Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tworzenie kopii zapasowych i odzyskiwanie obejmuje mechanizmy kontroli w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
Zasada bezpieczeństwa: Zapewnij tworzenie kopii zapasowych zasobów krytycznych dla działania firmy zarówno na etapie tworzenia zasobów, jak i poprzez wymuszenie zasad dla istniejących zasobów.
Wskazówki dotyczące platformy Azure: w przypadku zasobów obsługiwanych przez usługę Azure Backup (takich jak maszyny wirtualne platformy Azure, bazy danych SQL Server, bazy danych HANA, baza danych Azure PostgreSQL, udziały plików, obiekty blob lub dyski), włącz usługę Azure Backup i skonfiguruj żądany okres przechowywania. W przypadku maszyny wirtualnej platformy Azure można używać usługi Azure Policy do automatycznego włączania tworzenia kopii zapasowych przy użyciu usługi Azure Policy.
W przypadku zasobów lub usług, które nie są obsługiwane przez usługę Azure Backup, użyj natywnej możliwości tworzenia kopii zapasowej udostępnianej przez zasób lub usługę. Na przykład usługa Azure Key Vault zapewnia natywną możliwość tworzenia kopii zapasowych.
W przypadku zasobów/usług, które nie są obsługiwane przez usługę Azure Backup ani nie mają natywnej możliwości tworzenia kopii zapasowej, oceń potrzeby tworzenia kopii zapasowych i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Na przykład:
- Jeśli używasz usługi Azure Storage do przechowywania danych, włącz wersjonowanie obiektów blob, co pozwoli zachować, pobrać i przywrócić każdą wersję każdego obiektu przechowywanego w usłudze Azure Storage.
- Ustawienia konfiguracji usługi można zwykle eksportować do szablonów usługi Azure Resource Manager.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak włączyć usługę Azure Backup
- Automatyczne włączanie tworzenia kopii zapasowej na maszynie wirtualnej przy użyciu usługi Azure Policy
Wskazówki dotyczące platformy AWS: W przypadku zasobów obsługiwanych przez usługę AWS Backup (takich jak EC2, S3, EBS lub RDS), włącz usługę AWS Backup i skonfiguruj żądaną częstotliwość i okres przechowywania.
W przypadku zasobów/usług nieobsługiwanych przez usługę AWS Backup, takich jak AWS KMS, włącz natywną funkcję tworzenia kopii zapasowej w ramach tworzenia zasobów.
W przypadku zasobów/usług, które nie są obsługiwane przez usługę AWS Backup ani nie mają natywnej możliwości tworzenia kopii zapasowej, oceń potrzeby tworzenia kopii zapasowych i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Na przykład:
- Jeśli usługa Amazon S3 jest używana do przechowywania danych, włącz przechowywanie wersji S3 dla zasobnika magazynu, co pozwoli zachować, pobrać i przywrócić każdą wersję każdego obiektu przechowywanego w zasobniku S3.
- Ustawienia konfiguracji usługi można zwykle eksportować do szablonów CloudFormation.
Implementacja platformy AWS i dodatkowy kontekst:
- Zasoby obsługiwane przez AWS Backup oraz aplikacje innych firm Wersjonowanie Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Najlepsze rozwiązania dotyczące platformy AWS CloudFormation
Wskazówki dotyczące GCP: W przypadku zasobów obsługiwanych przez Google Cloud Backup (takich jak Compute Engine, Cloud Storage i kontenery) włącz GCP Backup i skonfiguruj odpowiednią częstotliwość oraz okres przechowywania.
W przypadku zasobów lub usług, które nie są obsługiwane przez usługę Google Cloud Backup, użyj natywnej możliwości tworzenia kopii zapasowej udostępnianej przez zasób lub usługę. Na przykład usługa Secret Manager zapewnia natywną możliwość tworzenia kopii zapasowych.
W przypadku zasobów/usług, które nie są ani obsługiwane przez usługę Google Cloud Backup, ani nie mają natywnej możliwości tworzenia kopii zapasowej, oceń potrzeby tworzenia kopii zapasowych i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Na przykład:
- Jeśli używasz Google Cloud Storage do przechowywania danych zapasowych, włącz wersjonowanie obiektów, co pozwoli na zachowanie, pobranie i przywrócenie każdej wersji każdego obiektu przechowywanego w Google Cloud Storage.
