閱讀英文

共用方式為

安全性控制 v3:備份和復原

  • 發行項

備份和復原涵蓋控制,以確保在不同服務層級執行、驗證及保護的數據和組態備份。

BR-1:確保定期自動備份

CIS 安全控制 v8 ID NIST SP 800-53 r4 識別碼(s) PCI-DSS 標識碼(s) v3.2.1
11.2 CP-2、CP-4、CP-9 N/A

安全性準則: 確保建立資源期間或透過現有資源的原則強制執行業務關鍵資源的備份。

Azure 指引: 針對 Azure 備份支援的資源,啟用 Azure 備份,並在所需的頻率和保留期間上設定備份來源(例如 Azure VM、SQL Server、HANA 資料庫或檔案共用)。 針對 Azure VM,您可以使用 Azure 原則,使用 Azure 原則自動啟用備份。

針對 Azure 備份不支援的資源,請在建立資源時啟用備份。 如果適用,請使用內建原則 (Azure 原則)以確保您的 Azure 資源已設定為備份。

實作和額外的背景資訊:

客戶安全利益相關者(深入瞭解

BR-2:保護備份和復原數據

CIS 控件 v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS 標識碼(s) v3.2.1
11.3 CP-6、CP-9 3.4

安全性原則: 確保備份數據和作業受到保護,免於數據外洩、數據洩露、勒索軟體/惡意代碼和惡意內部人員。 應套用的安全性控制包括使用者和網路訪問控制、待用數據和傳輸中的數據加密。

Azure 指引: 使用 Azure RBAC 和多重要素驗證來保護重要的 Azure 備份作業(例如刪除、變更保留、備份組態的更新)。 針對 Azure 備份支援的資源,請使用 Azure RBAC 來隔離職責,並啟用更細緻的存取權,並在 Azure 虛擬網路中建立私人端點,以安全地從復原服務保存庫備份和還原數據。

針對 Azure 備份支援的資源,備份數據會使用具有 256 位 AES 加密的 Azure 平臺管理密鑰自動加密。 您也可以選擇使用客戶管理的金鑰來加密備份。 在此情況下,請確定 Azure Key Vault 中的這個客戶自控密鑰也位於備份範圍內。 如果您使用客戶管理的金鑰選項,請使用 Azure Key Vault 中的虛刪除和清除保護,以保護金鑰免於意外或惡意刪除。 針對使用 Azure 備份的內部部署備份,會使用您提供的金鑰密語來提供靜態加密。

保護備份數據免於意外或惡意刪除(例如勒索軟體攻擊/嘗試加密或竄改備份數據。 針對 Azure 備份支援的資源,啟用軟刪除,以確保在未經授權的刪除後最多 14 天內能復原項目,並使用 Azure 入口網站中產生的 PIN 啟用多重要素驗證。 同時啟用跨區域還原,以確保在主要區域中發生災害時,備份數據可還原。

注意:如果您使用資源的原生備份功能或 Azure 備份以外的備份服務,請參閱 Azure 安全性效能評定(和服務基準)來實作上述控件。

實作與額外背景資訊:

客戶安全利益相關者(深入瞭解

BR-3:監視備份

CIS 控件 v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS 標識碼(s) v3.2.1
11.3 CP-9 N/A

安全性準則: 確定所有商務關鍵可保護的資源都符合定義的備份原則和標準。

Azure 指引: 監視您的 Azure 環境,以確保所有重要資源都符合備份的觀點。 使用 Azure 原則進行備份,以稽核並強制執行這類控制。 針對 Azure 備份支援的資源:備份中心可協助您集中控管備份資產。

確保重要的備份作業(刪除、變更保留期、備份組態的更新)受到監視、稽核並備妥警示。 針對 Azure 備份支援的資源,監視整體備份健康情況、收到重大備份事件的警示、稽核使用者對保存庫的觸發動作。

實作和額外背景:

客戶安全相關利益關係者(了解詳情

BR-4:定期測試備份

CIS 控制項 v8 ID NIST SP 800-53 r4 ID(識別碼) PCI-DSS 識別碼 v3.2.1
11.5 CP-4、CP-9 N/A

安全性準則: 定期執行備份的數據復原測試,以確認備份數據的備份組態和可用性符合 RTO (復原時間目標) 和 RPO (恢復點目標) 中所定義的復原需求。

Azure 指引: 定期執行備份的數據復原測試,以確認備份數據的備份組態和可用性符合 RTO 和 RPO 中所定義的復原需求。

您可能需要定義您的備份復原測試策略,包括測試範圍、頻率和方法,因為每次執行完整復原測試可能會很困難。

實施與補充背景資訊:

客戶安全性利害關係人(深入瞭解