Delen via

Beveiligingsbeheer v3: Back-up en herstel

  • Artikel

Back-up en herstel omvat besturingselementen om ervoor te zorgen dat gegevens- en configuratieback-ups op de verschillende servicelagen worden uitgevoerd, gevalideerd en beveiligd.

BR-1: Regelmatige geautomatiseerde back-ups garanderen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
11.2 CP-2, CP-4, CP-9 N.V.T

Beveiligingsprincipe: Zorg voor een back-up van bedrijfskritieke resources, ofwel bij het aanmaken van resources of afgedwongen door beleid voor bestaande resources.

Azure-richtlijnen: Voor door Azure Backup ondersteunde resources, schakelt u Azure Backup in en configureert u de back-upbron (zoals Azure-VM's, SQL Server, HANA-databases of bestandsshares) op de gewenste frequentie en bewaarperiode. Voor Azure VM kunt u Azure Policy gebruiken om back-ups automatisch in te schakelen met behulp van Azure Policy.

Voor resources die niet worden ondersteund door Azure Backup, schakelt u de back-up in als onderdeel van de aanmaak van de resource. Gebruik, indien van toepassing, ingebouwde beleidsregels (Azure Policy) om ervoor te zorgen dat uw Azure-resources zijn geconfigureerd voor back-up.

implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (Meer informatie):

BR-2: Back-up- en herstelgegevens beveiligen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
11.3 CP-6, CP-9 3.4

beveiligingsprincipe: ervoor zorgen dat back-upgegevens en -bewerkingen worden beschermd tegen gegevensexfiltratie, inbreuk op gegevens, ransomware/malware en kwaadwillende insiders. De beveiligingscontroles die moeten worden toegepast, omvatten onder andere gebruikers- en netwerktoegangsbeheer, gegevensversleuteling in rust en tijdens overdracht.

Azure-richtlijnen: Azure RBAC en meervoudige verificatie gebruiken om de kritieke Azure Backup-bewerkingen te beveiligen (zoals verwijderen, retentie wijzigen, updates voor back-upconfiguratie). Voor door Azure Backup ondersteunde resources gebruikt u Azure RBAC om taken te scheiden en verfijnde toegang mogelijk te maken en privé-eindpunten te maken in uw Virtuele Azure-netwerk om veilig back-ups te maken en gegevens te herstellen uit uw Recovery Services-kluizen.

Voor door Azure Backup ondersteunde resources worden back-upgegevens automatisch versleuteld met behulp van door het Azure-platform beheerde sleutels met 256-bits AES-versleuteling. U kunt er ook voor kiezen om de back-ups te versleutelen met behulp van de door de klant beheerde sleutel. Zorg er in dit geval voor dat deze door de klant beheerde sleutel in Azure Key Vault zich ook in het back-upbereik bevindt. Als u door de klant beheerde optionele sleutels gebruikt, moet u zacht verwijderen en zuiveringsbeveiliging in Azure Key Vault gebruiken om sleutels te beschermen tegen onbedoelde of schadelijke verwijdering. Voor on-premises back-ups met behulp van Azure Backup wordt versleuteling in rust geleverd met behulp van het wachtwoord dat u opgeeft.

Bescherm back-upgegevens tegen onbedoelde of schadelijke verwijdering (zoals ransomware-aanvallen/pogingen om back-upgegevens te versleutelen of te knoeien). Voor door Azure Backup ondersteunde resources schakelt u soft delete in om ervoor te zorgen dat items zonder gegevensverlies maximaal 14 dagen na een niet-geautoriseerde verwijdering worden hersteld en schakelt u multifactorauthenticatie in met behulp van een pincode die is gegenereerd in de Azure portal. Schakel ook herstel tussen regio's in om ervoor te zorgen dat back-upgegevens kunnen worden hersteld wanneer er zich een noodgeval voordoet in de primaire regio.

Opmerking: Als u de systeemeigen back-upfunctie of andere back-upservices dan Azure Backup van de resource gebruikt, raadpleeg dan de Azure Security Benchmark (en service baselines) om bovenstaande controles te implementeren.

implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (Meer informatie):

BR-3: Back-ups controleren

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
11.3 CP-9 N.V.T.

beveiligingsprincipe: Ervoor zorgen dat alle bedrijfskritieke beveiligbare resources voldoen aan het gedefinieerde back-upbeleid en de standaard.

Azure-richtlijnen: Uw Azure-omgeving bewaken om ervoor te zorgen dat al uw kritieke resources compatibel zijn vanuit het perspectief van een back-up. Gebruik Azure-beleid voor back-up om dergelijke controle te controleren en af te dwingen. Voor door Azure Backup ondersteunde resources: Met Backup Center kunt u uw back-upomgeving centraal beheren.

Zorg ervoor dat kritieke back-upbewerkingen (verwijderen, retentie wijzigen, updates voor back-upconfiguratie) worden bewaakt, gecontroleerd en waarschuwingen hebben. Voor door Azure Backup ondersteunde resources controleert u de algehele back-upstatus, ontvangt u waarschuwingen over kritieke back-upincidenten, controleert u door de gebruiker geactiveerde acties op kluizen.

implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (Meer informatie):

BR-4: Regelmatig back-up testen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
11.5 CP-4, CP-9 N.V.T

beveiligingsprincipe: periodiek gegevenshersteltests van uw back-up uitvoeren om te controleren of de back-upconfiguraties en beschikbaarheid van de back-upgegevens voldoen aan de herstelbehoeften zoals gedefinieerd in de RTO (Recovery Time Objective) en RPO (Recovery Point Objective).

Azure Guidance: periodiek gegevenshersteltests van uw back-up uitvoeren om te controleren of de back-upconfiguraties en beschikbaarheid van de back-upgegevens voldoen aan de herstelbehoeften zoals gedefinieerd in de RTO en RPO.

Mogelijk moet u de teststrategie voor back-up herstel regelen, inclusief het testbereik, de frequentie en de methode, aangezien het uitvoeren van de volledige hersteltest telkens lastig kan zijn.

implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (Meer informatie):