보안 제어 v3: 백업 및 복구
백업 및 복구는 다양한 서비스 계층의 데이터 및 구성 백업이 수행, 유효성 검사 및 보호되도록 하는 컨트롤을 다룹니다.
BR-1: 정기적인 자동화된 백업 확인
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | 해당 없음 |
보안 원칙: 리소스를 만드는 동안 또는 기존 리소스에 대한 정책을 통해 적용되는 중요 비즈니스용 리소스의 백업을 보장합니다.
Azure 지침 : Azure Backup 지원 리소스에 대한 Azure Backup을 사용하도록 설정하고 원하는 빈도 및 보존 기간에 백업 원본(예: Azure VM, SQL Server, HANA 데이터베이스 또는 파일 공유)을 구성합니다. Azure VM의 경우 Azure Policy를 사용하여 백업을 자동으로 사용하도록 설정할 수 있습니다.
Azure Backup에서 지원되지 않는 리소스의 경우 리소스 만들기의 일부로 백업을 사용하도록 설정합니다. 해당하는 경우 기본 제공 정책(Azure Policy)을 사용하여 Azure 리소스가 백업용으로 구성되었는지 확인합니다.
구현 및 추가 컨텍스트:
- Azure Backup 사용하도록 설정하는 방법
- Azure Policy 사용하여 VM 만들기에서 백업 자동 사용
고객 보안 관련자(자세한알아보기):
BR-2: 백업 및 복구 데이터 보호
| CIS 컨트롤 v8 ID | NIST SP 800-53 (r4) ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
보안 원칙: 백업 데이터 및 작업이 데이터 반출, 데이터 손상, 랜섬웨어/맬웨어 및 악의적인 내부자로부터 보호되는지 확인합니다. 적용해야 하는 보안 제어에는 사용자 및 네트워크 액세스 제어, 저장 시 데이터 암호화 및 전송 중 데이터 암호화가 포함됩니다.
ko-KR: Azure 지침: Azure RBAC 및 다중 인증을 사용하여 중요한 Azure Backup 작업(예: 삭제, 보존 변경, 백업 구성 업데이트)을 보호하십시오. Azure Backup 지원 리소스에 대해서는 Azure RBAC를 사용하여 역할을 분리하고 세분화된 액세스를 가능하게 하며, Azure Virtual Network 내에서 프라이빗 엔드포인트를 생성하여 복구 서비스 자격 모음에서 데이터를 안전하게 백업하고 복원할 수 있도록 합니다.
Azure Backup 지원 리소스의 경우 백업 데이터는 256비트 AES 암호화가 있는 Azure 플랫폼 관리형 키를 사용하여 자동으로 암호화됩니다. 고객 관리형 키를 사용하여 백업을 암호화하도록 선택할 수도 있습니다. 이 경우 Azure Key Vault의 고객 관리형 키도 백업 범위에 있는지 확인합니다. 고객 관리형 키 옵션을 사용하는 경우 Azure Key Vault에서 일시 삭제 및 제거 보호를 사용하여 실수로 또는 악의적인 삭제로부터 키를 보호합니다. Azure Backup을 사용하는 온-프레미스 백업의 경우 사용자가 제공한 암호를 사용하여 정지된 데이터 암호화가 제공됩니다.
실수로 또는 악의적인 삭제로부터 백업 데이터를 보호합니다(예: 랜섬웨어 공격/백업 데이터 암호화 또는 변조 시도). Azure Backup 지원 리소스의 경우 일시 삭제를 사용하도록 설정하여 무단 삭제 후 최대 14일 동안 데이터 손실이 없는 항목을 복구하고 Azure Portal에서 생성된 PIN을 사용하여 다단계 인증을 사용하도록 설정합니다. 또한 주 지역에 재해가 발생할 때 백업 데이터를 복원할 수 있도록 지역 간 복원을 사용하도록 설정합니다.
참고: Azure Backup 이외의 리소스의 네이티브 백업 기능 또는 백업 서비스를 사용하는 경우 Azure Security Benchmark(및 서비스 기준)를 참조하여 위의 컨트롤을 구현합니다.
구현 및 추가 컨텍스트:
- Azure Backup 보안 기능의 개요
- 고객 관리형 키를 사용하여 백업 데이터 암호화
- 공격으로부터 하이브리드 백업을 보호하는 데 도움이 되는 보안 기능
- Azure Backup - 지역 간 복원 설정
고객 보안 관련자(자세한알아보기):
BR-3: 백업 모니터링
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(s) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | 해당 없음 |
보안 원칙: 모든 중요 비즈니스용 보호 가능한 리소스가 정의된 백업 정책 및 표준을 준수하는지 확인합니다.
Azure 지침: Azure 환경을 모니터링하여 모든 중요한 리소스가 백업 관점에서 준수되는지 확인합니다. 백업에 Azure Policy를 사용하여 이러한 제어를 감사하고 적용합니다. Azure Backup 지원 리소스의 경우: Backup Center를 사용하면 백업 자산을 중앙에서 제어할 수 있습니다.
중요한 백업 작업(삭제, 보존 변경, 백업 구성 업데이트)이 모니터링, 감사 및 경고가 있는지 확인합니다. Azure Backup 지원 리소스의 경우 전체 백업 상태를 모니터링하고, 중요한 백업 인시던트에 대한 경고를 받으며, 볼트에서 사용자가 트리거한 작업을 감사하여 확인합니다.
구현 및 추가 컨텍스트:
- 백업 센터 사용하여 백업 자산 관리
- 백업 센터을 사용하여 백업을 모니터링하고 작동하십시오.
- Azure Backup 대한 모니터링 및 보고 솔루션
고객 보안 관련자(자세한알아보기):
BR-4: 정기적으로 백업 테스트
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | 해당 없음 |
보안 원칙: 주기적으로 백업의 데이터 복구 테스트를 수행하여 백업 데이터의 백업 구성 및 가용성이 RTO(복구 시간 목표) 및 RPO(복구 지점 목표)에 정의된 대로 복구 요구 사항을 충족하는지 확인합니다.
Azure 지침: 주기적으로 백업의 데이터 복구 테스트를 수행하여 백업 데이터의 백업 구성 및 가용성이 RTO 및 RPO에 정의된 복구 요구 사항을 충족하는지 확인합니다.
매번 전체 복구 테스트를 수행하는 것이 어려울 수 있으므로 테스트 범위, 빈도 및 메서드를 포함하여 백업 복구 테스트 전략을 정의해야 할 수 있습니다.
구현 및 추가 컨텍스트:
- Azure Virtual Machine 백업 파일을 복구하는 방법
- Azure Key Vault 키를 복원하는 방법
고객 보안 관련자(자세한알아보기):