Управление безопасностью, версия 3. Резервное копирование и восстановление
Резервное копирование и восстановление охватывает аспекты управления, касающиеся обеспечения выполнения, проверки и защиты резервных копий данных и конфигураций на разных уровнях служб.
BR-1: обеспечение регулярного автоматического резервного копирования
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
11.2 | CP-2, CP-4, CP-9 | Н/Д |
Принцип безопасности. Обеспечьте резервное копирование критически важных для бизнеса ресурсов во время их создания или принудительно с помощью политик для уже существующих ресурсов.
Руководство по Azure. Включите Azure Backup для ресурсов, поддерживающих эту службу, и настройте источник резервного копирования (например, виртуальные машины Azure, SQL Server, базы данных HANA или общие папки) с желаемой частотой и периодом хранения. Для виртуальных машин Azure можно использовать Политику Azure, чтобы автоматически включить резервное копирование.
Для ресурсов, которые не поддерживаются в Azure Backup, включите резервное копирование во время их создания. Если это применимо, используйте встроенные политики (Политику Azure), чтобы убедиться, что для ваших ресурсов Azure настроено резервное копирование.
Реализация и дополнительный контекст:
- Включение Azure Backup
- Автоматическое включение резервного копирования при создании виртуальной машины с использованием Политики Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Политика и стандарты
- Архитектура безопасности
- Безопасность инфраструктуры и конечных точек
- Подготовка инцидентов
BR-2: защита данных резервного копирования и восстановления
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
11,3 | CP-6, CP-9 | 3.4 |
Принцип безопасности. Обеспечьте защиту данных и операций резервного копирования от кражи, компрометации, программ-шантажистов, вредоносных программ и злоумышленников внутри организации. К необходимым элементам управления безопасностью относятся управление доступом на уровне пользователей и сети, а также шифрование неактивных и передаваемых данных.
Руководство по Azure. Используйте RBAC Azure и многофакторную проверку подлинности, чтобы защитить важнейшие операции Azure Backup (например, удаление, изменение хранения и обновления конфигурации резервного копирования). Для ресурсов с поддержкой Azure Backup используйте RBAC Azure для разделения обязанностей и обеспечения детального управления доступом, а также создайте частные конечные точки в своей виртуальной сети Azure для безопасного резервного копирования и восстановления данных из хранилищ Служб восстановления.
Для ресурсов с поддержкой Azure Backup данные резервного копирования автоматически шифруются с помощью ключей, управляемых платформой Azure, с 256-битным алгоритмом шифрования AES. Также можно включить шифрование резервных копий с помощью ключей, управляемых клиентом. В таком случае убедитесь, что этот ключ входит в диапазон резервного копирования Azure Key Vault. Если вы используете ключи, управляемые клиентом, включите обратимое удаление и защиту от очистки в Azure Key Vault, чтобы защитить ключи от случайного или умышленного удаления. Для локальных резервных копий с Azure Backup шифрование неактивных данных выполняется с использованием парольной фразы, которую вы указываете.
Защитите данные резервного копирования от случайного или умышленного удаления (например, от атак программ-шантажистов и попыток зашифровать или незаконно изменить резервные копии). Для ресурсов с поддержкой Azure Backup включите обратимое удаление, чтобы обеспечить восстановление элементов без потери данных в течение 14 дней после несанкционированного удаления, а также многофакторную проверку подлинности с помощью ПИН-кода, создаваемого на портале Azure. Также включите восстановление между регионами, чтобы обеспечить восстановление резервных копий при аварии в основном регионе.
Примечание. Если вы используете собственную возможность ресурса для резервного копирования или другие службы, отличные от Azure Backup, ознакомьтесь с тестированием безопасности Azure (и базовыми параметрами службы), чтобы реализовать описанные выше элементы управления.
Реализация и дополнительный контекст:
- Общие сведения о средствах безопасности в Azure Backup
- Шифрование данных резервного копирования с использованием ключей, управляемых клиентом
- Средства безопасности для защиты гибридных резервных копий
- Включение восстановления между регионами в Azure Backup
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
BR-3: отслеживание резервных копий
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
11,3 | CP-9 | Н/Д |
Принцип безопасности. Убедитесь, что все критически важные для бизнеса защищаемые ресурсы соответствуют стандартам и требованиям заданной политики резервного копирования.
Руководство по Azure. Отслеживайте свою среду Azure, чтобы обеспечить соответствие всех важнейших ресурсов требованиям резервного копирования. Используйте Политики Azure для резервного копирования, чтобы проводить аудит и обеспечивать проверку. Для ресурсов с поддержкой Azure Backup централизованное управление всеми вашими резервными копиями обеспечит Центр резервного копирования.
Убедитесь, что важнейшие операции резервного копирования (удаление, изменение хранения и обновления конфигурации) отслеживаются, проходят аудит и поддерживают оповещения. Для ресурсов с поддержкой Azure Backup отслеживайте общую работоспособность резервных копий, получайте оповещения о критических инцидентах резервного копирования, проводите аудит действий, активированных пользователем в хранилищах.
Реализация и дополнительный контекст:
- Управление резервным хранилищем с помощью Центра резервного копирования
- Мониторинг резервных копий и работа с ними с помощью Центра резервного копирования
- Решения для мониторинга и отчетности для Azure Backup
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Подготовка инцидентов
- Ответственные за управление соответствием требованиям безопасности
BR-4: планомерная проверка резервного копирования
Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
---|---|---|
11,5 | CP-4, CP-9 | Н/Д |
Принцип безопасности. Периодически выполняйте проверки восстановления данных резервного копирования, чтобы обеспечить соответствие конфигураций резервных копий и доступности данных требованиям к восстановлению, описанным в RTO (целевом времени восстановления) и RPO (целевой точке восстановления).
Руководство по Azure. Периодически выполняйте проверки восстановления данных резервного копирования, чтобы обеспечить соответствие конфигураций резервных копий и доступности данных требованиям к восстановлению, описанным в RTO и RPO.
Может потребоваться определение стратегии проверок восстановления резервных копий, включая область, частоту и метод проверок, так как постоянное выполнение полной проверки восстановления является затруднительным.
Реализация и дополнительный контекст:
- Восстановление файлов из резервной копии виртуальной машины Azure
- Как восстановить резервную копию ключей Key Vault в Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):