Kontrola zabezpieczeń: tworzenie kopii zapasowych i odzyskiwanie
Tworzenie kopii zapasowych i odzyskiwanie obejmuje mechanizmy kontroli w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
zasada zabezpieczeń: Upewnij się, że zasoby o krytycznym znaczeniu dla działania firmy są zabezpieczone kopią zapasową podczas ich tworzenia lub wymuszaj kopię za pomocą polityki dla istniejących zasobów.
wskazówki dotyczące platformy Azure: w przypadku obsługiwanych zasobów usługi Azure Backup (takich jak maszyny wirtualne Azure, serwer bazy danych SQL, bazy danych HANA, bazy danych Azure PostgreSQL, udostępnianie plików, obiekty blob lub dyski), włącz usługę Azure Backup i skonfiguruj żądaną częstotliwość i okres przechowywania. W przypadku maszyny wirtualnej platformy Azure można używać usługi Azure Policy do automatycznego włączania tworzenia kopii zapasowych przy użyciu usługi Azure Policy.
W przypadku zasobów lub usług, które nie są obsługiwane przez usługę Azure Backup, użyj natywnej możliwości tworzenia kopii zapasowej udostępnianej przez zasób lub usługę. Na przykład usługa Azure Key Vault zapewnia natywną możliwość tworzenia kopii zapasowych.
W przypadku zasobów/usług, które nie są obsługiwane przez usługę Azure Backup ani nie mają natywnej możliwości tworzenia kopii zapasowej, oceń potrzeby tworzenia kopii zapasowych i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Na przykład:
- Jeśli używasz usługi Azure Storage do przechowywania danych, włącz wersjonowanie obiektów blob, co pozwoli zachować, pobrać i przywrócić każdą wersję każdego obiektu przechowywanego w usłudze Azure Storage.
- Ustawienia konfiguracji usługi można zwykle eksportować do szablonów usługi Azure Resource Manager.
implementacji platformy Azure i dodatkowego kontekstu:
- Jak włączyć usługę Azure Backup
- automatyczne włączanie tworzenia kopii zapasowej na maszynie wirtualnej przy użyciu usługi Azure Policy
wskazówki dotyczące platformy AWS: w przypadku zasobów obsługiwanych przez usługę AWS Backup (takich jak EC2, S3, EBS lub RDS), włącz usługę AWS Backup i skonfiguruj żądany okres przechowywania.
W przypadku zasobów/usług nieobsługiwanych przez usługę AWS Backup, takich jak AWS KMS, włącz natywną funkcję tworzenia kopii zapasowej w ramach tworzenia zasobów.
W przypadku zasobów/usług, które nie są obsługiwane przez usługę AWS Backup ani nie mają natywnej możliwości tworzenia kopii zapasowej, oceń potrzeby tworzenia kopii zapasowych i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Na przykład:
- Jeśli usługa Amazon S3 jest używana do przechowywania danych, włącz przechowywanie wersji S3 dla zasobnika magazynu, co pozwoli zachować, pobrać i przywrócić każdą wersję każdego obiektu przechowywanego w zasobniku S3.
- Ustawienia konfiguracji usługi można zwykle eksportować do szablonów CloudFormation.
implementacji platformy AWS i dodatkowego kontekstu:
- Obsługiwane zasoby i aplikacje innych firm przez AWS Backup Wersjonowanie Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- najlepszych rozwiązań platformy AWS CloudFormation
wskazówki dotyczące GCP: w przypadku zasobów obsługiwanych przez Google Cloud Backup (takich jak Compute Engine, Cloud Storage i kontenery) włącz Google Cloud Backup i skonfiguruj żądaną częstotliwość oraz okres przechowywania.
W przypadku zasobów lub usług, które nie są obsługiwane przez usługę Google Cloud Backup, użyj natywnej możliwości tworzenia kopii zapasowej udostępnianej przez zasób lub usługę. Na przykład usługa Secret Manager zapewnia natywną możliwość tworzenia kopii zapasowych.
