Delen via

Beveiligingsbeheer v3: back-up en herstel

  • Artikel

Back-up en herstel hebben betrekking op besturingselementen om ervoor te zorgen dat back-ups van gegevens en configuraties in de verschillende servicelagen worden uitgevoerd, gevalideerd en beveiligd.

BR-1: Regelmatige automatische back-ups garanderen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
11.2 CP-2, CP-4, CP-9 N.v.t.

Beveiligingsprincipe: Zorg voor een back-up van bedrijfskritieke resources, tijdens het maken van resources of afgedwongen via beleid voor bestaande resources.

Azure-richtlijnen: Voor Azure Backup ondersteunde resources kunt u Azure Backup inschakelen en de back-upbron (zoals Virtuele Azure-VM's, SQL Server, HANA-databases of bestands shares) configureren op de gewenste frequentie en retentieperiode. Voor azure-VM's kunt u Azure Policy automatisch back-up inschakelen met behulp van Azure Policy.

Voor resources die niet worden ondersteund door Azure Backup, moet u de back-up inschakelen als onderdeel van het maken van de resource. Gebruik, indien van toepassing, ingebouwd beleid (Azure Policy) om ervoor te zorgen dat uw Azure-resources zijn geconfigureerd voor back-up.

Implementatie en aanvullende context:

Belanghebbenden op het gebied van klantbeveiliging (meer informatie):

BR-2: Back-up- en herstelgegevens beveiligen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
11.3 CP-6, CP-9 3.4

Beveiligingsprincipe: Zorg ervoor dat back-upgegevens en -bewerkingen zijn beveiligd tegen gegevens exfiltratie, gegevenscompromitteerd, ransomware/malware en schadelijke insiders. De beveiligingscontroles die moeten worden toegepast, zijn onder andere gebruikers- en netwerktoegangsbeheer, versleuteling van gegevens in rust en in-transit.

Azure-richtlijnen: Gebruik Azure RBAC en meervoudige verificatie om de kritieke Azure Backup te beveiligen (zoals verwijderen, retentie wijzigen, updates voor back-up config). Voor Azure Backup ondersteunde resources gebruikt u Azure RBAC voor het scheiden van taken en het inschakelen van beperkte toegang, en maakt u privé-eindpunten in uw Azure Virtual Network om veilig back-ups te maken van gegevens uit uw Recovery Services-kluizen en deze te herstellen.

Voor Azure Backup ondersteunde resources worden back-upgegevens automatisch versleuteld met door het Azure-platform beheerde sleutels met 256-bits AES-versleuteling. U kunt er ook voor kiezen om de back-ups te versleutelen met behulp van een door de klant beheerde sleutel. In dit geval moet u ervoor zorgen dat deze door de klant beheerde sleutel in de Azure-Key Vault ook binnen het back-upbereik valt. Als u opties voor door de klant beheerde sleutels gebruikt, gebruikt u de beveiliging voor verwijderen en opsisten in Azure Key Vault om sleutels te beschermen tegen onbedoelde of schadelijke verwijdering. Voor on-premises back-ups met Azure Backup wordt versleuteling-at-rest geleverd met behulp van de wachtwoordzin die u op voorwaarde hebt.

Bewaar de back-upgegevens tegen onbedoelde of schadelijke verwijdering (zoals ransomwareaanvallen/pogingen om back-upgegevens te versleutelen of te knoeien). Schakel voor Azure Backup ondersteunde resources het gebruik van soft delete in om ervoor te zorgen dat items tot 14 dagen na een niet-geautoriseerde verwijdering zonder gegevens worden hersteld en schakel meervoudige verificatie in met behulp van een pincode die is gegenereerd in de Azure Portal. Schakel ook herstel in regio-overschrijdende regio's in om ervoor te zorgen dat back-upgegevens kunnen worden hersteld wanneer zich een noodlot in de primaire regio voordeed.

Opmerking: Als u de systeemeigen back-upfunctie van de resource of andere back-upservices dan Azure Backup gebruikt, raadpleegt u de Azure Security Benchmark (en servicebasislijnen) om de bovenstaande besturingselementen te implementeren.

Implementatie en aanvullende context:

Belanghebbenden op het gebied van klantbeveiliging (meer informatie):

BR-3: Back-ups bewaken

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
11.3 CP-9 N.v.t.

Beveiligingsprincipe: Zorg ervoor dat alle bedrijfskritieke bebeveiligende resources voldoen aan het gedefinieerde back-upbeleid en de standaard.

Azure-richtlijnen: Controleer uw Azure-omgeving om ervoor te zorgen dat al uw kritieke resources compatibel zijn vanuit het perspectief van een back-up. Gebruik Azure-beleidsregels voor back-ups om dergelijke controle te controleren en af te dwingen. Voor Azure Backup ondersteunde resources: Met Backup Center kunt u uw back-upent estate centraal beheren.

Zorg ervoor dat kritieke back-upbewerkingen (verwijderen, retentie wijzigen, updates voor back-up config) worden bewaakt, gecontroleerd en waarschuwingen hebben. Voor Azure Backup ondersteunde resources controleert u de algehele back-up health, wordt u gewaarschuwd voor kritieke back-upincidenten en controleert u door de gebruiker geactiveerde acties op kluizen.

Implementatie en aanvullende context:

Belanghebbenden op het gebied van klantbeveiliging (meer informatie):

BR-4: Back-up regelmatig testen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
11.5 CP-4, CP-9 N.v.t.

Beveiligingsprincipe: Voer periodiek gegevenshersteltests uit van uw back-up om te controleren of de back-upconfiguraties en beschikbaarheid van de back-upgegevens voldoen aan de herstelbehoeften volgens de RTO (Recovery Time Objective) en RPO (Recovery Point Objective).

Azure-richtlijnen: Voer periodiek gegevenshersteltests van uw back-up uit om te controleren of de back-upconfiguraties en beschikbaarheid van de back-upgegevens voldoen aan de herstelbehoeften volgens de gedefinieerde RTO en RPO.

Mogelijk moet u uw strategie voor het herstel van back-ups definiëren, met inbegrip van het testbereik, de frequentie en de methode, omdat het uitvoeren van de volledige hersteltest elke keer lastig kan zijn.

Implementatie en aanvullende context:

Belanghebbenden op het gebied van klantbeveiliging (meer informatie):