Controllo di sicurezza v3: Backup e ripristino
Il backup e il ripristino illustrano i controlli per garantire che i backup di dati e configurazione nei diversi livelli di servizio vengano eseguiti, convalidati e protetti.
BR-1: Garantire backup automatici regolari
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | Non applicabile |
Principio di sicurezza: Garantire il backup delle risorse critiche per l'azienda, durante la creazione delle risorse o applicato tramite policy per le risorse esistenti.
Indicazioni di Azure: per le risorse supportate da Azure Backup, abilitare Azure Backup e configurare l'origine del backup (ad esempio le macchine virtuali di Azure, SQL Server, database HANA o condivisioni file) alla frequenza e al periodo di conservazione desiderati. Per la macchina virtuale di Azure, è possibile usare Criteri di Azure per abilitare automaticamente il backup usando Criteri di Azure.
Per le risorse non supportate da Backup di Azure, abilitare il backup come parte della creazione delle risorse. Se applicabile, usare i criteri predefiniti (Criteri di Azure) per assicurarsi che le risorse di Azure siano configurate per il backup.
Implementazione e contesto aggiuntivo:
- Come abilitare il Backup di Azure
- Abilitazione automatica del backup alla creazione di una macchina virtuale tramite criteri di politica di Azure
Stakeholder della sicurezza dei clienti (Scopri di più):
- Politiche e standard
- architettura di sicurezza
- infrastruttura e sicurezza degli endpoint
- preparazione agli eventi imprevisti
BR-2: Proteggere i dati di backup e ripristino
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Principio di sicurezza: Garantire che i dati e le operazioni di backup siano protetti dall'esfiltrazione dei dati, dalla compromissione dei dati, dal ransomware/malware e da utenti malintenzionati. I controlli di sicurezza che devono essere applicati includono il controllo di accesso utente e di rete, la crittografia dei dati inattivi e in transito.
Indicazioni su Azure: Usare il controllo degli accessi in base al ruolo di Azure e l'autenticazione a più fattori per proteggere le operazioni critiche di Backup di Azure, ad esempio eliminazione, conservazione delle modifiche, aggiornamenti alla configurazione di backup. Per le risorse supportate da Azure Backup, usare Azure RBAC per separare i compiti e abilitare un accesso più dettagliato e creare endpoint privati all'interno della rete virtuale di Azure per eseguire in modo sicuro il backup e il ripristino dei dati dai vaults dei Servizi di ripristino.
Per le risorse supportate da Backup di Azure, i dati di backup vengono crittografati automaticamente usando chiavi gestite dalla piattaforma Azure con crittografia AES a 256 bit. È anche possibile scegliere di crittografare i backup usando la chiave gestita dal cliente. In questo caso, assicurarsi che questa chiave gestita dal cliente nel Azure Key Vault sia inclusa nell'ambito di backup. Se si usano le opzioni di chiave gestita dal cliente, usare la protezione dall'eliminazione temporanea e dalla protezione dalla cancellazione in Azure Key Vault per proteggere le chiavi da eliminazioni accidentali o dannose. Per i backup locali con Azure Backup, la crittografia a riposo viene fornita utilizzando la passphrase che fornite.
Proteggere i dati di backup da eliminazioni accidentali o dannose (ad esempio attacchi ransomware/tentativi di crittografare o manomettere i dati di backup. Per le risorse supportate da Backup di Azure, abilitare l'eliminazione temporanea per garantire il ripristino di elementi senza perdita di dati per un massimo di 14 giorni dopo un'eliminazione non autorizzata e abilitare l'autenticazione a più fattori usando un PIN generato nel portale di Azure. Abilitare anche il ripristino tra aree per assicurarsi che i dati di backup siano ripristinabili quando si verifica un'emergenza nell'area primaria.
Nota: se si usa la funzionalità di backup nativa della risorsa o i servizi di backup diversi da Backup di Azure, vedere Azure Security Benchmark (e le baseline del servizio) per implementare i controlli precedenti.
Implementazione e contesto aggiuntivo:
- Panoramica delle funzionalità di sicurezza in Backup di Azure
- Crittografia dei dati di backup tramite chiavi gestite dal cliente
- Funzionalità di sicurezza per proteggere i backup ibridi da attacchi
- Backup di Azure : impostare il ripristino tra aree
Portatori di interesse della sicurezza dei clienti (Maggiori informazioni):
- architettura di sicurezza
- infrastruttura e sicurezza degli endpoint
- preparazione agli eventi imprevisti
BR-3: Monitorare i backup
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/D |
Principio di sicurezza: Assicurarsi che tutte le risorse protette critiche per l'azienda siano conformi ai criteri di backup e allo standard definiti.
Indicazioni di Azure: Monitorare l'ambiente di Azure per assicurarsi che tutte le risorse critiche siano conformi dal punto di vista del backup. Utilizzare le Criteri di Azure per il backup per verificare e far rispettare tale controllo. Per le risorse supportate da Backup di Azure: Il Centro backup consente di gestire centralmente il patrimonio di backup.
Assicurarsi che le operazioni di backup critiche (eliminazione, conservazione delle modifiche, aggiornamenti alla configurazione di backup) vengano monitorate, controllate e presenti avvisi. Per le risorse supportate dal Backup di Azure, monitorare l'integrità complessiva del backup, ricevere avvisi per gli incidenti critici di backup, verificare le azioni attivate dall'utente sulle casseforti.
Implementazione e contesto aggiuntivo:
- Gestisci l'inventario di backup con il Centro di Backup
- Monitorare e gestire i backup usando il centro backup
- Soluzioni di monitoraggio e reportistica per Backup di Azure
Stakeholders della sicurezza dei clienti (Scopri di più):
- preparazione agli eventi imprevisti
- Security Compliance Management
BR-4: testare regolarmente il backup
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/D |
Principio di Sicurezza: Eseguire periodicamente i test di ripristino dei dati dei backup per verificare che le configurazioni e la disponibilità dei dati di backup soddisfino le esigenze di ripristino come definite nell'RTO (Recovery Time Objective - Obiettivo del Tempo di Ripristino) e nell'RPO (Recovery Point Objective - Obiettivo del Punto di Ripristino).
Indicazioni di Azure: eseguire periodicamente i test di ripristino dei dati del backup per verificare che le configurazioni di backup e la disponibilità dei dati di backup soddisfino le esigenze di ripristino come definito negli obiettivi RTO e RPO.
Potrebbe essere necessario definire la strategia di test di ripristino del backup, inclusi l'ambito di test, la frequenza e il metodo, in quanto l'esecuzione del test di recupero completo ogni volta può essere difficile.
Implementazione e contesto aggiuntivo:
- Come ripristinare i file dal backup di macchine virtuali di Azure
- Come ripristinare le chiavi di Key Vault in Azure
Stakeholder della Sicurezza Clienti (Scopri di più):