セキュリティ コントロール v3: バックアップと回復
バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが実行、検証、保護されるようにするための制御が含まれます。
BR-1: 定期的な自動バックアップを確保する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.2 | CP-2、CP-4、CP-9 | N/A |
セキュリティ原則: リソースの作成時に、または既存のリソースのポリシーを使用して適用される、ビジネス クリティカルなリソースのバックアップを確保します。
Azure ガイダンス: Azure Backup でサポートされているリソースの場合は、Azure Backup を有効にし、必要な頻度と保持期間にバックアップ ソース (Azure VM、SQL Server、HANA データベース、ファイル共有など) を構成します。 Azure VM の場合、Azure Policy を使用して、Azure Policy を使用してバックアップを自動的に有効にすることができます。
Azure Backup でサポートされていないリソースの場合は、リソースの作成の一環としてバックアップを有効にします。 必要に応じて、組み込みのポリシー (Azure Policy) を使用して、Azure リソースがバックアップ用に構成されていることを確認します。
実装と追加のコンテキスト:
- Azure Backup を有効にする方法
- Azure Policy を使用して VM 作成時にバックアップを自動有効化する
カスタマー セキュリティ利害関係者 (詳細情報):
BR-2: バックアップと回復データを保護する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-6、CP-9 | 3.4 |
セキュリティ原則: バックアップ データと操作がデータ流出、データ侵害、ランサムウェア/マルウェア、悪意のある内部関係者から保護されていることを確認します。 適用する必要があるセキュリティ制御には、ユーザーとネットワークのアクセス制御、保存データの暗号化、転送中などがあります。
Azure ガイダンス: Azure RBAC と多要素認証を使用して、重要な Azure Backup 操作 (削除、変更の保持、バックアップ構成の更新など) をセキュリティで保護します。 Azure Backup でサポートされているリソースの場合は、Azure RBAC を使用して職務を分離し、きめ細かいアクセスを有効にし、Azure Virtual Network 内にプライベート エンドポイントを作成して、Recovery Services コンテナーからデータを安全にバックアップおよび復元します。
Azure Backup でサポートされているリソースの場合、バックアップ データは、256 ビット AES 暗号化を使用して Azure プラットフォームマネージド キーを使用して自動的に暗号化されます。 カスタマー マネージド キーを使用してバックアップを暗号化することもできます。 この場合は、Azure Key Vault のこのカスタマー マネージド キーもバックアップ スコープ内にあることを確認します。 カスタマー マネージド キー オプションを使用する場合は、Azure Key Vault で論理的な削除と消去の保護を使用して、偶発的または悪意のある削除からキーを保護します。 Azure Backup を使用したオンプレミス バックアップの場合、指定したパスフレーズを使用して保存時の暗号化が提供されます。
バックアップ データを偶発的または悪意のある削除 (ランサムウェア攻撃やバックアップ データの暗号化または改ざんの試行など) から保護します。 Azure Backup でサポートされているリソースの場合は、論理的な削除を有効にして、未承認の削除後最大 14 日間、データ損失のない項目を確実に回復し、Azure portal で生成された PIN を使用して多要素認証を有効にします。 また、リージョン間の復元を有効にして、プライマリ リージョンで障害が発生したときにバックアップ データを確実に復元できるようにします。
注: リソースのネイティブ バックアップ機能または Azure Backup 以外のバックアップ サービスを使用する場合は、上記のコントロールを実装するために、Azure セキュリティ ベンチマーク (およびサービス ベースライン) を参照してください。
実装と追加のコンテキスト:
- Azure Backup のセキュリティ機能の概要
- カスタマー マネージド キーを使用したバックアップ データの暗号化
- 攻撃からハイブリッド バックアップを保護するのに役立つセキュリティ機能
- Azure Backup - リージョンをまたがる復元を設定する
カスタマー セキュリティ利害関係者 (詳細情報):
BR-3: バックアップを監視する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
セキュリティ原則: ビジネス クリティカルな保護可能なすべてのリソースが、定義されたバックアップ ポリシーと標準に準拠していることを確認します。
Azure ガイダンス: Azure 環境を監視して、すべての重要なリソースがバックアップの観点から準拠していることを確認します。 このような制御を監査および適用するには、バックアップに Azure Policies を使用します。 Azure Backup でサポートされているリソースの場合: バックアップ センターは、バックアップ資産を一元的に管理するのに役立ちます。
重要なバックアップ操作 (削除、変更保持、バックアップ構成の更新) が監視され、監査され、アラートが設定されていることを確認します。 Azure Backup でサポートされているリソースの場合は、全体的なバックアップ正常性を監視し、重要なバックアップ インシデントに対するアラートを受け取り、コンテナーでユーザーによってトリガーされたアクションを監査します。
実装と追加のコンテキスト:
- Backup Center を使用してバックアップ資産を管理する
- バックアップ センター を使用してバックアップを監視および運用する
- Azure Backup の 監視およびレポート ソリューション
カスタマー セキュリティ利害関係者 (詳細情報):
BR-4: バックアップを定期的にテストする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.5 | CP-4、CP-9 | N/A |
セキュリティ原則: バックアップのデータ復旧テストを定期的に実行して、バックアップ データの構成と可用性が、RTO (目標復旧時間) と RPO (目標復旧時点) で定義されている回復ニーズを満たしていることを確認します。
Azure ガイダンス: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO と RPO で定義されている回復ニーズを満たしていることを確認します。
毎回完全復旧テストを実行するのは困難な場合があるため、テストスコープ、頻度、方法など、バックアップ復旧テスト戦略を定義する必要がある場合があります。
実装と追加のコンテキスト:
- Azure Virtual Machine バックアップ からファイルを回復する方法
- Azure で Key Vault キーを復元する方法
カスタマー セキュリティ利害関係者 (詳細情報):