Security Control v3: Backup and recovery (Kontrola zabezpieczeń w wersji 3: tworzenie kopii zapasowych i odzyskiwanie)
Tworzenie kopii zapasowych i odzyskiwanie obejmuje mechanizmy kontroli, które zapewniają wykonywanie, weryfikowanie i ochronę kopii zapasowych danych i konfiguracji w różnych warstwach usług.
BR-1: Zapewnianie regularnych automatycznych kopii zapasowych
| Identyfikatory kontrolek CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | Nie dotyczy |
Zasada zabezpieczeń: Zapewnij tworzenie kopii zapasowych zasobów o krytycznym znaczeniu dla firmy podczas tworzenia zasobów lub wymuszania ich za pomocą zasad dla istniejących zasobów.
Wskazówki dotyczące platformy Azure: W przypadku Azure Backup obsługiwanych zasobów włącz usługę Azure Backup i skonfiguruj źródło kopii zapasowej (takie jak maszyny wirtualne platformy Azure, SQL Server, bazy danych HANA lub udziały plików) z odpowiednią częstotliwością i okresem przechowywania. W przypadku maszyny wirtualnej platformy Azure możesz użyć Azure Policy, aby automatycznie włączyć kopię zapasową przy użyciu Azure Policy.
W przypadku zasobów, Azure Backup przez program , włącz kopię zapasową w ramach tworzenia zasobów. Jeśli ma to zastosowanie, użyj zasad wbudowanych (Azure Policy), aby upewnić się, że zasoby platformy Azure są skonfigurowane do tworzenia kopii zapasowych.
Implementacja i dodatkowy kontekst:
- Jak włączyć Azure Backup
- Automatyczne włączanie kopii zapasowych podczas tworzenia maszyny wirtualnej za pomocą usługi Azure Policy
Interesariusze ds. zabezpieczeń klienta (dowiedz się więcej):
- Zasady i standardy
- Architektura zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- Przygotowywanie zdarzeń
BR-2: Ochrona danych kopii zapasowych i odzyskiwania
| Identyfikatory kontrolek CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11,3 | CP-6, CP-9 | 3.4 |
Zasada zabezpieczeń: Upewnij się, że dane kopii zapasowej i operacje są chronione przed eksfiltracją danych, naruszeniami bezpieczeństwa danych, oprogramowaniem wymuszającym okup/złośliwym oprogramowaniem i złośliwymi testerami. Mechanizmy kontroli zabezpieczeń, które należy zastosować, obejmują kontrolę dostępu użytkowników i sieci, szyfrowanie danych w spoczynku i podczas przesyłania.
Wskazówki dotyczące platformy Azure: Użyj kontroli RBAC platformy Azure i uwierzytelniania wieloskładnikowego, aby zabezpieczyć krytyczne operacje Azure Backup (takie jak usuwanie, przechowywanie zmian i aktualizacje konfiguracji kopii zapasowej). W przypadku Azure Backup obsługiwanych zasobów użyj kontroli dostępu na podstawie ról platformy Azure, aby oddzielić obowiązki i włączyć dostęp bardziej precyzyjne, a także utworzyć prywatne punkty końcowe w usłudze Azure Virtual Network w celu bezpiecznego tworzenia kopii zapasowych i przywracania danych z magazynów usługi Recovery Services.
W Azure Backup zasobów dane kopii zapasowej są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure z 256-bitowym szyfrowaniem AES. Możesz również zaszyfrować kopie zapasowe przy użyciu klucza zarządzanego przez klienta. W takim przypadku upewnij się, że ten klucz zarządzany przez klienta w usłudze Azure Key Vault również znajduje się w zakresie kopii zapasowej. Jeśli używasz opcji kluczy zarządzanych przez klienta, użyj funkcji usuwania nieumyślnego i ochrony przed przeczyszczaniem w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem. W przypadku lokalnych kopii zapasowych przy użyciu Azure Backup szyfrowanie danych w spoczynku jest zapewniane przy użyciu podanego hasła.
