Contrôle de sécurité V2 : Sauvegarde et récupération
Notes
La version la plus à jour d’Azure Security Benchmark est disponible ici.
La sauvegarde et la récupération recouvrent les contrôles destinés à s’assurer que les sauvegardes de données et de configurations aux différents niveaux de service sont effectuées, validées et protégées.
Pour afficher l’instance Azure Policy intégrée applicable, consultez Informations sur l’initiative intégrée Conformité réglementaire Azure Security Benchmark : Sauvegarde et Récupération
BR-1 : Garantir des sauvegardes automatiques régulières
Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
---|---|---|
BR-1 | 10.1 | CP-2, CP4, CP-6, CP-9 |
Veillez à sauvegarder les systèmes et les données pour assurer la continuité de l’activité après un événement inattendu. Ceci doit être défini par des objectifs de point de récupération (RPO) et de délai de récupération (RTO).
Activez le service Sauvegarde Azure et configurez la source de la sauvegarde (par exemple, machines virtuelles Azure, SQL Server ou partages de fichiers), ainsi que la fréquence et la période de rétention souhaitées.
Pour un niveau plus élevé de protection, vous pouvez activer l’option de stockage géoredondant afin de répliquer les données de sauvegarde dans une région secondaire et de les récupérer à l’aide d’une restauration inter-région.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
BR-2 : Chiffrer les données de sauvegarde
Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
---|---|---|
BR-2 | 10,2 | CP-9 |
Assurez-vous que vos sauvegardes sont protégées contre les attaques. Cela doit inclure le chiffrement des sauvegardes afin de vous protéger contre la perte de confidentialité.
Pour une sauvegarde locale à l’aide du service Sauvegarde Azure, le chiffrement au repos est assuré à l’aide de la phrase secrète que vous fournissez. Pour une sauvegarde de service Azure normale, les données de sauvegarde sont automatiquement chiffrées à l’aide de clés gérées par la plateforme Azure. Vous pouvez choisir de chiffrer la sauvegarde à l’aide d’une clé gérée par le client. Dans ce cas, assurez-vous que cette clé gérée par le client dans le coffre de clés est également dans l’étendue de la sauvegarde.
Utilisez un contrôle d’accès en fonction du rôle Azure dans le service Sauvegarde Azure, la solution Azure Key Vault ou d’autres ressources pour protéger les sauvegardes et les clés gérées par le client. En outre, vous pouvez activer des fonctionnalités de sécurité avancées pour exiger une authentification multifacteur avant que les sauvegardes soient modifiées ou supprimées.
Vue d’ensemble des fonctionnalités de sécurité de Sauvegarde Azure
Chiffrement des données de sauvegarde à l’aide de clés gérées par le client
Guide pratique pour sauvegarder des clés de coffre de clés dans Azure
Fonctionnalités de sécurité pour la protection de sauvegardes hybrides contre des attaques
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client
Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
---|---|---|
BR-3 | 10.3 | CP-4, CP-9 |
Effectuez régulièrement une restauration des données de votre sauvegarde. Assurez-vous que vous pouvez restaurer les clés gérées par le client sauvegardées.
Guide pratique pour récupérer des fichiers à partir d’une sauvegarde de machines virtuelles Azure
Guide pratique pour restaurer des clés du coffre de clés dans Azure
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
BR-4 : Atténuer les risques liés aux clés perdues
Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
---|---|---|
BR-4 | 10,4 | CP-9 |
Assurez-vous que vous avez pris les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Activez la suppression réversible et la protection contre la purge dans Azure Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :