Controlo de Segurança: Cópia de segurança e recuperação
A Cópia de Segurança e Recuperação abrange controlos para garantir que as cópias de segurança de dados e configuração nos diferentes escalões de serviço são executadas, validadas e protegidas.
BR-1: Garantir cópias de segurança automatizadas regulares
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/D |
Princípio de segurança: garanta a cópia de segurança de recursos críticos para a empresa, quer durante a criação de recursos, quer seja imposta através da política para recursos existentes.
Orientação do Azure: para Azure Backup recursos suportados (como VMs do Azure, SQL Server, bases de dados HANA, Base de Dados PostgreSQL do Azure, Partilhas de Ficheiros, Blobs ou Discos), ative Azure Backup e configure a frequência e o período de retenção pretendidos. Para a VM do Azure, pode utilizar Azure Policy para ativar automaticamente a cópia de segurança com Azure Policy.
Para recursos ou serviços não suportados pelo Azure Backup, utilize a capacidade de cópia de segurança nativa fornecida pelo recurso ou serviço. Por exemplo, o Azure Key Vault fornece uma capacidade de cópia de segurança nativa.
Para recursos/serviços que não são suportados pelo Azure Backup nem têm uma capacidade de cópia de segurança nativa, avalie as suas necessidades de cópia de segurança e desastres e crie o seu próprio mecanismo de acordo com os seus requisitos empresariais. Por exemplo:
- Se utilizar o Armazenamento do Azure para armazenamento de dados, ative o controlo de versões de blobs para os blobs de armazenamento, o que lhe permitirá preservar, obter e restaurar todas as versões de cada objeto armazenado no Armazenamento do Azure.
- Normalmente, as definições de configuração do serviço podem ser exportadas para modelos de Resource Manager do Azure.
Implementação do Azure e contexto adicional:
- Como ativar Azure Backup
- Ativar automaticamente a cópia de segurança no momento da criação da VM com o Azure Policy
Orientação do AWS: para recursos suportados pelo AWS Backup (como EC2, S3, EBS ou RDS), ative a Cópia de Segurança do AWS e configure a frequência pretendida e o período de retenção.
Para recursos/serviços não suportados pelo AWS Backup, como o KMS do AWS, ative a funcionalidade de cópia de segurança nativa como parte da criação do recurso.
Para recursos/serviços que não são suportados pelo AWS Backup nem têm uma capacidade de cópia de segurança nativa, avalie as suas necessidades de cópia de segurança e desastre e crie o seu próprio mecanismo de acordo com os seus requisitos empresariais. Por exemplo:
- Se o Amazon S3 for utilizado para armazenamento de dados, ative o controlo de versões S3 para o seu backet de armazenamento, o que lhe permitirá preservar, obter e restaurar todas as versões de cada objeto armazenado no registo S3.
- Normalmente, as definições de configuração do serviço podem ser exportadas para modelos cloudFormation.
Implementação do AWS e contexto adicional:
- Recursos suportados do AWS Backup e aplicações de terceiros Controlo de versões do Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Melhores práticas do AWS CloudFormation
Documentação de orientação do GCP: para recursos suportados pelo Google Cloud Backup (como Motor de Computador, Armazenamento na Cloud e Contentores), ative a Cópia de Segurança do GCP e configure a frequência e o período de retenção pretendidos.
Para recursos ou serviços não suportados pelo Google Cloud Backup, utilize a capacidade de cópia de segurança nativa fornecida pelo recurso ou serviço. Por exemplo, o Secret Manager fornece uma capacidade de cópia de segurança nativa.
Para recursos/serviços que não são suportados pelo Google Cloud Backup nem têm uma capacidade de cópia de segurança nativa, avalie as suas necessidades de cópia de segurança e desastres e crie o seu próprio mecanismo de acordo com os seus requisitos empresariais. Por exemplo:
- Se utilizar o Google Storage para o armazenamento de dados de cópia de segurança, ative o controlo de versões de armazenamento para o controlo de versões de objetos, o que lhe permitirá preservar, obter e restaurar todas as versões de todos os objetos armazenados no Seu Google Storage.
Implementação do GCP e contexto adicional:
- Soluções de Cópia de Segurança e Recuperação Após Desastre com o Google Cloud
- Criar e gerir cópias de segurança a pedido e automáticas
Intervenientes na segurança do cliente (Saiba mais):
- Política e normas
- Arquitetura de segurança
- Segurança de infraestrutura e pontos finais
- Preparação de incidentes
BR-2: Proteger dados de cópia de segurança e recuperação
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11,3 | CP-6, CP-9 | 3.4 |
Princípio de segurança: certifique-se de que os dados de cópia de segurança e as operações estão protegidos contra a transferência de dados, comprometimento de dados, ransomware/malware e utilizadores maliciosos. Os controlos de segurança que devem ser aplicados incluem controlo de acesso de utilizador e de rede, encriptação de dados inativos e em trânsito.
Orientação do Azure: utilize a autenticação multifator e o RBAC do Azure para proteger as operações de Azure Backup críticas (como eliminar, alterar a retenção, atualizações da configuração da cópia de segurança). Para Azure Backup recursos suportados, utilize o RBAC do Azure para segregar tarefas e permitir um acesso detalhado e criar pontos finais privados no seu Rede Virtual do Azure para fazer cópias de segurança e restaurar dados dos cofres dos Serviços de Recuperação em segurança.
Para Azure Backup recursos suportados, os dados de cópia de segurança são encriptados automaticamente com chaves geridas pela plataforma do Azure com encriptação AES de 256 bits. Também pode optar por encriptar as cópias de segurança com uma chave gerida pelo cliente. Neste caso, certifique-se de que a chave gerida pelo cliente no Azure Key Vault também está no âmbito da cópia de segurança. Se utilizar uma chave gerida pelo cliente, utilize a proteção contra eliminação recuperável e remoção no Azure Key Vault para proteger as chaves contra eliminações acidentais ou maliciosas. Para cópias de segurança no local com Azure Backup, a encriptação inativa é fornecida com a frase de acesso que fornecer.
Proteja os dados de cópia de segurança contra eliminações acidentais ou maliciosas, como ataques de ransomware/tentativas de encriptar ou adulterar dados de cópia de segurança. Para Azure Backup recursos suportados, ative a eliminação recuperável para garantir a recuperação de itens sem perda de dados até 14 dias após uma eliminação não autorizada e ative a autenticação multifator com um PIN gerado no portal do Azure. Ative também o armazenamento georredundante ou o restauro entre regiões para garantir que os dados de cópia de segurança são restauráveis quando ocorre um desastre na região primária. Também pode ativar o Armazenamento com Redundância entre zonas (ZRS) para garantir que as cópias de segurança são restauráveis durante falhas zonais.
Nota: se utilizar a funcionalidade de cópia de segurança nativa de um recurso ou serviços de cópia de segurança que não Azure Backup, consulte a Referência de Segurança da Microsoft Cloud (e linhas de base de serviço) para implementar os controlos acima.
Implementação do Azure e contexto adicional:
- Descrição geral das funcionalidades de segurança no Azure Backup
- Encriptação de dados de cópias de segurança com chaves geridas pelo cliente
- Funcionalidades de segurança para ajudar a proteger as cópias de segurança híbridas contra ataques
- Azure Backup - definir o restauro entre regiões
Orientação do AWS: utilize o controlo de acesso IAM do AWS para proteger a Cópia de Segurança do AWS. Isto inclui proteger o acesso ao serviço AWS Backup e pontos de cópia de segurança e restauro. Os controlos de exemplo incluem:
- Utilize a autenticação multifator (MFA) para operações críticas, como a eliminação de um ponto de cópia de segurança/restauro.
- Utilize Secure Sockets Layer (SSL)/Transport Layer Security (TLS) para comunicar com recursos do AWS.
- Utilize o KMS do AWS em conjunto com a Cópia de Segurança do AWS para encriptar os dados de cópia de segurança através da CMK gerida pelo cliente ou de uma CMK gerida pelo AWS associada ao serviço AWS Backup.
- Utilize o AWS Backup Vault Lock para armazenamento imutável de dados críticos.
- Proteja os registos S3 através da política de acesso, desativando o acesso público, aplicando a encriptação inativa de dados e controlo de controlo de versões.
Implementação do AWS e contexto adicional:
Orientação do GCP: utilize contas dedicadas com a autenticação mais forte para realizar operações de cópia de segurança e recuperação críticas, tais como eliminar, alterar a retenção, atualizações da configuração da cópia de segurança. Isto salvaguardaria os dados de cópia de segurança contra eliminação acidental ou maliciosa, como ataques de ransomware/tentativas de encriptação ou adulteração de dados de cópia de segurança.
Para recursos suportados pela Cópia de Segurança do GCP, utilize o IAM do Google com funções e permissões para segregar tarefas e permitir um acesso detalhado e configurar uma ligação de acesso de serviços privados ao VPC para fazer cópias de segurança e restaurar dados de forma segura a partir da aplicação Cópia de Segurança/Recuperação.
Os dados de cópia de segurança são encriptados automaticamente por predefinição ao nível da plataforma com o algoritmo AES (Advanced Encryption Standard), AES-256.
Nota: se utilizar a funcionalidade de cópia de segurança nativa de um recurso ou serviços de cópia de segurança que não sejam a Cópia de Segurança do GCP, deve consultar a respetiva orientação para implementar os controlos de segurança. Por exemplo, também pode proteger a eliminação de instâncias de VM específicas ao definir a propriedade deletionProtection num recurso de instância de VM.
Implementação do GCP e contexto adicional:
- Políticas de retenção e bloqueios de políticas de retenção
- Serviço de Cópia de Segurança e Recuperação Após Desastre
- Impedir a eliminação acidental da VM
Intervenientes na segurança do cliente (Saiba mais):
BR-3: Monitorizar cópias de segurança
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11,3 | CP-9 | N/D |
Princípio de segurança: certifique-se de que todos os recursos protegidos críticos para a empresa estão em conformidade com a política e a norma de cópia de segurança definidas.
Orientação do Azure: monitorize o ambiente do Azure para garantir que todos os recursos críticos estão em conformidade numa perspetiva de cópia de segurança. Utilize Azure Policy para cópia de segurança para auditar e impor esses controlos. Para Azure Backup recursos suportados, o Centro de Cópias de Segurança ajuda-o a governar centralmente o património da cópia de segurança.
Confirme que as operações de cópia de segurança críticas (eliminar, alterar a retenção, atualizações da configuração da cópia de segurança) são monitorizadas, auditadas e têm alertas implementados. Para Azure Backup recursos suportados, monitorize o estado de funcionamento geral da cópia de segurança, seja alertado para incidentes de cópia de segurança críticos e audite ações de utilizador acionadas em cofres.
Nota: quando aplicável, utilize também políticas incorporadas (Azure Policy) para garantir que os recursos do Azure estão configurados para cópia de segurança.
Implementação do Azure e contexto adicional:
- Administrar as cópias de segurança realizadas através do Centro de Cópias de Segurança
- Monitorizar e trabalhar com cópias de segurança com o Centro de cópias de Segurança
- Soluções de monitorização e relatórios para Azure Backup
Orientação do AWS: o AWS Backup funciona com outras ferramentas do AWS para lhe permitir monitorizar as respetivas cargas de trabalho. Estas ferramentas incluem o seguinte:
- Utilize o Gestor de Auditoria de Cópias de Segurança do AWS para monitorizar as operações de cópia de segurança para garantir a conformidade.
- Utilize o CloudWatch e o Amazon EventBridge para monitorizar os processos de Cópia de Segurança do AWS.
