Control de seguridad: copia de seguridad y recuperación
Copia de seguridad y recuperación cubre los controles para asegurarse de que se realizan, validan y protegen las copias de seguridad de datos y de configuración en los distintos niveles de servicio.
BR-1: Garantizar copias de seguridad automatizadas normales
| Id. de CIS Controls v8 | IDENTIFICADORES DEL NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
Principio de seguridad : Asegúrese de la copia de seguridad de los recursos críticos para empresa, ya sea durante la creación de recursos o implementados a través de políticas para los recursos existentes.
Guía de Azure: Para los recursos admitidos de Azure Backup (como Máquinas Virtuales de Azure, SQL Server, bases de datos HANA, bases de datos de Azure PostgreSQL, recursos compartidos de archivos, blobs o discos), habilite Azure Backup y configure la frecuencia y el período de retención deseados. En el caso de la máquina virtual de Azure, puede usar Azure Policy para habilitar automáticamente la copia de seguridad mediante Azure Policy.
En el caso de los recursos o servicios no admitidos por Azure Backup, use la funcionalidad de copia de seguridad nativa proporcionada por el recurso o el servicio. Por ejemplo, Azure Key Vault proporciona una funcionalidad de copia de seguridad nativa.
En el caso de los recursos o servicios que no son compatibles con Azure Backup ni tienen una funcionalidad nativa de copia de seguridad, evalúe las necesidades de copia de seguridad y desastres y cree su propio mecanismo según sus requisitos empresariales. Por ejemplo:
- Si usa Azure Storage para el almacenamiento de datos, habilite el control de versiones de blobs para los blobs de almacenamiento, lo que le permitirá conservar, recuperar y restaurar todas las versiones de cada objeto almacenado en Azure Storage.
- Normalmente, las opciones de configuración del servicio se pueden exportar a plantillas de Azure Resource Manager.
implementación de Azure y contexto adicional:
- Habilitación de Azure Backup
- habilitación automática de la copia de seguridad en la creación de máquinas virtuales mediante Azure Policy
guía de AWS: para los recursos compatibles con AWS Backup (como EC2, S3, EBS o RDS), habilite AWS Backup y configure la frecuencia y el período de retención deseados.
Para recursos o servicios no compatibles con AWS Backup, como AWS KMS, habilite la característica de copia de seguridad nativa como parte de su creación de recursos.
En el caso de los recursos o servicios que no son compatibles con AWS Backup ni tienen una funcionalidad nativa de copia de seguridad, evalúe sus necesidades de copia de seguridad y desastres y cree su propio mecanismo según sus requisitos empresariales. Por ejemplo:
- Si Amazon S3 se usa para el almacenamiento de datos, habilite el control de versiones S3 para el cubo de almacenamiento, lo que le permitirá conservar, recuperar y restaurar cada versión de cada objeto almacenado en el cubo S3.
- Normalmente, las opciones de configuración del servicio se pueden exportar a plantillas de CloudFormation.
Implementación y contexto adicional AWS:
- AWS Backup admite recursos y aplicaciones de terceros Control de versiones de Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- procedimientos recomendados de AWS CloudFormation
Guía de GCP: para los recursos admitidos de Google Cloud Backup (como motor de equipo, almacenamiento en la nube y contenedores), habilite la copia de seguridad de GCP y configure la frecuencia y el período de retención deseados.
En el caso de los recursos o servicios no compatibles con Google Cloud Backup, use la funcionalidad de copia de seguridad nativa proporcionada por el recurso o el servicio. Por ejemplo, Secret Manager proporciona una funcionalidad nativa de copia de seguridad.
En el caso de los recursos o servicios que no son compatibles con Google Cloud Backup ni tienen una funcionalidad nativa de copia de seguridad, evalúe sus necesidades de copia de seguridad y desastres y cree su propio mecanismo según sus requisitos empresariales. Por ejemplo:
- Si usa Google Storage para el almacenamiento de datos de copia de seguridad, habilite el control de versiones de almacenamiento para el control de versiones de objetos que le permitirá conservar, recuperar y restaurar todas las versiones de cada objeto almacenado en Google Storage.
Implementación y contexto adicional GCP:
- Soluciones de copia de seguridad y recuperación ante desastres de con Google Cloud
- Crear y administrar copias de seguridad automáticas y a petición
Partes interesadas de la seguridad del cliente (Más información):
- directiva y estándares
- Arquitectura de seguridad
- Seguridad de la infraestructura y de los puntos de conexión
- Preparación de incidentes
BR-2: Proteger los datos de copia de seguridad y recuperación
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
principio de seguridad: asegúrese de que los datos de copia de seguridad y las operaciones están protegidos frente a la filtración de datos, el riesgo de datos, el ransomware/malware y los usuarios internos malintencionados. Los controles de seguridad que se deben aplicar incluyen el control de acceso de usuario y de red, el cifrado de datos en reposo y en tránsito.
