보안 제어 v3: 백업 및 복구
백업 및 복구는 여러 서비스 계층의 데이터 및 구성 백업이 수행되고, 유효성이 검사되고, 보호되도록 하는 컨트롤을 포함합니다.
BR-1: 자동화된 정기 백업 보장
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
11.2 | CP-2, CP-4, CP-9 | 해당 없음 |
보안 원칙: 리소스를 만드는 동안 또는 기존 리소스에 대한 정책을 통해 적용하는 중요 비즈니스용 리소스의 백업을 보장합니다.
Azure 지침: Azure Backup 지원 리소스의 경우 Azure Backup을 사용하도록 설정하고 원하는 빈도 및 보존 기간에 백업 원본(예: Azure VM, SQL Server, HANA 데이터베이스 또는 파일 공유)를 구성합니다. Azure VM의 경우 Azure Policy를 사용하여 Azure Policy를 사용하여 백업을 자동으로 사용하도록 설정할 수 있습니다.
Azure Backup에서 지원하지 않는 리소스의 경우 리소스 만들기의 일부로 백업을 사용하도록 설정합니다. 해당하는 경우 기본 제공 정책(Azure Policy)을 사용하여 Azure 리소스가 백업용으로 구성되었는지 확인합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
BR-2: 백업 및 복구 데이터 보호
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
11.3 | CP-6, CP-9 | 3.4 |
보안 원칙: 백업 데이터 및 작업이 데이터 반출, 데이터 손상, 랜섬웨어/맬웨어 및 악의적인 내부자로부터 보호되도록 합니다. 적용해야 하는 보안 제어에는 사용자 및 네트워크 액세스 제어, 저장 및 전송 중인 데이터 암호화가 포함됩니다.
Azure 지침: Azure RBAC 및 다단계 인증을 사용하여 중요한 Azure Backup 작업(예: 삭제, 보존 변경, 백업 구성 업데이트)을 보호합니다. Azure Backup 지원 리소스의 경우 Azure RBAC를 사용하여 업무를 분리하고 세분화된 액세스를 사용하도록 설정하고 Azure Virtual Network 내에 프라이빗 엔드포인트를 만들어 Recovery Services 자격 증명 모음에서 데이터를 안전하게 백업 및 복원합니다.
Azure Backup 지원 리소스의 경우 백업 데이터는 256비트 AES 암호화가 포함된 Azure 플랫폼 관리형 키를 사용하여 자동으로 암호화됩니다. 고객 관리형 키를 사용하여 백업을 암호화하도록 선택할 수도 있습니다. 이 경우 Azure Key Vault의 고객 관리형 키도 백업 범위에 있어야 합니다. 고객 관리형 키 옵션을 사용하는 경우 Azure Key Vault에서 일시 삭제 및 제거 보호를 사용하여 우발적이거나 악의적인 삭제로부터 키를 보호합니다. Azure Backup을 사용하는 온-프레미스 백업의 경우 제공한 암호를 사용하여 저장 데이터 암호화가 제공됩니다.
우발적이거나 악의적인 삭제(예: 랜섬웨어 공격/백업 데이터 암호화 또는 변조 시도)로부터 백업 데이터를 보호합니다. Azure Backup 지원 리소스의 경우 일시 삭제를 사용하도록 설정하여 무단 삭제 후 최대 14일 동안 데이터 손실 없이 항목을 복구하고 Azure Portal에서 생성된 PIN을 사용하여 다단계 인증을 사용하도록 설정합니다. 또한 교차 지역 복원을 사용하도록 설정하여 주 지역에 재해가 발생한 경우 백업 데이터를 복원할 수 있도록 합니다.
참고: Azure Backup이 아닌 리소스의 기본 백업 기능 또는 백업 서비스를 사용하는 경우 Azure Security Benchmark(및 서비스 기준)를 참조하여 위의 제어를 구현합니다.
구현 및 추가 컨텍스트:
- Azure Backup의 보안 기능 개요
- 고객 관리형 키를 사용하여 백업 데이터 암호화
- 공격으로부터 하이브리드 백업을 보호하는 보안 기능
- Azure Backup - 교차 지역 복원 설정
고객 보안 관련자(자세한 정보):
BR-3: 백업 모니터링
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
11.3 | CP-9 | 해당 없음 |
보안 원칙: 모든 중요 비즈니스용 보호 가능한 리소스가 정의된 백업 정책 및 표준을 준수하는지 확인합니다.
Azure 지침: Azure 환경을 모니터링하여 모든 중요 리소스가 백업 관점에서 규정을 준수하는지 확인합니다. 백업용 Azure Policy를 사용하여 이러한 제어를 감사하고 적용합니다. Azure Backup 지원 리소스의 경우: Backup Center는 백업 자산을 중앙에서 관리하는 데 도움이 됩니다.
중요한 백업 작업(삭제, 보존 변경, 백업 구성 업데이트)이 모니터링되고 감사되며 경고가 발생하는지 확인합니다. Azure Backup 지원 리소스의 경우 전체 백업 상태를 모니터링하고, 중요한 백업 인시던트에 대해 경고를 받고, 자격 증명 모음에서 사용자가 트리거한 작업을 감사합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
BR-4: 정기적으로 백업 테스트
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
11.5 | CP-4, CP-9 | 해당 없음 |
보안 원칙: 백업의 데이터 복구 테스트를 주기적으로 수행하여 백업 데이터의 백업 구성 및 가용성이 RTO(복구 시간 목표) 및 RPO(복구 지점 목표)에 정의된 복구 요구 사항을 충족하는지 확인합니다.
Azure 지침: 백업 데이터 복구 테스트를 주기적으로 수행하여 백업 데이터의 백업 구성 및 가용성이 RTO 및 RPO에 정의된 복구 요구 사항을 충족하는지 확인합니다.
매번 전체 복구 테스트를 수행하는 것은 어려울 수 있으므로 테스트 범위, 빈도 및 방법을 포함하여 백업 복구 테스트 전략을 정의해야 할 수 있습니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):