Beveiligingsbeheer: back-up en herstel
Back-up en herstel omvat besturingselementen om ervoor te zorgen dat gegevens- en configuratieback-ups op de verschillende servicelagen worden uitgevoerd, gevalideerd en beveiligd.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
| CIS-controles v8-ID(s) | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N.V.T |
beveiligingsprincipe: zorg ervoor dat er een back-up wordt gemaakt van bedrijfskritieke resources, hetzij tijdens het maken van resources of wordt afgedwongen via beleid voor bestaande resources.
Azure-richtlijnen: Voor door Azure Backup ondersteunde resources (zoals Azure-VM's, SQL Server, HANA-databases, Azure PostgreSQL-database, bestandsshares, blobs of schijven), schakelt u Azure Backup in en configureert u de gewenste frequentie en bewaarperiode. Voor Azure VM kunt u Azure Policy gebruiken om back-ups automatisch in te schakelen met behulp van Azure Policy.
Voor resources of services die niet worden ondersteund door Azure Backup, gebruikt u de systeemeigen back-upmogelijkheid die wordt geleverd door de resource of service. Azure Key Vault biedt bijvoorbeeld een systeemeigen back-upmogelijkheid.
Voor resources/services die niet worden ondersteund door Azure Backup en die geen systeemeigen back-upmogelijkheid hebben, evalueert u uw back-up- en noodbehoeften en maakt u uw eigen mechanisme op basis van uw bedrijfsvereisten. Bijvoorbeeld:
- Als u Azure Storage gebruikt voor gegevensopslag, schakelt u blobversiebeheer in voor uw opslagblobs, zodat u elke versie van elk object dat is opgeslagen in uw Azure Storage, kunt behouden, ophalen en herstellen.
- Serviceconfiguratie-instellingen kunnen meestal worden geëxporteerd naar Azure Resource Manager-sjablonen.
Azure-implementatie en aanvullende context:
- Azure Backup inschakelen
- Automatisch inschakelen van back-up bij het aanmaken van een virtuele machine met behulp van Azure Policy
AWS-richtlijnen: voor ondersteunde RESOURCES voor AWS Backup (zoals EC2, S3, EBS of RDS), schakelt u AWS Backup in en configureert u de gewenste frequentie en bewaarperiode.
Voor resources/services die niet worden ondersteund door AWS Backup, zoals AWS KMS, schakelt u de systeemeigen back-upfunctie in als onderdeel van het maken van de resource.
Voor resources/services die niet worden ondersteund door AWS Backup en die geen systeemeigen back-upmogelijkheid hebben, evalueert u uw back-up- en noodbehoeften en maakt u uw eigen mechanisme op basis van uw bedrijfsvereisten. Bijvoorbeeld:
- Als Amazon S3 wordt gebruikt voor gegevensopslag, schakelt u S3-versiebeheer in voor uw opslagbucket, zodat u elke versie van elk object dat in uw S3-bucket is opgeslagen, kunt behouden, ophalen en herstellen.
- Serviceconfiguratie-instellingen kunnen meestal worden geëxporteerd naar CloudFormation-sjablonen.
AWS-implementatie en aanvullende context:
- door AWS Backup ondersteunde resources en toepassingen van derden Amazon S3-versiebeheer: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Best practices voor AWS CloudFormation
GCP-richtlijnen: Voor door Google Cloud Backup ondersteunde resources (zoals Computer Engine, Cloud Storage en Containers), schakelt u GCP Backup in en configureert u de gewenste frequentie en bewaarperiode.
Voor resources of services die niet worden ondersteund door Google Cloud Backup, gebruikt u de systeemeigen back-upmogelijkheid die wordt geleverd door de resource of service. Secret Manager biedt bijvoorbeeld een systeemeigen back-upmogelijkheid.
Voor resources/services die niet worden ondersteund door Google Cloud Backup en geen systeemeigen back-upmogelijkheid hebben, evalueert u uw back-up- en noodbehoeften en maakt u uw eigen mechanisme op basis van uw bedrijfsvereisten. Bijvoorbeeld:
- Als u Google Storage gebruikt voor back-upgegevensopslag, schakelt u versiebeheer voor uw objectversie in, zodat u elke versie van elk object dat in uw Google Storage is opgeslagen, kunt behouden, ophalen en herstellen.