- Utilize o CloudWatch para controlar métricas, criar alarmes e ver dashboards.
- Utilize EventBridge para ver e monitorizar eventos do AWS Backup.
- Utilize o Amazon Simple Notification Service (Amazon SNS) para subscrever tópicos relacionados com a Cópia de Segurança do AWS, como eventos de cópia de segurança, restauro e cópia.
Implementação do AWS e contexto adicional:
- Monitorização da Cópia de Segurança do AWS
- Monitorizar eventos do AWS Backup com EventBridge
- Monitorizar métricas do AWS Backup com o CloudWatch
- Utilizar o Amazon SNS para monitorizar eventos do AWS Backup
- Auditar cópias de segurança e criar relatórios com o Gestor de Auditoria do AWS Backup
Documentação de orientação do GCP: monitorize o ambiente de Cópia de Segurança e Recuperação Após Desastre para garantir que todos os recursos críticos estão em conformidade numa perspetiva de cópia de segurança. Utilize a Política Organizacional para cópia de segurança para auditar e impor esses controlos. Para recursos suportados pela Cópia de Segurança do GCP, a Consola de Gestão ajuda-o a governar centralmente o património da cópia de segurança.
Confirme que as operações de cópia de segurança críticas (eliminar, alterar a retenção, atualizações da configuração da cópia de segurança) são monitorizadas, auditadas e têm alertas implementados. Para recursos suportados pela Cópia de Segurança do GCP, monitorize o estado de funcionamento geral da cópia de segurança, seja alertado para incidentes de cópia de segurança críticos e audite as ações do utilizador acionadas.
Nota: quando aplicável, utilize também políticas incorporadas (Política Organizacional) para garantir que os recursos do Google estão configurados para cópia de segurança.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):
BR-4: Testar regularmente a cópia de segurança
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11,5 | CP-4, CP-9 | N/D |
Princípio de segurança: realize periodicamente testes de recuperação de dados da cópia de segurança para verificar se as configurações de cópia de segurança e a disponibilidade dos dados de cópia de segurança satisfazem as necessidades de recuperação conforme definido no RTO (Objetivo de Tempo de Recuperação) e RPO (Objetivo de Ponto de Recuperação).
Orientação do Azure: realize periodicamente testes de recuperação de dados da cópia de segurança para verificar se as configurações da cópia de segurança e a disponibilidade dos dados de cópia de segurança satisfazem as necessidades de recuperação, conforme definido no RTO e no RPO.
Poderá ter de definir a estratégia de teste de recuperação de cópias de segurança, incluindo o âmbito de teste, a frequência e o método, uma vez que a execução do teste de recuperação completo pode ser difícil.
Implementação do Azure e contexto adicional:
- Como recuperar ficheiros a partir da cópia de segurança da Máquina Virtual do Azure
- Como restaurar chaves de Key Vault no Azure
Orientação do AWS: realize periodicamente testes de recuperação de dados da cópia de segurança para verificar se as configurações de cópia de segurança e a disponibilidade dos dados de cópia de segurança satisfazem as necessidades de recuperação, conforme definido no RTO e RPO.
Poderá ter de definir a estratégia de teste de recuperação de cópias de segurança, incluindo o âmbito de teste, a frequência e o método, uma vez que a execução do teste de recuperação completo pode ser difícil. Implementação do AWS e contexto adicional:
Orientação do GCP: realize periodicamente testes de recuperação de dados da cópia de segurança para verificar se as configurações de cópia de segurança e a disponibilidade dos dados de cópia de segurança satisfazem as necessidades de recuperação conforme definido no RTO e RPO.
Poderá ter de definir a estratégia de teste de recuperação de cópias de segurança, incluindo o âmbito de teste, a frequência e o método, uma vez que a execução do teste de recuperação completo pode ser difícil.
Implementação do GCP e contexto adicional:
Intervenientes na segurança do cliente (Saiba mais):