Implementacja GCP i dodatkowy kontekst:
- Rozwiązania do tworzenia kopii zapasowych i odzyskiwania po awarii za pomocą usługi Google Cloud
- Tworzenie kopii zapasowych na żądanie i zarządzanie nimi
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zasady i standardy
- Architektura zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- Przygotowywanie zdarzenia
BR-2: Ochrona danych kopii zapasowych i odzyskiwania
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Zasada zabezpieczeń: Upewnij się, że dane kopii zapasowej i operacje są chronione przed eksfiltracją danych, naruszeniem zabezpieczeń danych, oprogramowaniem wymuszającym okup/złośliwym oprogramowaniem i złośliwym oprogramowaniem. Mechanizmy kontroli zabezpieczeń, które powinny być stosowane, obejmują kontrolę dostępu użytkowników i sieci, szyfrowanie danych magazynowanych i przesyłanych.
Wskazówki dotyczące platformy Azure: użyj uwierzytelniania wieloskładnikowego oraz Azure RBAC, aby zabezpieczyć krytyczne operacje usługi Azure Backup (takie jak usuwanie, zmiana okresu przechowywania, aktualizacje konfiguracji kopii zapasowych). W przypadku zasobów obsługiwanych przez Azure Backup użyj Azure RBAC, aby rozgraniczyć obowiązki i umożliwić precyzyjny dostęp, oraz utwórz prywatne punkty końcowe w obrębie swojej sieci wirtualnej platformy Azure, aby bezpiecznie tworzyć kopie zapasowe i przywracać dane z magazynów usługi Recovery Services.
W przypadku zasobów obsługiwanych przez usługę Azure Backup dane kopii zapasowej są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure z 256-bitowym szyfrowaniem AES. Możesz również wybrać szyfrowanie kopii zapasowych przy użyciu klucza zarządzanego przez klienta. W takim przypadku upewnij się, że klucz zarządzany przez klienta w usłudze Azure Key Vault również znajduje się w zakresie tworzenia kopii zapasowych. Jeśli używasz klucza zarządzanego przez klienta, zastosuj miękkie usuwanie i ochronę przed oczyszczeniem w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem. W przypadku lokalnych kopii zapasowych szyfrowanie danych w stanie spoczynku jest zapewniane przy użyciu podanego hasła przez usługę Azure Backup.
Ochrona danych kopii zapasowej przed przypadkowym lub złośliwym usunięciem, takich jak ataki oprogramowania wymuszającego okup lub próby zaszyfrowania lub manipulacji danymi kopii zapasowej. W przypadku obsługiwanych zasobów usługi Azure Backup włącz usuwanie nietrwałe, aby zapewnić odzyskiwanie elementów bez utraty danych przez maksymalnie 14 dni po nieautoryzowanym usunięciu i włączyć uwierzytelnianie wieloskładnikowe przy użyciu numeru PIN wygenerowanego w witrynie Azure Portal. Włącz również przechowywanie geograficznie redundantne lub przywracanie danych pomiędzy regionami, aby zapewnić możliwość odtworzenia danych zapasowych w przypadku awarii w regionie podstawowym. Można również włączyć magazyn strefowo nadmiarowy (ZRS), aby zapewnić możliwość przywracania kopii zapasowych podczas awarii strefowych.
Uwaga: jeśli używasz natywnej funkcji tworzenia kopii zapasowej zasobu lub usług kopii zapasowych innych niż Usługa Azure Backup, zapoznaj się z testem porównawczym zabezpieczeń w chmurze firmy Microsoft (i punktami odniesienia usługi), aby zaimplementować powyższe mechanizmy kontroli.
Implementacja platformy Azure i dodatkowy kontekst:
- Omówienie funkcji zabezpieczeń w usłudze Azure Backup
- Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta
- Funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych przed atakami
- Azure Backup — ustawianie przywracania między regionami
Wskazówki dotyczące platformy AWS: Używaj kontroli dostępu AWS IAM, aby zabezpieczyć AWS Backup. Obejmuje to zabezpieczenie dostępu do usługi AWS Backup oraz punktów tworzenia kopii zapasowych i przywracania. Przykładowe kontrolki to:
- Użyj uwierzytelniania wieloskładnikowego (MFA) w przypadku operacji krytycznych, takich jak usunięcie punktu kopii zapasowej/przywracania.
- Użyj protokołu Secure Sockets Layer (SSL)/Transport Layer Security (TLS), aby komunikować się z zasobami platformy AWS.
