Biztonsági vezérlő v3: Biztonsági mentés és helyreállítás
A biztonsági mentés és a helyreállítás olyan vezérlőket fed le, amelyek biztosítják a különböző szolgáltatási szinteken végrehajtott adatok és konfigurációk biztonsági mentését, ellenőrzését és védelmét.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
CIS-vezérlők v8-as azonosító(i) | NIST SP 800-53 r4 azonosító(k) | PCI-DSS-azonosító(k) 3.2.1-es |
---|---|---|
11.2 | CP-2, CP-4, CP-9 | N/A |
Biztonsági elv: Az üzleti kritikus fontosságú erőforrások biztonsági mentésének biztosítása az erőforrások létrehozása során, vagy a meglévő erőforrások szabályzatával kikényszeríteni.
Azure-útmutató: Támogatott Azure Backup esetében engedélyezze a Azure Backup és konfigurálja a biztonsági mentési forrást (például Azure-beli virtuális gépeket, SQL Server-t, HANA-adatbázisokat vagy fájlmegosztásokat) a kívánt gyakorisággal és megőrzési időtartammal. Az Azure-beli virtuális gépeken a Azure Policy a biztonsági mentést a Azure Policy.
A nem támogatott erőforrások Azure Backup engedélyezze a biztonsági mentést az erőforrás létrehozásának részeként. Ahol lehetséges, használjon beépített szabályzatokat (Azure Policy) annak biztosításához, hogy az Azure-erőforrások konfigurálva vannak a biztonsági mentéshez.
Megvalósítás és további kontextus:
- A Azure Backup
- Biztonsági mentés automatikus engedélyezése a virtuális gép Azure Policyval végzett létrehozásakor
Az ügyfélbiztonsággal kapcsolatos érdekelt felek (További információ):
- Szabályzat és szabványok
- Biztonsági architektúra
- Infrastruktúra és végpontbiztonság
- Incidens előkészítése
BR-2: Biztonsági mentési és helyreállítási adatok védelme
CIS-vezérlők v8-as azonosító(i) | NIST SP 800-53 r4 azonosító(k) | PCI-DSS-azonosító(k) 3.2.1-es |
---|---|---|
11,3 | CP-6, CP-9 | 3.4 |
Biztonsági elv: Győződjön meg arról, hogy a biztonsági másolatok adatai és műveletei védve vannak az adatok kiszivárgása, az adatok feltörése, zsarolóprogramok/kártevők és rosszindulatú belső támadók ellen. Az alkalmazandó biztonsági vezérlők közé tartozik a felhasználói és hálózati hozzáférés-vezérlés, az adattitkosítás az in-rest és az átvitel alatt.
Azure-útmutató: Az Azure RBAC és a többtényezős hitelesítés használatával biztosíthatja a kritikus fontosságú Azure Backup (például törlés, megőrzés módosítása, biztonsági mentési konfiguráció frissítései). Támogatott Azure Backup esetén használja az Azure RBAC-t a feladatok elkülönítéséhez és a aprólékos hozzáférés engedélyezéséhez, és hozzon létre privát végpontokat az Azure Virtual Network-ben az adatok biztonságos biztonsági mentéséhez és visszaállításához a Recovery Services-tárolókból.
A Azure Backup erőforrások esetén a biztonsági mentési adatok titkosítása automatikusan megtörténik az Azure platform által felügyelt, 256 bites AES-titkosítással. A biztonsági másolatokat ügyfél által kezelt kulccsal is titkosíthatja. Ebben az esetben győződjön meg arról, hogy ez az ügyfél által felügyelt kulcs az Azure Key Vault is a biztonsági mentés hatókörében van. Ha felhasználó által felügyelt kulcsbeállításokat használ, az Azure Key Vault a kulcsok véletlen vagy rosszindulatú törlése ellen a törlés és végleges törlés elleni védelemmel. A helyszíni biztonsági mentések Azure Backup az Ön által megadott jelszóval biztosítják az adattitkosítást.
