Security Control V2: Tworzenie kopii zapasowych i odzyskiwanie
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Tworzenie kopii zapasowych i odzyskiwanie obejmuje kontrolki w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione.
Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Tworzenie kopii zapasowych i odzyskiwanie
BR-1: Zapewnianie regularnych automatycznych kopii zapasowych
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| BR-1 | 10.1 | CP-2, CP4, CP-6, CP-9 |
Upewnij się, że tworzysz kopie zapasowe systemów i danych, aby zachować ciągłość działalności biznesowej po nieoczekiwanym zdarzeniu. Powinno to być zdefiniowane przez wszystkie cele celu punktu odzyskiwania (RPO) i celu czasu odzyskiwania (RTO).
Włącz Azure Backup i skonfiguruj źródło kopii zapasowej (takie jak maszyny wirtualne platformy Azure, SQL Server, bazy danych HANA lub udziały plików), a także żądaną częstotliwość i okres przechowywania.
W przypadku wyższego poziomu ochrony można włączyć opcję magazynu geograficznie nadmiarowego, aby replikować dane kopii zapasowej do regionu pomocniczego i odzyskiwać przy użyciu przywracania między regionami.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
BR-2: Szyfrowanie danych kopii zapasowej
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| BR-2 | 10,2 | CP-9 |
Upewnij się, że kopie zapasowe są chronione przed atakami. Powinno to obejmować szyfrowanie kopii zapasowych w celu ochrony przed utratą poufności.
W przypadku kopii zapasowych lokalnych przy użyciu Azure Backup szyfrowanie magazynowane jest udostępniane przy użyciu podanego hasła. W przypadku zwykłych kopii zapasowych usługi platformy Azure dane kopii zapasowych są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure. Możesz wybrać szyfrowanie kopii zapasowych przy użyciu klucza zarządzanego przez klienta. W takim przypadku upewnij się, że ten klucz zarządzany przez klienta w magazynie kluczy również znajduje się w zakresie kopii zapasowej.
Użyj kontroli dostępu opartej na rolach platformy Azure w Azure Backup, usłudze Azure Key Vault lub innych zasobach, aby chronić kopie zapasowe i klucze zarządzane przez klienta. Ponadto można włączyć zaawansowane funkcje zabezpieczeń, aby wymagać uwierzytelniania wieloskładnikowego przed zmianą lub usunięciem kopii zapasowych.
Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta
Jak utworzyć kopię zapasową kluczy Key Vault na platformie Azure
Funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych przed atakami
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| BR-3 | 10,3 | CP-4, CP-9 |
Okresowo przeprowadzaj przywracanie danych kopii zapasowej. Upewnij się, że można przywrócić kopie zapasowe kluczy zarządzanych przez klienta.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
BR-4: Zmniejszanie ryzyka utraty kluczy
| Identyfikator platformy Azure | Kontrolki CIS w wersji 7.1 | Identyfikatory NIST SP 800-53 r4 |
|---|---|---|
| BR-4 | 10.4 | CP-9 |
Upewnij się, że masz środki, aby zapobiec utracie kluczy i odzyskać je. Włącz usuwanie nietrwałe i przeczyść ochronę w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.
Odpowiedzialność: Klient
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):