- Użyj usługi AWS KMS w połączeniu z usługą AWS Backup, aby zaszyfrować dane kopii zapasowej, korzystając z klucza CMK zarządzanego przez klienta lub klucza CMK zarządzanego przez platformę AWS, skojarzonego z usługą AWS Backup.
- Użyj blokady magazynu kopii zapasowych platformy AWS w celu niezmiennego przechowywania krytycznych danych.
- Zabezpieczanie zasobników S3 za pomocą zasad dostępu, wyłączanie dostępu publicznego, wymuszanie szyfrowania danych magazynowanych i kontrola wersji.
Implementacja platformy AWS i dodatkowy kontekst:
- Zabezpieczenia w usłudze AWS Backup
- Najlepsze rozwiązania w zakresie zabezpieczeń dla usługi Amazon S3
Wskazówki dotyczące platformy GCP: używaj dedykowanych kont z najsilniejszym uwierzytelnianiem do wykonywania krytycznych operacji tworzenia kopii zapasowych i odzyskiwania, takich jak usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej. Chroniłoby to dane kopii zapasowej przed przypadkowym lub złośliwym usunięciem, takim jak ataki wymuszającego okup lub próby zaszyfrowania lub naruszenia danych kopii zapasowej.
Dla zasobów obsługiwanych przez GCP Backup użyj Google IAM z odpowiednimi rolami i uprawnieniami, aby rozdzielić obowiązki i umożliwić precyzyjny dostęp, oraz skonfiguruj połączenie dostępu do prywatnych usług z siecią VPC, aby bezpiecznie tworzyć kopie zapasowe i przywracać dane z systemu Backup/Recovery.
Dane kopii zapasowej są domyślnie szyfrowane automatycznie na poziomie platformy przy użyciu algorytmu Advanced Encryption Standard (AES), AES-256.
Uwaga: jeśli używasz natywnej funkcji tworzenia kopii zapasowej zasobu lub usług kopii zapasowych innych niż usługa GCP Backup, należy zapoznać się z odpowiednimi wskazówkami dotyczącymi implementowania mechanizmów kontroli zabezpieczeń. Można na przykład chronić określone wystąpienia maszyn wirtualnych przed usunięciem, ustawiając właściwość deletionProtection na zasobie wystąpienia maszyny wirtualnej.
Implementacja GCP i dodatkowy kontekst:
- Zasady przechowywania i blokady zasad przechowywania
- Usługa tworzenia kopii zapasowych i odzyskiwania po awarii
- Zapobieganie przypadkowemu usunięciu maszyny wirtualnej
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- Przygotowywanie zdarzenia
BR-3: Monitorowanie kopii zapasowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
Zasada zabezpieczeń: Upewnij się, że wszystkie zasoby chronione przez firmę są zgodne ze zdefiniowanymi zasadami i standardami kopii zapasowych.
Wskazówki dotyczące platformy Azure: Monitorowanie środowiska platformy Azure w celu zapewnienia zgodności wszystkich krytycznych zasobów z perspektywy kopii zapasowej. Użyj usługi Azure Policy do tworzenia kopii zapasowych, aby przeprowadzać inspekcję i wymuszać takie kontrolki. W przypadku zasobów obsługiwanych przez Azure Backup, Centrum Kopii Zapasowych pomaga centralnie zarządzać systemem kopii zapasowych.
Upewnij się, że krytyczne operacje tworzenia kopii zapasowych (usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej) są monitorowane, poddawane inspekcji i mają wprowadzone alerty. W przypadku zasobów obsługiwanych przez usługę Azure Backup monitoruj ogólny stan kopii zapasowej, otrzymuj alerty dotyczące krytycznych incydentów związanych z kopiami zapasowymi i przeprowadź audyt wywołanych działań użytkowników w magazynach.
Uwaga: jeśli ma to zastosowanie, użyj również wbudowanych zasad (Azure Policy), aby upewnić się, że zasoby platformy Azure są skonfigurowane do tworzenia kopii zapasowych.
Implementacja platformy Azure i dodatkowy kontekst:
- Zarządzanie infrastrukturą kopii zapasowych przy użyciu Centrum kopii zapasowych
- Monitorowanie i obsługa kopii zapasowych przy użyciu centrum kopii zapasowych
- Rozwiązania do monitorowania i raportowania dla usługi Azure Backup
Wskazówki dotyczące platformy AWS: Usługa AWS Backup współpracuje z innymi narzędziami platformy AWS, aby umożliwić monitorowanie obciążeń. Te narzędzia obejmują następujące elementy:
- Użyj menedżera inspekcji kopii zapasowych platformy AWS, aby monitorować operacje tworzenia kopii zapasowych w celu zapewnienia zgodności.