W przypadku zasobów/usług, które nie są ani obsługiwane przez usługę Google Cloud Backup, ani nie mają natywnej możliwości tworzenia kopii zapasowej, oceń potrzeby tworzenia kopii zapasowych i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Na przykład:
- Jeśli używasz Google Cloud Storage do przechowywania danych zapasowych, włącz wersjonowanie obiektów, co pozwoli na zachowanie, pobranie i przywrócenie każdej wersji każdego obiektu przechowywanego w Google Cloud Storage.
Implementacja GCP i dodatkowego kontekstu:
- rozwiązania do tworzenia kopii zapasowych i odzyskiwania po awarii za pomocą usługi Google Cloud
- Tworzenie kopii zapasowych na żądanie i zarządzanie nimi
interesariuszy ds. zabezpieczeń klientów (Dowiedz się więcej):
- Polityka i standardy
- Architektura zabezpieczeń
- infrastruktura i zabezpieczenia punktu końcowego
- przygotowanie incydentu
BR-2: Ochrona danych kopii zapasowych i odzyskiwania
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
zasada zabezpieczeń: upewnij się, że dane kopii zapasowej i operacje są chronione przed eksfiltracją danych, naruszeniem bezpieczeństwa danych, oprogramowaniem wymuszającym okup/złośliwym oprogramowaniem i złośliwym kodem. Mechanizmy kontroli zabezpieczeń, które powinny być stosowane, obejmują kontrolę dostępu użytkowników i sieci, szyfrowanie danych magazynowanych i przesyłanych.
wskazówki dotyczące platformy Azure: użyj uwierzytelniania wieloskładnikowego i Azure RBAC, aby zabezpieczyć krytyczne operacje usługi Azure Backup (takie jak usuwanie, zmiany retencji, aktualizacje konfiguracji kopii zapasowych). W przypadku zasobów obsługiwanych przez Azure Backup użyj Azure RBAC, aby rozgraniczyć obowiązki i umożliwić precyzyjny dostęp, oraz utwórz prywatne punkty końcowe w obrębie swojej sieci wirtualnej platformy Azure, aby bezpiecznie tworzyć kopie zapasowe i przywracać dane z magazynów usługi Recovery Services.
W przypadku zasobów obsługiwanych przez usługę Azure Backup dane kopii zapasowej są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure z 256-bitowym szyfrowaniem AES. Możesz również wybrać szyfrowanie kopii zapasowych przy użyciu klucza zarządzanego przez klienta. W takim przypadku upewnij się, że klucz zarządzany przez klienta w usłudze Azure Key Vault również znajduje się w zakresie tworzenia kopii zapasowych. Jeśli używasz klucza zarządzanego przez klienta, zastosuj miękkie usuwanie i ochronę przed oczyszczeniem w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem. W przypadku lokalnych kopii zapasowych szyfrowanie danych w stanie spoczynku jest zapewniane przy użyciu podanego hasła przez usługę Azure Backup.
Ochrona danych kopii zapasowej przed przypadkowym lub złośliwym usunięciem, takich jak ataki oprogramowania wymuszającego okup lub próby zaszyfrowania lub manipulacji danymi kopii zapasowej. W przypadku obsługiwanych zasobów usługi Azure Backup włącz usuwanie nietrwałe, aby zapewnić odzyskiwanie elementów bez utraty danych przez maksymalnie 14 dni po nieautoryzowanym usunięciu i włączyć uwierzytelnianie wieloskładnikowe przy użyciu numeru PIN wygenerowanego w witrynie Azure Portal. Włącz również przechowywanie geograficznie redundantne lub przywracanie danych pomiędzy regionami, aby zapewnić możliwość odtworzenia danych zapasowych w przypadku awarii w regionie podstawowym. Można również włączyć magazyn strefowo nadmiarowy (ZRS), aby zapewnić możliwość przywracania kopii zapasowych podczas awarii strefowych.