Guía de Azure: Use RBAC de Azure y la autenticación multifactor para proteger las operaciones críticas de Azure Backup (como la eliminación, la retención de cambios y las actualizaciones de la configuración de la copia de seguridad). En el caso de los recursos compatibles con Azure Backup, use RBAC de Azure para separar las tareas y habilitar el acceso detallado, y cree puntos de conexión privados en Azure Virtual Network para realizar copias de seguridad y restaurar datos de forma segura desde las bóvedas de Recovery Services.
En el caso de los recursos compatibles con Azure Backup, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma Azure con cifrado AES de 256 bits. También puede optar por cifrar las copias de seguridad mediante una clave administrada por el cliente. En este caso, asegúrese de que la clave administrada por el cliente en Azure Key Vault también está en el ámbito de copia de seguridad. Si usa una clave administrada por el cliente, use la eliminación temporal y la protección de purga en Azure Key Vault para proteger las claves frente a la eliminación accidental o malintencionada. Para las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la frase de contraseña que usted proporcione.
Proteja los datos de copia de seguridad de la eliminación accidental o malintencionada, como ataques de ransomware o intentos de cifrar o alterar los datos de copia de seguridad. En el caso de los recursos compatibles con Azure Backup, habilite la eliminación temporal para garantizar la recuperación de elementos sin pérdida de datos durante un máximo de 14 días después de una eliminación no autorizada y habilitar la autenticación multifactor mediante un PIN generado en Azure Portal. Habilite también el almacenamiento con redundancia geográfica o la restauración entre regiones para asegurarse de que los datos de copia de seguridad se pueden restaurar cuando se produce un desastre en la región primaria. También puede habilitar el almacenamiento con redundancia de zona (ZRS) para asegurarse de que las copias de seguridad se pueden restaurar durante los errores zonales.
Nota: Si usa la característica de copia de seguridad nativa de un recurso o los servicios de copia de seguridad distintos de Azure Backup, consulte Microsoft Cloud Security Benchmark (y líneas base de servicio) para implementar los controles anteriores.
implementación de Azure y contexto adicional:
- Información general de las características de seguridad en Azure Backup
- Cifrado de datos de copia de seguridad mediante claves administradas por el cliente
- Características de seguridad para ayudar a proteger las copias de seguridad híbridas frente a ataques
- Azure Backup - configurar restauración entre regiones
Guía de AWS: Use el control de acceso de AWS IAM para proteger AWS Backup. Esto incluye proteger el acceso al servicio AWS Backup y a los puntos de copia de seguridad y restauración. Los controles de ejemplo incluyen:
- Use la autenticación multifactor (MFA) para operaciones críticas, como la eliminación de un punto de copia de seguridad o restauración.
- Utilice la Capa de sockets seguros (SSL)/Seguridad de la capa de transporte (TLS) para comunicarse con los recursos de AWS.
- Use AWS KMS junto con AWS Backup para cifrar los datos de copia de seguridad mediante CMK administrado por el cliente o una CMK administrada por AWS asociada al servicio AWS Backup.
- Use el bloqueo de AWS Backup Vault para el almacenamiento inmutable de datos críticos.
- Proteja los cubos de S3 mediante la política de acceso, deshabilitando el acceso público, aplicando el cifrado de datos en reposo y el control de versiones.
implementación de AWS y contexto adicional
- Seguridad en AWS Backup
- Procedimientos recomendados de seguridad de para Amazon S3
guía de GCP: use cuentas dedicadas con la autenticación más segura para realizar tareas críticas de respaldo y recuperación, como la eliminación, el cambio en la retención, actualizaciones de la configuración de respaldo. Esto protegería los datos de respaldo de la eliminación accidental o malintencionada, como ataques de ransomware o intentos de cifrar o alterar los datos de respaldo.
Para los recursos compatibles con GCP Backup, utilice Google IAM con roles y permisos para separar las tareas y habilitar el acceso detallado, y configure una conexión de acceso a servicios privados a la VPC para realizar de forma segura copias de seguridad y restaurar datos desde el sistema de copia/recuperación.
Los datos de copia de seguridad se cifran automáticamente de forma predeterminada en el nivel de plataforma mediante el algoritmo estándar de cifrado avanzado (AES), AES-256.
Nota: Si usa la característica de copia de seguridad nativa de un recurso o los servicios de copia de seguridad distintos de GCP Backup, debe consultar la guía correspondiente para implementar los controles de seguridad. Por ejemplo, también puede proteger instancias de máquina virtual específicas de la eliminación estableciendo la propiedad deletionProtection en un recurso de instancia de máquina virtual.
implementación de GCP y contexto adicional:
- Directivas de retención y bloqueos de directivas de retención
- servicio de copia de seguridad y recuperación ante desastres
- Evitar la eliminación accidental de máquinas virtuales
Partes interesadas de la seguridad del cliente (Más información):
- Arquitectura de seguridad
- Seguridad de la infraestructura y de los puntos de conexión
- Preparación para incidentes
BR-3: Supervisión de copias de seguridad
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
principio de seguridad: asegúrese de que todos los recursos protegibles críticos para la empresa cumplen con la directiva de copia de seguridad definida y el estándar.
guía de Azure: supervise el entorno de Azure para asegurarse de que todos los recursos críticos son compatibles desde una perspectiva de copia de seguridad. Use Azure Policy para realizar copias de seguridad para auditar y aplicar dichos controles. En el caso de los recursos compatibles con Azure Backup, el Centro de copias de seguridad le ayuda a controlar de forma centralizada el patrimonio de copias de seguridad.
