Compartir a través de


Control de seguridad v3: copia de seguridad y recuperación

Respaldo y recuperación cubre los controles para garantizar que se realizan, validan y protegen los datos y configuraciones en los distintos niveles de servicio.

BR-1: Garantizar copias de seguridad automatizadas normales

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
11.2 CP-2, CP-4, CP-9 N/A

Principio de seguridad: Garantice la copia de seguridad de los recursos críticos para la empresa, ya sea durante la creación de recursos o mediante la aplicación de directivas para los recursos existentes.

Guía de Azure: Para los recursos compatibles con Azure Backup, habilite Azure Backup y configure el origen de copia de seguridad (como máquinas virtuales de Azure, SQL Server, bases de datos de HANA o recursos compartidos de archivos) en la frecuencia y el período de retención deseados. En el caso de la máquina virtual de Azure, puede usar Azure Policy para habilitar automáticamente la copia de seguridad mediante Azure Policy.

En el caso de los recursos no compatibles con Azure Backup, habilite la copia de seguridad como parte de su creación de recursos. Si procede, use directivas integradas (Azure Policy) para asegurarse de que los recursos de Azure están configurados para la copia de seguridad.

Implementación y contexto adicional:

partes interesadas de la seguridad del cliente (Más información):

BR-2: Proteger los datos de copia de seguridad y recuperación

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
11.3 CP-6, CP-9 3.4

principio de seguridad: Asegurarse de que los datos y las operaciones de copia de seguridad están protegidos frente a la filtración de datos, los datos en peligro, el ransomware/malware y los usuarios internos malintencionados. Los controles de seguridad que se deben aplicar incluyen el control de acceso de usuario y de red, el cifrado de datos en reposo y en tránsito.

Guía de Azure: Usar Azure RBAC y la autenticación multifactor para proteger las operaciones críticas de Azure Backup (como eliminar, cambiar la retención, las actualizaciones de la configuración de copia de seguridad). En el caso de los recursos compatibles con Azure Backup, use Azure RBAC para separar las tareas y habilitar el acceso específico, y luego cree puntos de conexión privados dentro de su Azure Virtual Network para realizar copias de seguridad y restaurar datos de forma segura desde sus almacenes de servicios de recuperación.

En el caso de los recursos compatibles con Azure Backup, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma Azure con cifrado AES de 256 bits. También puede optar por cifrar las copias de seguridad mediante la clave administrada por el cliente. En este caso, asegúrese de que esta clave administrada por el cliente en Azure Key Vault también está en el ámbito de copia de seguridad. Si usa opciones de clave administradas por el cliente, use la eliminación temporal y la protección de purga en Azure Key Vault para proteger las claves frente a la eliminación accidental o malintencionada. Para las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la contraseña que proporcione.

Proteja los datos de copia de seguridad de la eliminación accidental o malintencionada (como ataques de ransomware o intentos de cifrar o alterar los datos de copia de seguridad. En el caso de los recursos compatibles con Azure Backup, habilite la eliminación temporal para garantizar la recuperación de elementos sin pérdida de datos durante un máximo de 14 días después de una eliminación no autorizada y habilitar la autenticación multifactor mediante un PIN generado en Azure Portal. Habilite también la restauración entre regiones para asegurarse de que los datos de copia de seguridad se pueden restaurar cuando se produce un desastre en la región primaria.

Nota: Si usa la característica de copia de seguridad nativa del recurso o los servicios de copia de seguridad distintos de Azure Backup, consulte Azure Security Benchmark (y líneas base de servicio) para implementar los controles anteriores.

Implementación y contexto adicional:

partes interesadas de la seguridad del cliente (Más información):

BR-3: Supervisión de copias de seguridad

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
11.3 CP-9 N/A

principio de seguridad: Asegurarse de que todos los recursos protegidos críticos para la empresa cumplen con la directiva de copia de seguridad definida y el estándar.

Guía de Azure: Supervisar el entorno de Azure para asegurarse de que todos los recursos críticos son compatibles desde una perspectiva de copia de seguridad. Use directivas de Azure para realizar copias de seguridad para auditar y aplicar dicho control. Para los recursos admitidos por Azure Backup: el Centro de copia de seguridad le ayuda a controlar centralmente el patrimonio de copia de seguridad.

Asegúrese de que las operaciones críticas de copia de seguridad (eliminación, retención de cambios, actualizaciones de la configuración de copia de seguridad) se supervisan, auditan y tienen alertas en su lugar. Para los recursos admitidos por Azure Backup, supervise el estado general de la copia de seguridad, reciba alertas sobre incidentes críticos de copia de seguridad y audite las acciones desencadenadas por el usuario en los almacenes.

Implementación y contexto adicional:

partes interesadas de la seguridad del cliente (Más información):

BR-4: Prueba periódica de la copia de seguridad

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
11.5 CP-4, CP-9 N/A

principio de seguridad: realizar periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación según se define en el RTO (objetivo de tiempo de recuperación) y el RPO (objetivo de punto de recuperación).

Guía de Azure: realizar periódicamente pruebas de recuperación de datos de la copia de seguridad para comprobar que las configuraciones de copia de seguridad y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación según lo definido en el RTO y el RPO.

Es posible que tenga que definir la estrategia de prueba de recuperación de copia de seguridad, incluido el ámbito de prueba, la frecuencia y el método, ya que realizar la prueba de recuperación completa cada vez puede ser difícil.

Implementación y contexto adicional:

partes interesadas de la seguridad del cliente (Más información):