GCP-implementatie en aanvullende context:
- oplossingen voor back-up en herstel na noodgevallen met Google Cloud
- Op aanvraag en automatisch back-ups maken en beheren
belanghebbenden voor klantbeveiliging (Meer informatie):
- beleid en standaarden
- Beveiligingsarchitectuur
- infrastructuur en eindpuntbeveiliging
- voorbereiding van incidenten
BR-2: Back-up- en herstelgegevens beveiligen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
beveiligingsprincipe: zorg ervoor dat back-upgegevens en -bewerkingen worden beschermd tegen gegevensexfiltratie, inbreuk op gegevens, ransomware/malware en kwaadwillende insiders. De beveiligingscontroles die moeten worden toegepast, zijn onder andere gebruikers- en netwerktoegangsbeheer, gegevensversleuteling in rust en tijdens overdracht.
Azure-richtlijnen: Multi-Factor Authentication en Azure RBAC gebruiken om de kritieke Bewerkingen van Azure Backup te beveiligen (zoals verwijderen, retentie wijzigen, updates voor back-upconfiguratie). Voor door Azure Backup ondersteunde resources gebruikt u Azure RBAC om taken te scheiden en verfijnde toegang mogelijk te maken en privé-eindpunten te maken in uw Virtuele Azure-netwerk om veilig back-ups te maken en gegevens te herstellen uit uw Recovery Services-kluizen.
Voor door Azure Backup ondersteunde resources worden back-upgegevens automatisch versleuteld met behulp van door het Azure-platform beheerde sleutels met 256-bits AES-versleuteling. U kunt er ook voor kiezen om de back-ups te versleutelen met behulp van een door de klant beheerde sleutel. Zorg er in dit geval voor dat de door de klant beheerde sleutel in Azure Key Vault zich ook in het back-upbereik bevindt. Als u een door de klant beheerde sleutel gebruikt, gebruik dan soft delete en opschoonbescherming in Azure Key Vault om sleutels te beschermen tegen onbedoelde of schadelijke verwijdering. Voor on-premises back-ups met behulp van Azure Backup wordt versleuteling-at-rest geleverd met behulp van de wachtwoordzin die u opgeeft.
Bescherm back-upgegevens tegen onbedoelde of schadelijke verwijdering, zoals ransomware-aanvallen/pogingen om back-upgegevens te versleutelen of te knoeien. Voor resources die door Azure Backup worden ondersteund, schakelt u soft delete in om ervoor te zorgen dat items zonder gegevensverlies maximaal 14 dagen na een niet-geautoriseerde verwijdering kunnen worden hersteld. Schakel multifactorverificatie in met behulp van een pincode die is gegenereerd in de Azure-portal. Schakel ook geografisch redundante opslag of herstel tussen regio's in om ervoor te zorgen dat back-upgegevens kunnen worden hersteld wanneer zich een noodgeval voordoet in de primaire regio. U kunt ook zone-redundante opslag (ZRS) inschakelen om ervoor te zorgen dat back-ups herstelbaar zijn tijdens storingen in een zone.
Opmerking: Als u de systeemeigen back-upfunctie van een resource of andere back-upservices dan Azure Backup gebruikt, raadpleegt u de Microsoft Cloud Security Benchmark (en servicebasislijnen) om de bovenstaande besturingselementen te implementeren.
Azure-implementatie en aanvullende context:
- Overzicht van beveiligingsfuncties in Azure Backup
- Versleuteling van back-upgegevens met door de klant beheerde sleutels
- Beveiligingsfuncties om hybride back-ups te beschermen tegen aanvallen
- Azure Backup - herstel in meerdere regio's instellen
AWS-richtlijnen: AWS IAM-toegangsbeheer gebruiken om AWS Backup te beveiligen. Dit omvat het beveiligen van de TOEGANG tot de AWS Backup-service en back-up- en herstelpunten. Voorbeelden van bedieningselementen zijn:
- Gebruik meervoudige verificatie (MFA) voor kritieke bewerkingen, zoals het verwijderen van een back-up-/herstelpunt.
