安全性控制 v3:備份和復原

  • 發行項

備份和復原涵蓋的控制項,可確保在不同的服務層級執行、驗證和保護資料和設定備份。

BR-1:確保定期自動備份

CIS 控制項 v8 ID (s) NIST SP 800-53 r4 識別碼 (s) PCI-DSS 識別碼 (s) 3.2。1
11.2 CP-2、CP-4、CP-9 N/A

安全性原則: 確保在資源建立期間或透過現有資源的原則強制執行商務關鍵資源的備份。

Azure 指引:針對 Azure 備份支援的資源,請啟用 Azure 備份並設定備份來源 (例如 Azure vm、SQL Server、HANA 資料庫或檔案共用,) 在所需的頻率和保留期限內。 針對 Azure VM,您可以使用 Azure 原則,使用 Azure 原則自動啟用備份。

針對 Azure 備份不支援的資源,請在建立資源時啟用備份。 若適用,請使用內建原則 (Azure 原則) ,以確保您的 Azure 資源已設定為可供備份。

執行和其他內容:

客戶安全性專案關係人 (深入瞭解)

BR-2:保護備份和修復資料

CIS 控制項 v8 ID (s) NIST SP 800-53 r4 識別碼 (s) PCI-DSS 識別碼 (s) 3.2。1
11.3 CP-6、CP-9 3.4

安全性原則: 確保備份資料和作業受到保護,防止資料遭到外泄、資料洩漏、勒索軟體/惡意程式碼和惡意測試人員。 應套用的安全性控制措施包括使用者和網路存取控制、待用資料加密和傳輸中。

Azure 指引:使用 Azure RBAC 和多重要素驗證來保護重要的 Azure 備份作業 (例如刪除、變更保留、備份設定) 的更新。 針對 Azure 備份支援的資源,請使用 azure RBAC 來隔離職責並啟用更細緻的存取,並在您的 Azure 虛擬網路內建立私人端點,以安全地從您的復原服務保存庫備份和還原資料。

針對 Azure 備份支援的資源,系統會使用具有256位 AES 加密的 Azure 平臺管理金鑰自動加密備份資料。 您也可以選擇使用客戶管理的金鑰來加密備份。 在此情況下,請確定 Azure 金鑰保存庫中的客戶管理金鑰也在備份範圍中。 如果您使用客戶管理的金鑰選項,請使用 Azure 金鑰保存庫中的虛刪除和清除保護,以防止金鑰遭到意外或惡意刪除。 針對使用 Azure 備份的內部部署備份,會使用您提供的複雜密碼來提供靜態加密。

保護備份資料免于遭到意外或惡意刪除 (例如勒索軟體攻擊/嘗試加密或篡改備份資料。 針對 Azure 備份支援的資源,請啟用虛刪除,以確保在未經授權刪除後不會遺失資料,且不會遺失資料,並使用 Azure 入口網站中所產生的 PIN 來啟用多重要素驗證。 也可啟用跨區域還原,以確保在主要區域發生損毀時可還原備份資料。

注意:如果您使用資源的原生備份功能或 Azure 備份以外的備份服務,請參閱 Azure 安全性基準測試 (和服務基準) 來執行上述控制項。

執行和其他內容:

客戶安全性專案關係人 (深入瞭解)

BR-3:監視備份

CIS 控制項 v8 ID (s) NIST SP 800-53 r4 識別碼 (s) PCI-DSS 識別碼 (s) 3.2。1
11.3 CP-9 N/A

安全性原則: 確定所有商務關鍵可保護的資源都符合定義的備份原則和標準。

Azure 指引: 監視您的 Azure 環境,以確保您的所有重要資源都符合備份的觀點。 使用 Azure 原則進行備份,以審核和強制執行這類控制。 Azure 備份支援的資源:備份中心可協助您集中管理您的備份資產。

確定備份作業 (刪除、變更保留、備份設定) 的更新、已監視、已進行審核,並有警示。 如 Azure 備份支援的資源、監視整體備份健康情況、取得重大備份事件的警示,請在保存庫上審核使用者觸發的動作。

執行和其他內容:

客戶安全性專案關係人 (深入瞭解)

BR-4:定期測試備份

CIS 控制項 v8 ID (s) NIST SP 800-53 r4 識別碼 (s) PCI-DSS 識別碼 (s) 3.2。1
11.5 CP-4、CP-9 N/A

安全性原則: 定期執行備份的資料修復測試,以確認備份資料的備份設定和可用性符合復原需求,根據 RTO (復原時間目標) 和 RPO (復原點目標) 。

Azure 指引: 定期執行備份的資料修復測試,以確認備份資料的備份設定和可用性符合復原需求,根據 RTO 和 RPO 中的定義。

您可能需要定義備份復原測試策略,包括測試範圍、頻率和方法,因為每次執行完整復原測試可能會很困難。

執行和其他內容:

客戶安全性專案關係人 (深入瞭解)