Säkerhetskontroll v3: Säkerhetskopiering och återställning

  • Artikel

Säkerhetskopiering och återställning omfattar kontroller för att säkerställa att data- och konfigurationssäkerhetskopior på olika tjänstnivåer utförs, verifieras och skyddas.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

CIS-kontroller v8-ID:n NIST SP 800-53 r4 ID(er) PCI-DSS-ID:n v3.2.1
11.2 CP-2, CP-4, CP-9 Ej tillämpligt

Säkerhetsprincip: Se till att du säkerhetskopierar affärskritiska resurser, antingen när resurser skapas eller framtvingas via en princip för befintliga resurser.

Azure-vägledning: För Azure Backup resurser som stöds aktiverar du Azure Backup och konfigurerar säkerhetskopieringskällan (till exempel virtuella Azure-datorer, SQL Server, HANA-databaser eller filresurser) på önskad frekvens och kvarhållningsperiod. För virtuella Azure-datorer kan du använda Azure Policy att automatiskt ha säkerhetskopiering aktiverat med hjälp av Azure Policy.

För resurser som inte stöds av Azure Backup aktiverar du säkerhetskopieringen som en del av dess resursskapande. Använd i förekommande fall inbyggda principer (Azure Policy) för att säkerställa att dina Azure-resurser är konfigurerade för säkerhetskopiering.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

BR-2: Skydda säkerhetskopierings- och återställningsdata

CIS-kontroller v8-ID:n NIST SP 800-53 r4 ID(er) PCI-DSS-ID:n v3.2.1
11,3 CP-6, CP-9 3.4

Säkerhetsprincip: Se till att säkerhetskopierade data och åtgärder skyddas från data exfiltrering, data kompromettering, utpressningstrojaner/skadlig kod och skadliga insiders. Säkerhetskontrollerna som ska tillämpas omfattar åtkomstkontroll för användare och nätverk, datakryptering i vila och under överföring.

Azure-vägledning: Använd Azure RBAC och multifaktorautentisering för att skydda viktiga Azure Backup (till exempel ta bort, ändra kvarhållning, uppdateringar av säkerhetskopieringskonfigurationen). För Azure Backup resurser som stöds använder du Azure RBAC för att åtsegrera uppgifter och aktivera mer information om åtkomst och skapa privata slutpunkter i Azure Virtual Network för att på ett säkert sätt säkerhetskopiera och återställa data från Recovery Services-valv.

För Azure Backup resurser som stöds krypteras säkerhetskopierade data automatiskt med azure-plattformsbaserade nycklar med 256-bitars AES-kryptering. Du kan också välja att kryptera säkerhetskopiorna med hjälp av kund hanterad nyckel. I det här fallet ser du till att den här kund hanterade nyckeln i Azure Key Vault också finns i säkerhetskopieringsomfånget. Om du använder kund hanterade nyckelalternativ använder du mjuk borttagning och rensningsskydd i Azure Key Vault för att skydda nycklar från oavsiktlig eller skadlig borttagning. För lokala säkerhetskopieringar med hjälp Azure Backup tillhandahålls kryptering i vila med hjälp av den lösenfras som du anger.

Skydda säkerhetskopierade data från oavsiktlig eller skadlig borttagning (till exempel utpressningstrojanattacker/försök att kryptera eller manipulera säkerhetskopierade data. För Azure Backup resurser som stöds aktiverar du mjuk borttagning för att säkerställa återställning av objekt utan dataförlust i upp till 14 dagar efter en obehörig borttagning och aktivera multifaktorautentisering med hjälp av en PIN-kod som genererats i Azure Portal. Aktivera även återställning mellan regioner för att säkerställa att säkerhetskopierade data kan återställas vid en katastrof i den primära regionen.

Obs! Om du använder resursens interna säkerhetskopieringsfunktion eller andra säkerhetskopieringstjänster än Azure Backup kan du gå till Azure Security Benchmark (och tjänstbaslinjer) för att implementera kontrollerna ovan.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

BR-3: Övervaka säkerhetskopieringar

CIS-kontroller v8-ID:n NIST SP 800-53 r4 ID(er) PCI-DSS-ID:n v3.2.1
11,3 CP-9 Ej tillämpligt

Säkerhetsprincip: Se till att alla verksamhetskritiska resurser som kan skyddas är kompatibla med den definierade säkerhetskopieringspolicyn och standard.

Azure-vägledning: Övervaka Din Azure-miljö för att säkerställa att alla dina kritiska resurser är kompatibla ur ett säkerhetskopieringsperspektiv. Använd Azure-principer för säkerhetskopiering för att granska och framtvinga sådan kontroll. För Azure Backup resurser som stöds: Backup Center hjälper dig att centralt styra din säkerhetskopieringse egendom.

Se till att kritiska säkerhetskopieringsåtgärder (ta bort, ändra kvarhållning, uppdateringar av säkerhetskopieringskonfigurationen) övervakas, granskas och har aviseringar på plats. För Azure Backup resurser som stöds kan du övervaka den övergripande säkerhetskopieringshälsan, få aviseringar om kritiska säkerhetskopieringsincidenter och granska användarutlösta åtgärder i valv.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

BR-4: Testa regelbundet säkerhetskopiering

CIS-kontroller v8-ID:n NIST SP 800-53 r4 ID(er) PCI-DSS-ID:n v3.2.1
11.5 CP-4, CP-9 Ej tillämpligt

Säkerhetsprincip: Utför regelbundet dataåterställningstester av säkerhetskopian för att kontrollera att säkerhetskopieringskonfigurationerna och tillgängligheten för säkerhetskopierade data uppfyller återställningsbehoven enligt definitionen i RTO (mål för återställningstid) och RPO (mål för återställningspunkt).

Azure-vägledning: Utför regelbundet dataåterställningstester av säkerhetskopian för att kontrollera att säkerhetskopieringskonfigurationerna och tillgängligheten för säkerhetskopierade data uppfyller återställningsbehoven enligt definitionen i RTO och RPO.

Du kan behöva definiera en teststrategi för säkerhetskopieringsåterställning, inklusive testomfång, frekvens och metod eftersom det kan vara svårt att utföra det fullständiga återställningstestet varje gång.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):