Sicherheitskontrolle v3: Sicherung und Wiederherstellung
Sicherung und Wiederherstellung umfasst Steuerelemente, um sicherzustellen, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen ausgeführt, überprüft und geschützt werden.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
Sicherheitsprinzip: Sicherung geschäftskritischer Ressourcen sicherstellen, entweder während der Ressourcenerstellung oder durch die Richtlinie für vorhandene Ressourcen.
Azure-Leitfaden: Für unterstützte Azure Backup-Ressourcen aktivieren Sie Azure Backup, und konfigurieren Sie die Sicherungsquelle (z. B. Azure VMs, SQL Server, HANA-Datenbanken oder Dateifreigaben) für die gewünschte Häufigkeit und Aufbewahrungsdauer. Für azure-VM können Sie die Azure-Richtlinie verwenden, um die Sicherung automatisch mithilfe der Azure-Richtlinie aktiviert zu haben.
Aktivieren Sie für Ressourcen, die von Azure Backup nicht unterstützt werden, die Sicherung als Teil der Ressourcenerstellung. Verwenden Sie gegebenenfalls integrierte Richtlinien (Azure-Richtlinie), um sicherzustellen, dass Ihre Azure-Ressourcen für die Sicherung konfiguriert sind.
Implementierung und zusätzlicher Kontext:
- Aktivieren von Azure Backup
- Automatisches Aktivieren der Sicherung bei der VM-Erstellung mithilfe von Azure Policy
Kundensicherheits-Interessenträger (Erfahren Sie mehr):
- Richtlinien und Standards
- Sicherheitsarchitektur
- Infrastruktur- und Endpunktsicherheit
- Vorfallvorbereitung
BR-2: Schützen von Sicherungs- und Wiederherstellungsdaten
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Sicherheitsprinzip: Sicherstellen, dass Sicherungsdaten und -vorgänge vor Datenexfiltration, Datenkompromittierung, Ransomware/Schadsoftware und böswilligen Insidern geschützt sind. Die Sicherheitskontrollen, die angewendet werden sollten, umfassen die Benutzer- und Netzwerkzugriffskontrolle sowie die Verschlüsselung von Daten im Ruhezustand und während der Übertragung.
Azure-Leitfaden: Verwenden von Azure RBAC und mehrstufiger Authentifizierung zum Sichern der kritischen Azure Backup-Vorgänge (z. B. Löschen, Ändern der Aufbewahrung, Aktualisierungen der Sicherungskonfiguration). Für von Azure Backup unterstützte Ressourcen verwenden Sie Azure RBAC, um Aufgaben zu trennen und einen differenzierten Zugriff zu ermöglichen, und private Endpunkte in Ihrem virtuellen Azure-Netzwerk zu erstellen, um Daten geschützt in Ihren Recovery Services-Tresoren zu sichern und daraus wiederherzustellen.
Bei von Azure Backup unterstützten Ressourcen werden Sicherungsdaten automatisch mit azure plattformverwalteten Schlüsseln mit 256-Bit-AES-Verschlüsselung verschlüsselt. Sie können auch die Sicherungen mithilfe des vom Kunden verwalteten Schlüssels verschlüsseln. Stellen Sie in diesem Fall sicher, dass sich dieser vom Kunden verwaltete Schlüssel im Azure Key Vault auch im Sicherungsbereich befindet. Wenn Sie vom Kunden verwaltete Schlüsseloptionen verwenden, verwenden Sie soft delete and purge protection in Azure Key Vault, um Schlüssel vor versehentlicher oder böswilliger Löschung zu schützen. Für lokale Sicherungen mit Azure Backup erfolgt eine Verschlüsselung im Ruhezustand über die bereitgestellte Passphrase.