A biztonsági másolatok adatainak véletlen vagy rosszindulatú törlése (például zsarolóprogram-támadások/a biztonsági mentési adatok titkosítására vagy illetéktelenül történő illetéktelenül való illetéktelenül való módosítására tett kísérletek) védelme. Támogatott Azure Backup esetén engedélyezze a helyreállítható törlést, hogy a jogosulatlan törlést követően legfeljebb 14 napig biztosítsa az adatvesztés nélküli elemek helyreállítását, és engedélyezze a többtényezős hitelesítést a Azure Portal. Engedélyezze a régiók közötti visszaállítást is, hogy az elsődleges régióban katasztrófa esetén a biztonsági mentési adatok visszaállíthatók.
Megjegyzés: Ha az erőforrás natív biztonsági mentési funkcióját vagy a biztonsági mentési szolgáltatásokat használja a Azure Backup-t kivéve, a fenti vezérlők megvalósításához tekintse meg az Azure biztonsági teljesítménytesztet (és a szolgáltatás alapkonfigurációit).
Megvalósítás és további kontextus:
- A biztonsági szolgáltatások áttekintése a Azure Backup
- Biztonsági mentési adatok titkosítása ügyfelek által felügyelt kulcsok használatával
- Biztonsági funkciók a hibrid biztonsági mentések támadások elleni védelméhez
- Azure Backup – régiók közötti visszaállítás beállítása
Az ügyfélbiztonsággal kapcsolatos érdekelt felek (További információ):
BR-3: Biztonsági másolatok figyelése
CIS-vezérlők v8-as azonosító(i) | NIST SP 800-53 r4 azonosító(k) | PCI-DSS-azonosító(k) 3.2.1-es |
---|---|---|
11,3 | CP-9 | N/A |
Biztonsági elv: Győződjön meg arról, hogy az üzleti kritikus fontosságú védett erőforrások megfelelnek a meghatározott biztonsági mentési szabályzatnak és szabványnak.
Azure-útmutató: Az Azure-környezet figyelése annak biztosításához, hogy az összes kritikus fontosságú erőforrás biztonsági mentés szempontjából megfelelő legyen. Használja az Azure-szabályzatokat a biztonsági mentéshez az ilyen vezérlés naplózása és kényszerítés érdekében. A Azure Backup erőforrásokhoz: A Backup Center segít központilag szabályozni a biztonsági mentési tulajdont.
Győződjön meg arról, hogy a kritikus biztonsági mentési műveletek (törlés, megőrzés módosítása, biztonsági mentés konfigurációfrissítései) monitorozása, naplózása és riasztások beállítása történik. A Azure Backup erőforrásokhoz monitorozhatja a biztonsági mentések általános állapotát, riasztást kap a kritikus biztonsági mentési incidensek esetén, valamint naplózhatja a tárolókon a felhasználó által aktivált műveleteket.
Megvalósítás és további kontextus:
- Biztonsági mentések szabályozása a Backup Centerrel
- Biztonsági mentések monitorozása és üzemeltetése a Backup Centerrel
- Monitorozási és jelentéskészítési megoldások Azure Backup
Az ügyfélbiztonsággal kapcsolatos érdekelt felek (További információ):
BR-4: Rendszeres biztonsági mentés tesztelése
CIS-vezérlők v8-as azonosító(i) | NIST SP 800-53 r4 azonosító(k) | PCI-DSS-azonosító(k) 3.2.1-es |
---|---|---|
11,5 | CP-4, CP-9 | N/A |
Biztonsági elv: Rendszeresen végezzen adat-helyreállítási teszteket a biztonsági mentésen annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági másolatok rendelkezésre állása megfelel-e az RTO (helyreállítási időre vonatkozó célkitűzés) és az RPO (helyreállítási idő célkitűzése) által meghatározott helyreállítási igényeknek.
Azure-útmutató: Rendszeresen végezzen adat-helyreállítási teszteket a biztonsági mentésen annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági másolatok rendelkezésre állása megfelel-e az RTO-ban és RPO-ban meghatározott helyreállítási igényeknek.
Előfordulhat, hogy meg kell határoznia a biztonsági mentési helyreállítási teszt stratégiáját, beleértve a teszt hatókörét, gyakoriságát és metódusát, mivel a teljes helyreállítási teszt minden alkalommal nehéz lehet.
Megvalósítás és további kontextus:
- Fájlok helyreállítása az Azure-beli virtuális gépek biztonsági másolatából
- A kulcskulcsok Key Vault az Azure-ban
Az ügyfélbiztonsággal kapcsolatos érdekelt felek (További információ):