Biztonsági ellenőrzés: Biztonsági mentés és helyreállítás
A biztonsági mentés és helyreállítás a különböző szolgáltatási szinteken történő adat- és konfigurációs biztonsági mentések végrehajtásának, érvényesítésének és védelmének biztosítására vonatkozó vezérlőket foglalja magában.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
Biztonsági alapelv: Gondoskodjon az üzletileg kritikus fontosságú erőforrások biztonsági mentéséről az erőforrások létrehozásakor vagy a meglévő erőforrásokra vonatkozó szabályzattal kényszerítve.
Azure-útmutató: A támogatott erőforrások (például Azure-beli virtuális gépek, SQL Server, HANA-adatbázisok, Azure PostgreSQL-adatbázisok, fájlmegosztások, blobok vagy lemezek) Azure Backup esetében engedélyezze Azure Backup, és konfigurálja a kívánt gyakoriságot és megőrzési időtartamot. Azure-beli virtuális gépek esetén a Azure Policy használatával automatikusan engedélyezhető a biztonsági mentés a Azure Policy használatával.
Az Azure Backup által nem támogatott erőforrások vagy szolgáltatások esetében használja az erőforrás vagy szolgáltatás által biztosított natív biztonsági mentési képességet. Az Azure Key Vault például natív biztonsági mentési képességet biztosít.
Az Azure Backup által nem támogatott és natív biztonsági mentési képességgel nem rendelkező erőforrások/szolgáltatások esetében értékelje ki a biztonsági mentési és vészhelyreállítási igényeket, és hozzon létre saját mechanizmust az üzleti igényeinek megfelelően. Például:
- Ha az Azure Storage-t használja az adattároláshoz, engedélyezze a blobok verziószámozását a tárolóblobok számára, amely lehetővé teszi az Azure Storage-ban tárolt összes objektum minden verziójának megőrzését, lekérését és visszaállítását.
- A szolgáltatáskonfigurációs beállítások általában exportálhatók az Azure Resource Manager-sablonokba.
Azure-implementáció és további környezet:
- A Azure Backup engedélyezése
- Biztonsági mentés automatikus engedélyezése a virtuális gép Azure Policyval végzett létrehozásakor
AWS-útmutató: Az AWS backup által támogatott erőforrások (például EC2, S3, EBS vagy RDS) esetében engedélyezze az AWS biztonsági mentést, és konfigurálja a kívánt gyakoriságot és megőrzési időtartamot.
Az AWS Backup által nem támogatott erőforrások/szolgáltatások, például az AWS KMS esetében engedélyezze a natív biztonsági mentési funkciót az erőforrás-létrehozás részeként.
Azon erőforrások/szolgáltatások esetében, amelyeket az AWS Backup nem támogat, és nem rendelkezik natív biztonsági mentési képességgel, értékelje ki a biztonsági mentési és vészhelyreállítási igényeket, és hozzon létre saját mechanizmust az üzleti igényeinek megfelelően. Például:
- Ha az Amazon S3-at használják az adattároláshoz, engedélyezze az S3 verziószámozást a tároló-háttérkészlethez, amely lehetővé teszi az S3-gyűjtőben tárolt összes objektum minden verziójának megőrzését, lekérését és visszaállítását.
- A szolgáltatáskonfigurációs beállítások általában exportálhatók CloudFormation-sablonokba.
AWS-implementáció és további környezet:
- Az AWS Backup által támogatott erőforrások és külső alkalmazások Amazon S3 verziószámozás: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Az AWS CloudFormation ajánlott eljárásai
GCP-útmutató: A Google Cloud Backup által támogatott erőforrások (például számítógépmotor, felhőtárhely és tárolók) esetében engedélyezze a GCP biztonsági mentést, és konfigurálja a kívánt gyakoriságot és megőrzési időtartamot.
A Google Cloud Backup által nem támogatott erőforrások vagy szolgáltatások esetében használja az erőforrás vagy szolgáltatás által biztosított natív biztonsági mentési képességet. A Secret Manager például natív biztonsági mentési képességet biztosít.
Azon erőforrások/szolgáltatások esetében, amelyeket nem támogat a Google Cloud Backup, és nem rendelkezik natív biztonsági mentési képességgel, értékelje ki a biztonsági mentési és vészhelyreállítási igényeket, és hozzon létre saját mechanizmust az üzleti igényeinek megfelelően. Például:
- Ha a Google Storage-ot használja a biztonsági mentési adatok tárolására, engedélyezze a tár verziószámozását az objektumverziózáshoz, amely lehetővé teszi a Google Storage-ban tárolt objektumok minden verziójának megőrzését, lekérését és visszaállítását.