- Gebruik SSL (Secure Sockets Layer)/Transport Layer Security (TLS) om te communiceren met AWS-resources.
- Gebruik AWS KMS in combinatie met AWS Backup om de back-upgegevens te versleutelen met behulp van door de klant beheerde CMK of een door AWS beheerde CMK die is gekoppeld aan de AWS Backup-service.
- Gebruik AWS Backup Vault-vergrendeling voor onveranderbare opslag van kritieke gegevens.
- Beveilig S3-buckets via toegangsbeleid, het uitschakelen van openbare toegang, het afdwingen van data-at-rest-versleuteling en versiebeheer.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: gebruik toegewezen accounts met de sterkste verificatie voor het uitvoeren van kritieke back-up- en herstelbewerkingen, zoals verwijderen, wijzigen van retentie, updates voor back-upconfiguratie. Dit zou back-upgegevens beschermen tegen onbedoelde of schadelijke verwijdering, zoals ransomware-aanvallen/pogingen om back-upgegevens te versleutelen of te knoeien.
Voor ondersteunde GCP Backup-resources gebruikt u Google IAM met rollen en machtigingen voor het scheiden van taken en het inschakelen van verfijnde toegang en het instellen van een privéservicetoegangsverbinding met VPC om veilig een back-up te maken van en gegevens te herstellen vanaf het back-up-/herstelapparaat.
Back-upgegevens worden standaard automatisch versleuteld op platformniveau met behulp van AES-algoritme (Advanced Encryption Standard), AES-256.
Opmerking: als u de systeemeigen back-upfunctie van een resource of andere back-upservices dan GCP Backup gebruikt, raadpleegt u de respectieve richtlijn voor het implementeren van de beveiligingscontroles. U kunt bijvoorbeeld ook specifieke VM-exemplaren beveiligen tegen verwijdering door de eigenschap deletionProtection in te stellen op een VM-exemplaarresource.
GCP-implementatie en aanvullende context:
- bewaarbeleid en bewaarbeleidvergrendelingen
- back-up- en herstelservice na noodgevallen
- Onbedoeld Verwijderen van VM's Voorkomen
belanghebbenden voor klantbeveiliging (Meer informatie):
BR-3: Back-ups bewaken
| CIS-regelingen v8 ID's | NIST SP 800-53 r4 ID(s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N.V.T |
beveiligingsprincipe: zorg ervoor dat alle bedrijfskritieke beveiligbare resources voldoen aan het gedefinieerde back-upbeleid en de standaard.
Azure-richtlijnen: Bewaak uw Azure-omgeving om ervoor te zorgen dat al uw kritieke resources compatibel zijn vanuit het perspectief van een back-up. Gebruik Azure Policy om back-ups te controleren en dergelijke besturingselementen af te dwingen. Voor door Azure Backup ondersteunde resources helpt Backup Center u uw back-upomgeving centraal te beheren.
Zorg ervoor dat kritieke back-upbewerkingen (verwijderen, retentie wijzigen, updates voor back-upconfiguratie) worden bewaakt, gecontroleerd en waarschuwingen hebben. Voor door Azure Backup ondersteunde resources controleert u de algehele back-upstatus, ontvangt u waarschuwingen over kritieke back-upincidenten en controleert u geactiveerde gebruikersacties op kluizen.
Opmerking: Gebruik, indien van toepassing, ook ingebouwde beleidsregels (Azure Policy) om ervoor te zorgen dat uw Azure-resources zijn geconfigureerd voor back-up.
Azure-implementatie en aanvullende context:
- Uw back-upomgeving beheren met behulp van Backup Center
- Monitoren en opereren van back-ups met Backup Center
- Bewakings- en rapportageoplossingen voor Azure Backup-
AWS-richtlijnen: AWS Backup werkt met andere AWS-hulpprogramma's om u in staat te stellen de workloads ervan te bewaken. Deze hulpprogramma's omvatten het volgende:
- Gebruik AWS Backup Audit Manager om de back-upbewerkingen te controleren om de naleving te garanderen.
