安全性控制:備份和復原
備份和復原涵蓋控制項,以確保在不同服務層級執行、驗證及保護的資料和組態備份。
BR-1:確保定期自動備份
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 11.2 | CP-2、CP-4、CP-9 | N/A |
安全性原則:確保在資源建立期間備份業務關鍵資源,或透過現有資源的原則強制執行。
Azure 指引:針對Azure 備份支援的資源 (,例如 Azure VM、SQL Server、HANA 資料庫、Azure PostgreSQL 資料庫、檔案共用、Blob 或磁片) 、啟用Azure 備份並設定所需的頻率和保留期間。 針對 Azure VM,您可以使用 Azure 原則,使用 Azure 原則 自動啟用備份。
對於Azure 備份不支援的資源或服務,請使用資源或服務所提供的原生備份功能。 例如,Azure 金鑰保存庫提供原生備份功能。
對於Azure 備份或原生備份功能不支援的資源/服務,請評估您的備份和災害需求,並根據您的業務需求建立您自己的機制。 例如:
- 如果您使用 Azure 儲存體來儲存資料儲存體,請為儲存體 Blob 啟用 Blob 版本控制,讓您能夠保留、擷取和還原儲存在 Azure 儲存體中的每個物件版本。
- 服務組態設定通常可以匯出至 Azure Resource Manager範本。
Azure 實作和其他內容:
AWS 指引:針對 AWS 備份支援的資源 (,例如 EC2、S3、EBS 或 RDS) ,請啟用 AWS 備份並設定所需的頻率和保留期間。
對於 AWS 備份不支援的資源/服務,例如 AWS KMS,請在建立資源時啟用原生備份功能。
對於 AWS 備份不支援的資源/服務,也沒有任何原生備份功能,請評估您的備份和災害需求,並根據您的業務需求建立您自己的機制。 例如:
- 如果 Amazon S3 用於資料儲存體,請為儲存體備份組啟用 S3 版本控制,可讓您保留、擷取和還原儲存在您 S3 貯體中的每個物件版本。
- 服務組態設定通常可以匯出至 CloudFormation 範本。
AWS 實作和其他內容:
- AWS 備份支援的資源和協力廠商應用程式 Amazon S3 版本控制: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- AWS CloudFormation 最佳做法
GCP 指引:針對 Google Cloud Backup 支援的資源, (例如電腦引擎、雲端儲存體和容器) ,啟用 GCP 備份並設定所需的頻率和保留期間。
對於 Google Cloud Backup 不支援的資源或服務,請使用資源或服務所提供的原生備份功能。 例如,秘密管理員提供原生備份功能。
對於 Google Cloud Backup 不支援的資源/服務,也沒有原生備份功能,請評估您的備份和災害需求,並根據您的業務需求建立您自己的機制。 例如:
- 如果您使用 Google Storage 進行備份資料儲存,請為物件版本設定啟用儲存體版本設定,讓您保留、擷取及還原儲存在 Google Storage 中的每個物件版本。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
BR-2:保護備份和復原資料
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 11.3 | CP-6、CP-9 | 3.4 |
安全性準則:確保備份資料和作業受到保護,防止資料外泄、資料入侵、勒索軟體/惡意程式碼和惡意測試人員。 應套用的安全性控制包括使用者和網路存取控制、待用資料和傳輸中的資料加密。
Azure 指引:使用多重要素驗證和 Azure RBAC 來保護重要的Azure 備份作業, (例如刪除、變更保留、備份組態的更新) 。 如需Azure 備份支援的資源,請使用 Azure RBAC 來隔離職責,並啟用精細的存取權,並在 Azure 虛擬網路內建立私人端點,以安全地從復原服務保存庫備份和還原資料。
針對Azure 備份支援的資源,備份資料會使用具有 256 位 AES 加密的 Azure 平臺管理金鑰自動加密。 您也可以選擇使用客戶管理的金鑰來加密備份。 在此情況下,請確定 Azure 金鑰保存庫中的客戶自控金鑰也位於備份範圍內。 如果您使用客戶管理的金鑰,請在 Azure 金鑰保存庫中使用虛刪除和清除保護,以保護金鑰免于意外或惡意刪除。 針對使用 Azure 備份 的內部部署備份,會使用您提供的複雜密碼來提供待用加密。
保護備份資料免于意外或惡意刪除,例如勒索軟體攻擊/嘗試加密或竄改備份資料。 針對Azure 備份支援的資源,請啟用虛刪除,以確保在未經授權的刪除後最多 14 天內復原專案,並使用在Azure 入口網站中產生的 PIN 啟用多重要素驗證。 同時啟用異地備援儲存體或跨區域還原,以確保在主要區域中發生災害時,備份資料可還原。 您也可以啟用區域備援儲存體 (ZRS) ,以確保備份可在區域性失敗期間還原。
注意:如果您使用資源原生備份功能或Azure 備份以外的備份服務,請參閱 Microsoft Cloud Security Benchmark (和服務基準) 來實作上述控制項。
Azure 實作和其他內容:
AWS 指引:使用 AWS IAM 存取控制來保護 AWS 備份。 這包括保護 AWS 備份服務存取和備份和還原點。 範例控制項包括:
- 使用多重要素驗證 (MFA) 進行重要作業,例如刪除備份/還原點。
- 使用安全通訊端層 (SSL) /傳輸層安全性 (TLS) 與 AWS 資源通訊。
- 使用 AWS KMS 搭配 AWS 備份,使用客戶管理的 CMK 或與 AWS 備份服務相關聯的 AWS 受控 CMK 來加密備份資料。
- 使用 AWS 備份保存庫鎖定來儲存重要資料的不可變。
- 透過存取原則、停用公用存取、強制執行待用資料加密和版本控制來保護 S3 貯體。
AWS 實作和其他內容:
GCP 指引:使用具有最增強式驗證的專用帳戶來執行重要的備份和復原作業,例如刪除、變更保留、備份組態的更新。這可保護備份資料免于意外或惡意刪除,例如勒索軟體攻擊/嘗試加密或竄改備份資料。
針對 GCP 備份支援的資源,請使用具有角色和許可權的 Google IAM 來隔離職責,並啟用細微存取,並設定私人服務存取與 URL 的連線,以安全地從備份/復原設備備份和還原資料。
根據預設,備份資料會在平台層級使用進階加密標準 (AES) 演算法 AES-256 自動加密。
注意:如果您使用資源原生備份功能或 GCP 備份以外的備份服務,您應該參考個別的指導方針來實作安全性控制。 例如,您也可以在 VM 實例資源上設定 deletionProtection 屬性,以保護特定 VM 實例免于刪除。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
BR-3:監視備份
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
安全性準則:確定所有業務關鍵可保護的資源都符合定義的備份原則和標準。
Azure 指引:監視您的 Azure 環境,以確保從備份的觀點來看,所有重要資源都符合規範。 使用Azure 原則進行備份,以稽核並強制執行這類控制項。 針對Azure 備份支援的資源,備份中心可協助您集中控管備份資產。
確保重要備份作業 (刪除、變更保留、備份組態的更新) 受到監視、稽核,並備妥警示。 如需Azure 備份支援的資源,請監視整體備份健康情況、收到重大備份事件的警示,以及稽核保存庫上觸發的使用者動作。
注意:如果適用,也請使用內建原則 (Azure 原則) ,以確保您的 Azure 資源已設定為備份。
Azure 實作和其他內容:
AWS 指引:AWS備份可與其他 AWS 工具搭配運作,讓您能夠監視其工作負載。 這些工具包括下列項目:
- 使用 AWS 備份稽核管理員來監視備份作業,以確保合規性。
- 使用 CloudWatch 和 Amazon EventBridge 來監視 AWS 備份程式。
- 使用 CloudWatch 來追蹤計量、建立警示,以及檢視儀表板。
- 使用 EventBridge 來檢視和監視 AWS 備份事件。
- 使用 Amazon Simple Notification Service (Amazon SNS) 訂閱 AWS 備份相關主題,例如備份、還原和複製事件。
AWS 實作和其他內容:
- AWS 備份監視
- 使用 EventBridge 監視 AWS 備份事件
- 使用 CloudWatch 監視 AWS 備份計量
- 使用 Amazon SNS 追蹤 AWS 備份事件
- 使用 AWS 備份稽核管理員稽核備份和建立報告
GCP 指引:監視您的備份和災害復原環境,以確保從備份的觀點來看,所有重要資源都符合規範。 使用組織原則進行備份,以稽核及強制執行這類控制措施。 針對 GCP 備份支援的資源,管理主控台可協助您集中控管備份資產。
確保重要備份作業 (刪除、變更保留、備份組態的更新) 受到監視、稽核,並備妥警示。 針對 GCP 備份支援的資源,請監視整體備份健康情況、收到重大備份事件的警示,以及稽核觸發的使用者動作。
注意:如果適用,也請使用內建原則 (組織原則) ,以確保您的 Google 資源已設定為備份。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :
BR-4:定期測試備份
| CIS 控制項 v8 識別碼 () | NIST SP 800-53 r4 識別碼 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 11.5 | CP-4、CP-9 | N/A |
安全性準則:定期執行備份的資料復原測試,以確認備份資料的備份設定和可用性符合復原需求,如 RTO (復原時間目標) 和 RPO (復原點目標) 。
Azure 指引:定期執行備份的資料復原測試,以確認備份資料的備份設定和可用性符合 RTO 和 RPO 中所定義的復原需求。
您可能需要定義備份復原測試策略,包括測試範圍、頻率和方法,因為每次執行完整復原測試可能會很困難。
Azure 實作和其他內容:
AWS 指引:定期執行備份的資料復原測試,以確認備份資料的備份設定和可用性符合 RTO 和 RPO 中所定義的復原需求。
您可能需要定義備份復原測試策略,包括測試範圍、頻率和方法,因為每次執行完整復原測試可能會很困難。 AWS 實作和其他內容:
GCP 指引:定期執行備份的資料復原測試,以確認備份資料的備份設定和可用性符合 RTO 和 RPO 中所定義的復原需求。
您可能需要定義備份復原測試策略,包括測試範圍、頻率和方法,因為每次執行完整復原測試可能會很困難。
GCP 實作和其他內容:
客戶安全性專案關係人 (深入瞭解) :