GCP-implementáció és további környezet:
- Biztonsági mentési és vészhelyreállítási megoldások a Google Cloud használatával
- Igény szerinti és automatikus biztonsági mentések létrehozása és kezelése
Ügyfélbiztonsági érdekelt felek (További információ):
- Szabályzat és szabványok
- Biztonsági architektúra
- Infrastruktúra és végpontbiztonság
- Incidens előkészítése
BR-2: Biztonsági mentési és helyreállítási adatok védelme
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 11,3 | CP-6, CP-9 | 3.4 |
Biztonsági elv: Gondoskodjon arról, hogy a biztonsági mentési adatok és műveletek védve legyenek az adatok kiszivárgása, az adatok biztonsága, a zsarolóprogramok/kártevők és a rosszindulatú insiderek ellen. Az alkalmazandó biztonsági vezérlők közé tartozik a felhasználói és hálózati hozzáférés-vezérlés, az inaktív és az átvitel közbeni adattitkosítás.
Azure-útmutató: Többtényezős hitelesítés és Az Azure RBAC használata a kritikus Azure Backup műveletek (például törlés, adatmegőrzés módosítása, biztonsági mentési konfiguráció frissítései) védelméhez. A Azure Backup támogatott erőforrások esetében az Azure RBAC használatával elkülönítheti a feladatokat, lehetővé teheti a részletesebb hozzáférést, és privát végpontokat hozhat létre az Azure-Virtual Network az adatok biztonságos biztonsági mentéséhez és helyreállításához a Recovery Services-tárolókból.
A Azure Backup támogatott erőforrások esetében a biztonsági mentési adatok automatikusan titkosítva lesznek az Azure platform által felügyelt kulcsokkal, 256 bites AES-titkosítással. A biztonsági másolatokat ügyfél által felügyelt kulccsal is titkosíthatja. Ebben az esetben győződjön meg arról, hogy az Azure Key Vault ügyfél által felügyelt kulcsa is szerepel a biztonsági mentés hatókörében. Ha ügyfél által felügyelt kulcsot használ, az Azure Key Vault helyreállítható törlési és végleges törlési védelemmel védheti a kulcsokat a véletlen vagy rosszindulatú törlés ellen. A Azure Backup-t használó helyszíni biztonsági mentések esetében az inaktív állapotban lévő titkosítás az Ön által megadott jelszóval történik.
Biztonsági mentési adatok védelme a véletlen vagy rosszindulatú törléssel szemben, például zsarolóprogram-támadások/biztonsági mentési adatok titkosítására vagy illetéktelen módosítására tett kísérletek. A Azure Backup támogatott erőforrások esetében engedélyezze a helyreállítható törlést, hogy a jogosulatlan törlés után legfeljebb 14 napig biztosítsa az adatvesztés nélküli elemek helyreállítását, és engedélyezze a többtényezős hitelesítést a Azure Portal létrehozott PIN-kód használatával. Engedélyezze a georedundáns tárolást vagy a régiók közötti visszaállítást is, hogy a biztonsági mentési adatok visszaállíthatók legyenek, ha katasztrófa történik az elsődleges régióban. A zónaredundáns tárolást (ZRS) is engedélyezheti, hogy a biztonsági másolatok visszaállíthatók legyenek zónaszintű hibák esetén.
Megjegyzés: Ha egy erőforrás natív biztonsági mentési funkcióját vagy a Azure Backup kivételével biztonsági mentési szolgáltatást használ, a fenti vezérlők implementálásához tekintse meg a Microsoft Cloud Security Benchmark (és a szolgáltatás alapkonfigurációi) című témakört.
Azure-implementáció és további környezet:
- Az Azure Backup biztonsági funkcióinak áttekintése
- Biztonsági mentési adatok titkosítása ügyfelek által felügyelt kulcsok használatával
- Biztonsági funkciók a hibrid biztonsági mentések támadások elleni védelméhez
- Azure Backup – régiók közötti visszaállítás beállítása
AWS-útmutató: Az AWS IAM hozzáférés-vezérlésének használata az AWS biztonsági mentésének védelméhez. Ez magában foglalja az AWS Backup szolgáltatás hozzáférési és biztonsági mentési és visszaállítási pontjainak védelmét. A vezérlők például a következők:
- Használjon többtényezős hitelesítést (MFA) olyan kritikus műveletekhez, mint például egy biztonsági mentési/visszaállítási pont törlése.
- A Secure Sockets Layer (SSL)/Transport Layer Security (TLS) használatával kommunikálhat az AWS-erőforrásokkal.