- Gebruik CloudWatch en Amazon EventBridge om AWS Backup-processen te bewaken.
- Gebruik CloudWatch om metrische gegevens bij te houden, waarschuwingen te maken en dashboards weer te geven.
- Gebruik EventBridge om AWS Backup-gebeurtenissen weer te geven en te bewaken.
- Gebruik Amazon Simple Notification Service (Amazon SNS) om u te abonneren op onderwerpen met betrekking tot AWS Backup, zoals back-up, herstel en kopieergebeurtenissen.
AWS-implementatie en aanvullende context:
- AWS Backup Monitoring
- AWS Backup-gebeurtenissen bewaken met EventBridge
- Metrische gegevens van AWS Backup bewaken met CloudWatch
- Amazon SNS gebruiken om AWS Backup-gebeurtenissen bij te houden
- Back-ups controleren en rapporten maken met AWS Backup Audit Manager
GCP-richtlijnen: bewaak uw omgeving voor back-up en herstel na noodgevallen om ervoor te zorgen dat al uw kritieke resources compatibel zijn vanuit het perspectief van een back-up. Gebruik organisatiebeleid voor audits en back-ups om dergelijke maatregelen te controleren en af te dwingen. Voor ondersteunde GCP Backup-resources kunt u met de beheerconsole uw back-upomgeving centraal beheren.
Zorg ervoor dat kritieke back-upbewerkingen (verwijderen, retentie wijzigen, updates voor back-upconfiguratie) worden bewaakt, gecontroleerd en waarschuwingen hebben. Voor ondersteunde GCP Backup-resources controleert u de algehele back-upstatus, ontvangt u waarschuwingen over kritieke back-upincidenten en controleert u geactiveerde gebruikersacties.
Opmerking: Gebruik, indien van toepassing, ook ingebouwde beleidsregels (organisatiebeleid) om ervoor te zorgen dat uw Google-resources zijn geconfigureerd voor back-up.
GCP-implementatie en aanvullende context:
belanghebbenden voor klantbeveiliging (Meer informatie):
BR-4: Regelmatig back-up testen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N.V.T |
beveiligingsprincipe: voer periodiek gegevenshersteltests van uw back-up uit om te controleren of de back-upconfiguraties en beschikbaarheid van de back-upgegevens voldoen aan de herstelbehoeften zoals gedefinieerd in de RTO (Recovery Time Objective) en RPO (Recovery Point Objective).
Azure-richtlijnen: voer periodiek gegevenshersteltests van uw back-up uit om te controleren of de back-upconfiguraties en beschikbaarheid van de back-upgegevens voldoen aan de herstelbehoeften zoals gedefinieerd in de RTO en RPO.
Mogelijk moet u de teststrategie voor back-upherstel definiëren, inclusief het testbereik, de frequentie en de methode, omdat het uitvoeren van de volledige hersteltest elke keer lastig kan zijn.
Azure-implementatie en aanvullende context:
- Bestanden herstellen vanuit back-up van virtuele Azure-machines
- Key Vault-sleutels herstellen in Azure
AWS-richtlijnen: voer periodiek gegevenshersteltests van uw back-up uit om te controleren of de back-upconfiguraties en beschikbaarheid van de back-upgegevens voldoen aan de herstelbehoeften zoals gedefinieerd in de RTO en RPO.
Mogelijk moet u de teststrategie voor het herstellen van back-ups definiëren, inclusief het testbereik, de frequentie en de methode, omdat het uitvoeren van de volledige hersteltest iedere keer lastig kan zijn. AWS-implementatie en aanvullende context:
GCP-richtlijnen: voer periodiek gegevenshersteltests van uw back-up uit om te controleren of de back-upconfiguraties en beschikbaarheid van de back-upgegevens voldoen aan de herstelbehoeften zoals gedefinieerd in de RTO en RPO.
U zou misschien de teststrategie voor back-upherstel moeten definiëren, inclusief het testbereik, de frequentie en de methode, aangezien het elke keer uitvoeren van de volledige hersteltest lastig kan zijn.
GCP-implementatie en aanvullende context:
belanghebbenden voor klantbeveiliging (Meer informatie):