Contrôle de sécurité v3 : sauvegarde et récupération
La sauvegarde et la récupération recouvrent les contrôles destinés à s’assurer que les sauvegardes de données et de configurations aux différents niveaux de service sont effectuées, validées et protégées.
BR-1 : Garantir des sauvegardes automatiques régulières
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
Principe de sécurité : veillez à sauvegarder les ressources essentielles de l’entreprise, soit lors de la création de ressources, soit en appliquant une stratégie pour les ressources existantes.
Conseils Azure : pour les ressources prises en charge par la sauvegarde Azure, activez la sauvegarde Azure et configurez la source de sauvegarde (telle que les machines virtuelles Azure, SQL Server, les bases de données HANA ou le partage de fichiers) à la fréquence désirée et durée de rétention désirée. Pour les machines virtuelles Azure, vous pouvez utiliser Azure Policy pour que la sauvegarde soit activée automatiquement.
Pour les ressources non prises en charge par la sauvegarde Azure, activez la sauvegarde dans le cadre de la création de ses ressources. Le cas échéant, utilisez des stratégies intégrées (Azure Policy) pour vous assurer que vos ressources Azure sont configurées pour la sauvegarde.
Implémentation et contexte supplémentaire :
- Guide pratique pour activer la Sauvegarde Azure
- Activer automatiquement la sauvegarde lors de la création de machines virtuelles avec Azure Policy
Parties prenantes de la sécurité des clients (En savoir plus) :
- Stratégie et normes
- Architecture de la sécurité
- Sécurité d’infrastructure et de point de terminaison
- Préparation aux incidents
BR-2 : Protéger les données de sauvegarde et de récupération
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Principe de sécurité : assurez-vous que les opérations et les données de sauvegarde sont protégées de l’exfiltration des données, de la compromission des données, des ransomware ou programmes et insiders malveillants. Les contrôles de sécurité à appliquer incluent le contrôle d’accès utilisateur et réseau ainsi que le chiffrement des données au repos et en transit.
Conseils Azure : utilisez Azure RBAC et l’authentification multifacteur pour sécuriser les opérations essentielles de sauvegarde Azure (telles que supprimer, modifier la rétention, mises-à-jour apportées à la configuration de la sauvegarde). Pour les ressources prises en charge par la sauvegarde Azure, utilisez Azure RBAC pour séparer les responsabilités et permettre un accès précis, et créez des points de terminaison privés au sein de votre réseau virtuel Azure pour sauvegarder et restaurer en toute sécurité les données de vos coffres de Recovery Services.
Pour les ressources prises en charge par la sauvegarde Azure, les données de sauvegarde sont automatiquement chiffrées à l’aide de clés gérées par la plateforme Azure avec le chiffrement AES 256 bits. Vous pouvez choisir de chiffrer les sauvegardes à l’aide d’une clé gérée par le client. Dans ce cas, assurez-vous que cette clé gérée par le client dans Azure Key Vault est également dans l’étendue de la sauvegarde. Si vous utilisez des options de clé gérée par le client, utilisez la suppression réversible et la protection contre la suppression définitive dans Azure Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante. Pour une sauvegarde locale à l’aide du service Sauvegarde Azure, le chiffrement au repos est assuré à l’aide de la phrase secrète que vous fournissez.
Protégez les données de sauvegarde contre les suppressions accidentelles ou malveillantes (telles que les attaques par ransomware/tentatives de chiffrement ou de falsification des données de sauvegarde). Pour les ressources prises en charge par la sauvegarde Azure, activez la suppression réversible pour garantir la récupération des éléments sans perte de données pendant jusqu’à 14 jours après une suppression non autorisée et activez l’authentification multifacteur à l’aide d’un code PIN généré dans le Portail Azure. Activez également la restauration inter-régions pour garantir la restauration des données de sauvegarde en cas d’urgence dans la région primaire.
Remarque : si vous utilisez la fonctionnalité de sauvegarde native de la ressource ou des services de sauvegarde autres que la sauvegarde Azure, référez-vous au Benchmark de sécurité Azure (et aux lignes de base de service) pour implémenter les contrôles ci-dessus.
Implémentation et contexte supplémentaire :
- Vue d’ensemble des fonctionnalités de sécurité de Sauvegarde Azure
- Chiffrement des données de sauvegarde à l’aide de clés gérées par le client
- Fonctionnalités de sécurité pour la protection de sauvegardes hybrides contre des attaques
- Sauvegarde Azure - définir la restauration inter-régions
Parties prenantes de la sécurité des clients (En savoir plus) :
- Architecture de la sécurité
- Sécurité d’infrastructure et de point de terminaison
- Préparation aux incidents
BR-3 : Surveiller les sauvegardes
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
Principe de sécurité : assurez-vous que toutes les ressources protégeables vitales pour l’entreprise sont conformes à la stratégie et à la norme de sauvegarde définie.
Conseils Azure :surveillez votre environnement Azure pour vous assurer que toutes vos ressources essentielles sont conformes du point de vue de la sauvegarde. Utilisez les stratégies Azure pour que la sauvegarde puisse auditer et appliquer ce type de contrôle. Pour les ressources prises en charge par la sauvegarde Azure : le centre de sauvegarde vous permet de gérer votre espace de sauvegarde de manière centralisée.
Vérifiez que les opérations de sauvegarde essentielles (suppression, rétention des modifications, mises à jour de la configuration de sauvegarde) sont surveillées, auditées et ont des alertes programmées. Pour les ressources prises en charge par la sauvegarde Azure, surveillez l’intégrité globale de la sauvegarde, recevez une alerte pour les incidents de sauvegarde critiques, auditez les actions déclenchées par l’utilisateur sur les coffres.
Implémentation et contexte supplémentaire :
- Gérer votre espace de sauvegarde avec le Centre de sauvegarde
- Superviser et utiliser des sauvegardes avec le centre de sauvegarde
- Solutions de supervision et de création de rapports pour Sauvegarde Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
BR-4 : Tester régulièrement la sauvegarde
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
Principe de sécurité : effectuez régulièrement des tests de récupération des données de votre sauvegarde pour vérifier que les configurations de sauvegarde et la disponibilité des données de sauvegarde répondent aux besoins de récupération, conformément à la définition de l’objectif de temps de récupération (RTO) et de l’objectif de point de récupération (RPO).
Conseils Azure :effectuez régulièrement des tests de récupération des données de votre sauvegarde pour vérifier que les configurations de sauvegarde et la disponibilité des données de sauvegarde répondent aux besoins de récupération, conformément à la définition du RTO et du RPO.
Vous devrez peut-être définir votre stratégie de test de récupération de sauvegarde, ce qui inclut l’étendue, la fréquence et la méthode de test, car l’exécution d’un test de récupération complète à chaque fois peut être difficile.
Implémentation et contexte supplémentaire :
- Guide pratique pour récupérer des fichiers à partir d’une sauvegarde de machines virtuelles Azure
- Guide pratique pour restaurer des clés du coffre de clés dans Azure
Parties prenantes de la sécurité des clients (En savoir plus) :