- Az AWS KMS és az AWS Backup együttes használatával titkosíthatja a biztonsági mentési adatokat az ügyfél által felügyelt CMK vagy az AWS Backup szolgáltatáshoz társított AWS által felügyelt CMK használatával.
- A kritikus adatok nem módosítható tárolásához használja az AWS Backup Vault-zárolást.
- Az S3-gyűjtők védelme hozzáférési szabályzattal, a nyilvános hozzáférés letiltásával, az inaktív adatok titkosításának kényszerítésével és a verziókövetéssel.
AWS-implementáció és további környezet:
GCP-útmutató: A legerősebb hitelesítéssel rendelkező dedikált fiókokat használva kritikus biztonsági mentési és helyreállítási műveleteket hajthat végre, például törlést, módosításmegőrzést, biztonsági mentési konfiguráció frissítéseit. Ez megvédené a biztonsági mentési adatokat a véletlen vagy rosszindulatú törléstől, például zsarolóprogram-támadásoktól/a biztonsági mentési adatok titkosítására vagy illetéktelen módosítására tett kísérletektől.
A GCP Backup által támogatott erőforrások esetében a Google IAM-et szerepkörökkel és engedélyekkel használva elkülönítheti a feladatokat, és lehetővé teheti a részletesebb hozzáférést, valamint beállíthat egy privát szolgáltatási hozzáférési kapcsolatot a VPC-hez az adatok biztonsági mentéséhez és visszaállításához a Backup/Recovery berendezésből.
A biztonsági mentési adatok alapértelmezés szerint automatikusan titkosítva lesznek a platform szintjén az AES-256 Advanced Encryption Standard (AES) algoritmusával.
Megjegyzés: Ha egy erőforrás natív biztonsági mentési funkcióját vagy a GCP Backuptól eltérő biztonsági mentési szolgáltatást használ, a biztonsági vezérlők implementálásához tekintse meg a megfelelő útmutatót. Egy virtuálisgép-példány erőforrásának deletionProtection tulajdonságának beállításával például megvédheti bizonyos virtuálisgép-példányokat a törléstől.
GCP-implementáció és további környezet:
- Adatmegőrzési szabályzatok és adatmegőrzési szabályzatok zárolása
- Biztonsági mentési és vészhelyreállítási szolgáltatás
- A virtuális gép véletlen törlésének megakadályozása
Ügyfélbiztonsági érdekelt felek (További információ):
BR-3: Biztonsági másolatok monitorozása
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 11,3 | CP-9 | N/A |
Biztonsági elv: Győződjön meg arról, hogy minden üzleti szempontból kritikus fontosságú, védhető erőforrás megfelel a meghatározott biztonsági mentési szabályzatnak és szabványnak.
Azure-útmutató: Az Azure-környezet monitorozása annak biztosítása érdekében, hogy az összes kritikus erőforrás biztonsági mentési szempontból megfelelő legyen. Az ilyen vezérlők naplózásához és kikényszerítéséhez használja a Azure Policy biztonsági mentést. A Azure Backup támogatott erőforrások esetében a Backup Center segít központilag szabályozni a biztonsági mentési tulajdont.
Győződjön meg arról, hogy a kritikus biztonsági mentési műveletek (törlés, adatmegőrzés módosítása, biztonsági mentés konfigurációjának frissítései) monitorozása, naplózása és riasztásai érvényben vannak. A támogatott erőforrások Azure Backup figyelheti a biztonsági mentés általános állapotát, riasztást kaphat a kritikus biztonsági mentési incidensekről, és naplózhatja az aktivált felhasználói műveleteket a tárolókon.
Megjegyzés: Adott esetben beépített szabályzatokkal (Azure Policy) is biztosíthatja, hogy az Azure-erőforrások biztonsági mentésre legyenek konfigurálva.
Azure-implementáció és további környezet:
- Biztonsági mentések szabályozása a Backup Centerrel
- Biztonsági mentések monitorozása és üzemeltetése a Backup Centerrel
- Monitorozási és jelentéskészítési megoldások Azure Backup
AWS-útmutató: Az AWS Biztonsági mentés más AWS-eszközökkel együttműködve lehetővé teszi a számítási feladatok monitorozását. Ezek az eszközök a következőket tartalmazzák:
- Az AWS Backup Audit Managerrel monitorozza a biztonsági mentési műveleteket a megfelelőség biztosítása érdekében.
- A CloudWatch és az Amazon EventBridge használatával monitorozza az AWS biztonsági mentési folyamatait.
