegen.
BR-1: Garantía de copias de seguridad automáticas periódicas
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/D |
Principio de seguridad: Garantice la copia de seguridad de los recursos críticos para la empresa, ya sea durante la creación de recursos o mediante la aplicación de directivas para los recursos existentes.
Guía de Azure: Para los recursos admitidos en Azure Backup, habilite Azure Backup y configure el origen de las copias de seguridad (por ejemplo, VM de Azure, SQL Server, bases de datos HANA o recursos compartidos de archivos), así como la frecuencia y el período de retención deseados. En el caso de Azure VM, puede utilizar Azure Policy para que la copia de seguridad se habilite automáticamente mediante Azure Policy.
Para los recursos que no se admiten en Azure Backup, habilite la copia de seguridad como parte de su creación de recursos. Si procede, use directivas integradas (Azure Policy) para asegurarse de que los recursos de Azure están configurados para la copia de seguridad.
Implementación y contexto adicional:
- Habilitación de Azure Backup
- Habilitación automática de la copia de seguridad al crear máquinas virtuales mediante Azure Policy
Partes interesadas de la seguridad del cliente (más información):
- Directivas y estándares
- Arquitectura de seguridad
- Infraestructura y seguridad de los puntos de conexión
- Preparación de incidentes
BR-2: Protección de datos de recuperación y copia de seguridad
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Principio de seguridad: Asegúrese de que los datos y las operaciones de copia de seguridad están protegidos contra la filtración de datos, el riesgo para los datos, ransomware/malware y usuarios malintencionados. Los controles de seguridad que se deben aplicar incluyen el control de acceso de usuario y red y el cifrado de datos en reposo y en tránsito.
Guía de Azure: Use RBAC de Azure y la autenticación multifactor para proteger las operaciones críticas de Azure Backup (como la eliminación, la retención de cambios y las actualizaciones de la configuración de la copia de seguridad). Para los recursos admitidos en Azure Backup, use Azure RBAC para separar las tareas y habilitar el acceso específico, y cree puntos de conexión privados dentro de Azure Virtual Network para realizar copias de seguridad y restaurar datos de forma segura desde los almacenes de Recovery Services.
Para los recursos admitidos en Azure Backup, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma Azure con cifrado AES de 256 bits. También puede optar por cifrar las copias de seguridad mediante la clave administrada por el cliente. En este caso, asegúrese de que esta clave administrada por el cliente en Azure Key Vault también está en el ámbito de la copia de seguridad. Si usa opciones de clave administrada por el cliente, use la eliminación temporal y la protección de purga en Azure Key Vault para proteger las claves frente a eliminaciones accidentales o malintencionadas. En el caso de las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la frase de contraseña que proporcione.
Proteja los datos de copia de seguridad de la eliminación accidental o malintencionada (por ejemplo, ataques de ransomware o intentos de cifrar o alterar los datos de copia de seguridad). Para los recursos admitidos en Azure Backup, habilite la eliminación temporal para garantizar la recuperación de elementos sin pérdida de datos durante un máximo de 14 días después de una eliminación no autorizada y habilite la autenticación multifactor mediante un PIN generado en Azure Portal. Habilite también la restauración entre regiones para asegurarse de que los datos de copia de seguridad se pueden restaurar cuando se produce un desastre en la región primaria.
Nota: Si usa la característica de copia de seguridad nativa del recurso o servicios de copia de seguridad distintos de Azure Backup, consulte Azure Security Benchmark (y líneas de base de servicio) para implementar los controles anteriores.
Implementación y contexto adicional:
- Introducción a las características de seguridad de Azure Backup
- Cifrado de datos de copia de seguridad mediante claves administradas por el cliente
- Características de seguridad que ayudan a proteger las copias de seguridad híbridas frente a ataques
- Azure Backup: Establecimiento de la restauración entre regiones
Partes interesadas de la seguridad del cliente (más información):
- Arquitectura de seguridad
- Infraestructura y seguridad de los puntos de conexión
- Preparación de incidentes
BR-3: Supervisión de copias de seguridad
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
Principio de seguridad: Asegúrese de que todos los recursos protegibles críticos para la empresa son compatibles con la directiva de copia de seguridad y el estándar definidos.
Guía de Azure: Supervise el entorno de Azure para asegurarse de que todos los recursos críticos son compatibles desde una perspectiva de copia de seguridad. Use las directivas de Azure para realizar copias de seguridad a fin de auditar y aplicar dicho control. Para los recursos admitidos por Azure Backup: el Centro de copia de seguridad le ayuda a controlar centralmente el patrimonio de copia de seguridad.
Asegúrese de que las operaciones críticas de Backup (eliminación, retención de cambios, actualizaciones de la configuración de la copia de seguridad) se supervisan, se auditan y tienen alertas en vigor. Para los recursos admitidos por Azure Backup, supervise el estado general de la copia de seguridad, reciba alertas sobre incidentes críticos de copia de seguridad y audite las acciones desencadenadas por el usuario en los almacenes.
Implementación y contexto adicional:
- Gobernanza del estado de copia de seguridad mediante el Centro de copias de seguridad
- Supervisión y funcionamiento de copias de seguridad con el Centro de copias de seguridad
- Soluciones de supervisión y creación informes de Azure Backup
Partes interesadas de la seguridad del cliente (más información):
BR-4: Pruebas periódicas de la copia de seguridad
| Ids. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Ids. de PCI-DSS v3.2.1 |
|---|---|---|
| 11,5 | CP-4, CP-9 | N/A |
Principio de seguridad: Realice periódicamente pruebas de recuperación de los datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación según lo definido en RTO (objetivo de tiempo de recuperación) y RPO (objetivo de punto de recuperación).
Guía de Azure: Realice periódicamente pruebas de recuperación de los datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación según lo definido en RTO y RPO.
Es posible que tenga que definir la estrategia de prueba de recuperación de copia de seguridad, incluido el ámbito de prueba, la frecuencia y el método, ya que realizar la prueba de recuperación completa cada vez puede ser difícil.
Implementación y contexto adicional:
- Recuperación de archivos desde una copia de seguridad de máquina virtual de Azure
- Restauración de las claves de Key Vault en Azure
Partes interesadas de la seguridad del cliente (más información):