- Monitorowanie procesów tworzenia kopii zapasowych platform AWS przy użyciu usług CloudWatch i Amazon EventBridge.
- Użyj usługi CloudWatch, aby śledzić metryki, tworzyć alarmy i wyświetlać pulpity nawigacyjne.
- Używanie rozwiązania EventBridge do wyświetlania i monitorowania zdarzeń usługi AWS Backup.
- Użyj usługi Amazon Simple Notification Service (Amazon SNS), aby subskrybować tematy związane z usługą AWS Backup, takie jak tworzenie kopii zapasowych, przywracanie i kopiowanie zdarzeń.
Implementacja platformy AWS i dodatkowy kontekst:
- Monitorowanie kopii zapasowych platformy AWS
- Monitorowanie zdarzeń usługi AWS Backup przy użyciu rozwiązania EventBridge
- Monitorowanie metryk usługi AWS Backup za pomocą usługi CloudWatch
- Śledzenie zdarzeń usługi AWS Backup przy użyciu usługi Amazon SNS
- Przeprowadzanie inspekcji kopii zapasowych i tworzenie raportów za pomocą menedżera inspekcji kopii zapasowych platformy AWS
Wskazówki dotyczące platformy GCP: Monitorowanie środowiska tworzenia kopii zapasowych i odzyskiwania po awarii w celu zapewnienia zgodności wszystkich krytycznych zasobów z perspektywy kopii zapasowej. Użyj zasad organizacyjnych do tworzenia kopii zapasowych, aby przeprowadzić inspekcję i wymusić takie kontrolki. W przypadku zasobów obsługiwanych przez usługę GCP Backup konsola zarządzania pomaga centralnie zarządzać infrastrukturą kopii zapasowych.
Upewnij się, że krytyczne operacje tworzenia kopii zapasowych (usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej) są monitorowane, poddawane inspekcji i mają wprowadzone alerty. W przypadku zasobów obsługiwanych przez usługę GCP Backup monitoruj ogólną kondycję kopii zapasowej, otrzymuj alerty dotyczące krytycznych zdarzeń kopii zapasowych i przeprowadź inspekcję wyzwolonych akcji użytkownika.
Uwaga: jeśli ma to zastosowanie, użyj również wbudowanych zasad (zasad organizacyjnych), aby upewnić się, że zasoby Google są skonfigurowane do tworzenia kopii zapasowych.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
BR-4: Regularne testowanie kopii zapasowej
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
Zasada zabezpieczeń: Okresowo przeprowadzaj testy odzyskiwania danych z kopii zapasowej, aby sprawdzić, czy konfiguracje i dostępność kopii zapasowej spełniają wymogi odzyskiwania zgodnie z definicjami RTO (Recovery Time Objective) i RPO (Recovery Point Objective).
Wskazówki dotyczące platformy Azure: Okresowo przeprowadzaj testy odzyskiwania danych z kopii zapasowych, aby sprawdzić, czy ich konfiguracje i dostępność spełniają potrzeby odzyskiwania zgodnie z wymaganiami RTO i RPO.
Może zaistnieć potrzeba zdefiniowania strategii testowania procesu odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ przeprowadzanie pełnego testu odzyskiwania za każdym razem może być trudne.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak odzyskać pliki z kopii zapasowej maszyny wirtualnej platformy Azure
- Jak przywrócić klucze usługi Key Vault na platformie Azure
Wskazówki dotyczące platformy AWS: Okresowo przeprowadzaj testy odzyskiwania danych z kopii zapasowej, aby upewnić się, że konfiguracje kopii zapasowej oraz dostępność danych spełniają wymagania określone w ramach wskaźników celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO).
Może zaistnieć potrzeba zdefiniowania strategii testowania procesu odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ przeprowadzanie pełnego testu odzyskiwania za każdym razem może być trudne. Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące GCP: Okresowo przeprowadzaj testy kopii zapasowej dla odzyskiwania danych, aby sprawdzić, czy konfiguracje kopii zapasowej i dostępność danych spełniają wymagania odzyskiwania zgodnie z określonym RTO i RPO.
Może zaistnieć potrzeba zdefiniowania strategii testowania procesu odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ przeprowadzanie pełnego testu odzyskiwania za każdym razem może być trudne.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):