- A CloudWatch használatával nyomon követheti a metrikákat, riasztásokat hozhat létre és irányítópultokat tekinthet meg.
- Az EventBridge használatával megtekintheti és figyelheti az AWS biztonsági mentési eseményeit.
- Az Amazon Simple Notification Service (Amazon SNS) használatával előfizethet az AWS biztonsági mentéssel kapcsolatos témaköreire, például a biztonsági mentésre, a visszaállításra és a másolásra.
AWS-implementáció és további környezet:
- AWS biztonsági mentés monitorozása
- AWS biztonsági mentési események monitorozása az EventBridge használatával
- AWS biztonsági mentési metrikák monitorozása a CloudWatch használatával
- Az Amazon SNS használata az AWS biztonsági mentési eseményeinek nyomon követéséhez
- Biztonsági mentések naplózása és jelentések létrehozása az AWS Backup Audit Managerrel
GCP-útmutató: A biztonsági mentési és vészhelyreállítási környezet monitorozása annak biztosítása érdekében, hogy az összes kritikus erőforrás biztonsági mentési szempontból megfelelő legyen. Az ilyen vezérlők naplózásához és kikényszerítéséhez használja a szervezeti szabályzatot a biztonsági mentéshez. A GCP Backup által támogatott erőforrások esetében a felügyeleti konzol segít központilag szabályozni a biztonsági mentési tulajdont.
Győződjön meg arról, hogy a kritikus biztonsági mentési műveletek (törlés, adatmegőrzés módosítása, biztonsági mentés konfigurációjának frissítései) monitorozása, naplózása és riasztásai érvényben vannak. A GCP biztonsági mentés által támogatott erőforrások esetében monitorozza a biztonsági mentés általános állapotát, riasztást kap a kritikus biztonsági mentési incidensekről, és naplózhatja az aktivált felhasználói műveleteket.
Megjegyzés: Adott esetben beépített szabályzatokat (szervezeti szabályzatot) is használjon annak biztosítására, hogy a Google-erőforrások biztonsági mentésre legyenek konfigurálva.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):
BR-4: Biztonsági mentés rendszeres tesztelése
| CIS-vezérlők v8-azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS-azonosító(k) v3.2.1 |
|---|---|---|
| 11,5 | CP-4, CP-9 | N/A |
Biztonsági elv: Rendszeres időközönként végezze el a biztonsági mentés adat-helyreállítási tesztjeit annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági mentési adatok rendelkezésre állása megfelel-e az RTO -ban (helyreállítási időkorlát) és az RPO-ban (helyreállítási pont célkitűzése) meghatározott helyreállítási igényeknek.
Azure-útmutató: Rendszeres időközönként végezze el a biztonsági mentés adat-helyreállítási tesztjeit annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági mentési adatok rendelkezésre állása megfelel-e az RTO-ban és az RPO-ban meghatározott helyreállítási igényeknek.
Előfordulhat, hogy meg kell határoznia a biztonsági mentés helyreállítási tesztelési stratégiáját, beleértve a teszt hatókörét, gyakoriságát és módszerét, mivel a teljes helyreállítási teszt elvégzése minden alkalommal nehéz lehet.
Azure-implementáció és további környezet:
- Fájlok helyreállítása az Azure Virtual Machine biztonsági mentéséből
- Key Vault kulcsok visszaállítása az Azure-ban
AWS-útmutató: Rendszeres időközönként végezzen adat-helyreállítási teszteket a biztonsági mentésről annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági mentési adatok rendelkezésre állása megfelel-e az RTO-ban és az RPO-ban meghatározott helyreállítási igényeknek.
Előfordulhat, hogy meg kell határoznia a biztonsági mentés helyreállítási tesztelési stratégiáját, beleértve a teszt hatókörét, gyakoriságát és módszerét, mivel a teljes helyreállítási teszt elvégzése minden alkalommal nehéz lehet. AWS-implementáció és további környezet:
GCP-útmutató: Rendszeres időközönként végezze el a biztonsági mentés adat-helyreállítási tesztjeit annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági mentési adatok rendelkezésre állása megfelel-e az RTO-ban és az RPO-ban meghatározott helyreállítási igényeknek.
Előfordulhat, hogy meg kell határoznia a biztonsági mentés helyreállítási tesztelési stratégiáját, beleértve a teszt hatókörét, gyakoriságát és módszerét, mivel a teljes helyreállítási teszt elvégzése minden alkalommal nehéz lehet.
GCP implementálása és további környezet:
Ügyfélbiztonsági érdekelt felek (További információ):