Schützen Sie Sicherungsdaten vor versehentlicher oder böswilliger Löschung (z. B. Ransomware-Angriffe/Versuche, Sicherungsdaten zu verschlüsseln oder zu manipulieren). Aktivieren Sie für azure Backup unterstützte Ressourcen das vorläufige Löschen, um die Wiederherstellung von Elementen ohne Datenverlust für bis zu 14 Tage nach einem nicht autorisierten Löschen sicherzustellen und die mehrstufige Authentifizierung mithilfe einer im Azure-Portal generierten PIN zu aktivieren. Aktivieren Sie außerdem die regionsübergreifende Wiederherstellung, um sicherzustellen, dass Sicherungsdaten wiederhergestellt werden können, wenn es eine Katastrophe in der primären Region gibt.
Hinweis: Wenn Sie das systemeigene Sicherungsfeature der Ressource oder andere Sicherungsdienste als Azure Backup verwenden, verweisen Sie auf die Azure Security Benchmark (und Dienstbasispläne), um die oben genannten Steuerelemente zu implementieren.
Implementierung und zusätzlicher Kontext:
- Übersicht über Sicherheitsfeatures in Azure Backup
- Verschlüsselung von Sicherungsdaten mithilfe von vom Kunden verwalteten Schlüsseln
- Sicherheitsfeatures zum Schutz von Hybridsicherungen vor Angriffen
- Azure Backup – Festlegen der regionsübergreifenden Wiederherstellung
Stakeholder für Kundensicherheit (Mehr erfahren):
BR-3: Backups überwachen
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
Sicherheitsprinzip: Sicherstellen, dass alle unternehmenskritischen schutzfähigen Ressourcen mit der definierten Sicherungsrichtlinie und dem definierten Standard kompatibel sind.
Azure-Leitfaden: Überwachen Ihrer Azure-Umgebung, um sicherzustellen, dass alle wichtigen Ressourcen aus Sicherungsperspektive konform sind. Verwenden Sie Azure-Richtlinien für die Sicherung, um diese Kontrolle zu überwachen und zu erzwingen. Für unterstützte Azure Backup-Ressourcen: Das Backup Center hilft Ihnen dabei, Ihren Sicherungsbestand zentral zu steuern.
Stellen Sie sicher, dass wichtige Sicherungsvorgänge (Löschen, Ändern der Aufbewahrung, Aktualisierungen der Sicherungskonfiguration) überwacht, geprüft und mit Benachrichtigungen versehen sind. Überwachen Sie für von Azure Backup unterstützte Ressourcen die allgemeine Integrität der Sicherung, empfangen Sie Warnungen zu kritischen Sicherungsvorfällen und überwachen Sie vom Benutzer ausgelöste Aktionen in Tresoren.
Implementierung und zusätzlicher Kontext:
- Verwalten Ihres Sicherungsbestands mithilfe von Backup Center-
- Überwachen und Betreiben von Sicherungen mithilfe des Sicherungscenters
- Überwachungs- und Berichtslösungen für Azure Backup
Kundensicherheitsinteressenten (Weitere Informationen):
BR-4: Regelmäßiges Testen der Sicherung
| CIS Controls v8-ID(s) | ID(s) von NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
Sicherheitsprinzip: führen regelmäßig Datenwiederherstellungstests Ihrer Sicherung durch, um zu überprüfen, ob die Sicherungskonfigurationen und die Verfügbarkeit der Sicherungsdaten den Wiederherstellungsanforderungen entsprechen, wie in der RTO (Recovery Time Objective) und RPO (Recovery Point Objective) definiert.
Azure-Leitfaden: Führen Sie regelmäßig Datenwiederherstellungstests Ihrer Sicherung durch, um zu überprüfen, ob die Sicherungskonfigurationen und die Verfügbarkeit der Sicherungsdaten den Wiederherstellungsanforderungen entsprechen, wie in RTO und RPO definiert.
Möglicherweise müssen Sie Ihre Backup-Wiederherstellungsteststrategie definieren, einschließlich des Testumfangs, der Häufigkeit und der Methode, da die durchführung des vollständigen Wiederherstellungstests jedes Mal schwierig sein kann.
Implementierung und zusätzlicher Kontext:
- Wiederherstellen von Dateien aus der Azure Virtual Machine-Sicherung
- Wiederherstellen von Key Vault-Schlüsseln in Azure
Kundensicherheitsbeteiligte (Mehr erfahren):