Asegúrese de que las operaciones críticas de copia de seguridad (eliminación, retención de cambios, actualizaciones de la configuración de copia de seguridad) se supervisan, auditan y tienen alertas en vigor. En el caso de los recursos compatibles con Azure Backup, supervise el estado general de la copia de seguridad, reciba alertas sobre incidentes críticos de copia de seguridad y audite las acciones de usuario desencadenadas en bóvedas.
Nota: Si procede, use también directivas integradas (Azure Policy) para asegurarse de que los recursos de Azure están configurados para la copia de seguridad.
implementación de Azure y contexto adicional:
- Gestiona tu infraestructura de copias de seguridad mediante el Centro de Copias de Seguridad
- Supervisar y operar copias de seguridad mediante el centro de copias de seguridad
- soluciones de supervisión e informes para Azure Backup
guía de AWS: AWS Backup funciona con otras herramientas de AWS para ayudarle a supervisar sus cargas de trabajo. Estas herramientas incluyen lo siguiente:
- Use AWS Backup Audit Manager para supervisar las operaciones de copia de seguridad para garantizar el cumplimiento.
- Use CloudWatch y Amazon EventBridge para supervisar los procesos de AWS Backup.
- Use CloudWatch para realizar un seguimiento de las métricas, crear alarmas y ver paneles.
- Use EventBridge para ver y supervisar eventos de AWS Backup.
- Utilice Amazon Simple Notification Service (Amazon SNS) para suscribirse a temas relacionados con AWS Backup, como los eventos de copia de seguridad, restauración y copia.
: Implementación de AWS y contexto adicional:
- Supervisión de AWS Backup
- Supervisión de eventos de AWS Backup mediante EventBridge
- Supervisión de métricas de AWS Backup con CloudWatch
- uso de Amazon SNS para realizar un seguimiento de los eventos de AWS Backup
- auditar copias de seguridad y crear informes con AWS Backup Audit Manager
Guía de GCP: supervise su entorno de copia de seguridad y recuperación ante desastres para asegurarse de que todos sus recursos críticos cumplen con los requisitos de copia de seguridad. Use la directiva organizativa para realizar copias de seguridad para auditar y aplicar dichos controles. En el caso de los recursos compatibles con GCP Backup, Management Console le ayuda a controlar de forma centralizada el patrimonio de copias de seguridad.
Asegúrese de que las operaciones críticas de copia de seguridad (eliminación, retención de cambios, actualizaciones de la configuración de copia de seguridad) se supervisan, auditan y tienen alertas en vigor. En el caso de los recursos compatibles con la copia de seguridad de GCP, supervise el estado general de la copia de seguridad, reciba alertas de los incidentes críticos de copia de seguridad y audite las acciones de usuario desencadenadas.
Nota: Si procede, use también directivas integradas (directiva organizativa) para asegurarse de que los recursos de Google están configurados para la copia de seguridad.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (Más información):
- Preparación de incidentes
- Gestión del Cumplimiento de Seguridad
BR-4: Prueba periódica de la copia de seguridad
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
principio de seguridad: realiza periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación según se definen en el RTO (objetivo de tiempo de recuperación) y el RPO (objetivo de punto de recuperación).
guía de Azure: realice periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación tal como se definen en el RTO y el RPO.
Es posible que tenga que definir la estrategia de prueba de recuperación de copia de seguridad, incluido el ámbito de prueba, la frecuencia y el método, ya que realizar la prueba de recuperación completa cada vez puede ser difícil.
implementación de Azure y contexto adicional:
- Recuperación de archivos de la copia de seguridad de máquinas virtuales de Azure
- Restauración de claves de Key Vault en Azure
guía de AWS: realice periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación tal como se definen en el RTO y el RPO.
Es posible que tenga que definir la estrategia de prueba de recuperación de copia de seguridad, incluido el ámbito de prueba, la frecuencia y el método, ya que realizar la prueba de recuperación completa cada vez puede ser difícil. Implementación y contexto adicional AWS:
Guía de GCP: Realice pruebas periódicas de recuperación de datos de su copia de seguridad para verificar que las configuraciones y la disponibilidad de los datos de respaldo satisfacen las necesidades de recuperación tal como se define en el RTO y el RPO.
Es posible que tenga que definir la estrategia de prueba de recuperación de copia de seguridad, incluido el ámbito de prueba, la frecuencia y el método, ya que realizar la prueba de recuperación completa cada vez puede ser difícil.
Implementación de GCP y contexto adicional:
Partes interesadas de la seguridad del cliente (Más información):