Zabezpieczanie danych kopii zapasowej przed przypadkowym lub złośliwym usunięciem (na przykład atakami oprogramowania wymuszającego okup/próbami zaszyfrowania lub naruszenia danych kopii zapasowej). W przypadku Azure Backup obsługiwanych zasobów włącz usuwanie nieuprawnione, aby zapewnić odzyskiwanie elementów bez utraty danych przez maksymalnie 14 dni po nieautoryzowanym usunięciu, a następnie włącz uwierzytelnianie wieloskładnikowe przy użyciu numeru PIN wygenerowanego w Azure Portal. Włącz również przywracanie między regionami, aby zapewnić możliwość przywracania danych kopii zapasowej w przypadku awarii w regionie podstawowym.
Uwaga: Jeśli używasz natywnej funkcji tworzenia kopii zapasowych zasobów lub usług kopii zapasowych innych niż Azure Backup, zapoznaj się z testem porównawczym zabezpieczeń platformy Azure (i punktami odniesienia usługi), aby zaimplementować powyższe kontrolki.
Implementacja i dodatkowy kontekst:
- Omówienie funkcji zabezpieczeń w programie Azure Backup
- Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta
- Funkcje zabezpieczeń, które ułatwiają ochronę hybrydowych kopii zapasowych przed atakami
- Azure Backup — ustawianie przywracania między regionami
Interesariusze ds. zabezpieczeń klienta (dowiedz się więcej):
BR-3: Monitorowanie kopii zapasowych
| Identyfikatory kontrolek CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11,3 | CP-9 | Nie dotyczy |
Zasada zabezpieczeń: Upewnij się, że wszystkie zasoby, które można chronić o krytycznym znaczeniu dla firmy, są zgodne ze zdefiniowanymi zasadami i standardami tworzenia kopii zapasowych.
Wskazówki dotyczące platformy Azure: Monitoruj środowisko platformy Azure, aby upewnić się, że wszystkie krytyczne zasoby są zgodne z perspektywy kopii zapasowej. Użyj zasad platformy Azure do tworzenia kopii zapasowych, aby wykonać inspekcję i wymusić taką kontrolę. Na Azure Backup zasobów: Centrum kopii zapasowych pomaga centralnie zarządzać zasobami kopii zapasowych.
Upewnij się, że krytyczne operacje tworzenia kopii zapasowej (usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej) są monitorowane, monitorowane i mają dostępne alerty. Aby Azure Backup obsługiwane zasoby, monitoruj ogólną kondycję kopii zapasowej, otrzymuj alerty o krytycznych zdarzeniach kopii zapasowej, przejmij akcje wyzwalane przez użytkownika w magazynach.
Implementacja i dodatkowy kontekst:
- Zapewnianie ładu w zakresie kopii zapasowych przy użyciu centrum kopii zapasowych
- Monitorowanie i obsługa kopii zapasowych w Centrum kopii zapasowych
- Rozwiązania do monitorowania i raportowania dla Azure Backup
Interesariusze ds. zabezpieczeń klienta (dowiedz się więcej):
BR-4: regularne testowanie kopii zapasowej
| Identyfikatory kontrolek CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | Nie dotyczy |
Zasada zabezpieczeń: Okresowo przeprowadzaj testy odzyskiwania danych kopii zapasowej, aby sprawdzić, czy konfiguracje kopii zapasowej i dostępność danych kopii zapasowej spełniają wymagania dotyczące odzyskiwania zgodnie z definicją w celach czasu odzyskiwania (RTO) i RPO (Cel punktu odzyskiwania).
Wskazówki dotyczące platformy Azure: Okresowo przeprowadzaj testy odzyskiwania danych kopii zapasowej, aby sprawdzić, czy konfiguracje kopii zapasowej i dostępność danych kopii zapasowej spełniają wymagania dotyczące odzyskiwania zgodnie z definicją w celu odzyskiwania i celu czasu odzyskiwania.
Może być konieczne zdefiniowanie strategii testu odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ wykonywanie pełnego testu odzyskiwania za każdym razem może być trudne.
Implementacja i dodatkowy kontekst:
- Jak odzyskać pliki z kopii zapasowej maszyny wirtualnej platformy Azure
- Jak przywrócić klucze Key Vault na platformie Azure
Interesariusze ds. zabezpieczeń klienta (dowiedz się więcej):