Uwaga: jeśli używasz natywnej funkcji tworzenia kopii zapasowej zasobu lub usług kopii zapasowych innych niż Usługa Azure Backup, zapoznaj się z testem porównawczym zabezpieczeń w chmurze firmy Microsoft (i punktami odniesienia usługi), aby zaimplementować powyższe mechanizmy kontroli.
implementacji platformy Azure i dodatkowego kontekstu:
- Omówienie funkcji zabezpieczeń w usłudze Azure Backup
- Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta
- Funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych przed atakami
- Azure Backup — ustawianie przywracania między regionami
wytyczne AWS: użyj kontroli dostępu AWS IAM, aby zabezpieczyć AWS Backup. Obejmuje to zabezpieczenie dostępu do usługi AWS Backup oraz punktów tworzenia kopii zapasowych i przywracania. Przykładowe kontrolki to:
- Użyj uwierzytelniania wieloskładnikowego (MFA) w przypadku operacji krytycznych, takich jak usunięcie punktu kopii zapasowej/przywracania.
- Użyj protokołu Secure Sockets Layer (SSL)/Transport Layer Security (TLS), aby komunikować się z zasobami platformy AWS.
- Użyj usługi AWS KMS w połączeniu z usługą AWS Backup, aby zaszyfrować dane kopii zapasowej, korzystając z klucza CMK zarządzanego przez klienta lub klucza CMK zarządzanego przez platformę AWS, skojarzonego z usługą AWS Backup.
- Użyj blokady magazynu kopii zapasowych platformy AWS w celu niezmiennego przechowywania krytycznych danych.
- Zabezpieczanie zasobników S3 za pomocą zasad dostępu, wyłączanie dostępu publicznego, wymuszanie szyfrowania danych magazynowanych i kontrola wersji.
implementacji platformy AWS i dodatkowego kontekstu:
- zabezpieczenia w usłudze AWS Backup
- najlepsze rozwiązania dotyczące zabezpieczeń dla usługi Amazon S3
wskazówki GCP: używaj dedykowanych kont z najsilniejszym uwierzytelnianiem do wykonywania krytycznych operacji tworzenia i odzyskiwania kopii zapasowych, takich jak usuwanie, zmiana okresu przechowywania, aktualizacje konfiguracji kopii zapasowej. Chroniłoby to dane kopii zapasowej przed przypadkowym lub złośliwym usunięciem, takim jak ataki wymuszające okup lub próby zaszyfrowania lub manipulacji danymi kopii zapasowej.
Dla zasobów obsługiwanych przez GCP Backup użyj Google IAM z odpowiednimi rolami i uprawnieniami, aby rozdzielić obowiązki i umożliwić precyzyjny dostęp, oraz skonfiguruj połączenie dostępu do prywatnych usług z siecią VPC, aby bezpiecznie tworzyć kopie zapasowe i przywracać dane z systemu Backup/Recovery.
Dane kopii zapasowej są domyślnie szyfrowane automatycznie na poziomie platformy przy użyciu algorytmu Advanced Encryption Standard (AES), AES-256.
Uwaga: jeśli używasz natywnej funkcji tworzenia kopii zapasowej zasobu lub usług kopii zapasowych innych niż usługa GCP Backup, należy zapoznać się z odpowiednimi wskazówkami dotyczącymi implementowania mechanizmów kontroli zabezpieczeń. Można na przykład chronić określone wystąpienia maszyn wirtualnych przed usunięciem, ustawiając właściwość deletionProtection na zasobie wystąpienia maszyny wirtualnej.
wdrożenie GCP i dodatkowy kontekst:
- zasady przechowywania i blokady zasad przechowywania
- usługi tworzenia kopii zapasowych i odzyskiwania po awarii
- Zapobiegaj przypadkowemu usunięciu maszyny wirtualnej
interesariuszy ds. zabezpieczeń klientów (Dowiedz się więcej):
- Architektura zabezpieczeń
- infrastruktura i zabezpieczenia punktu końcowego
- przygotowanie do incydentu
BR-3: Monitorowanie kopii zapasowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
zasady zabezpieczeń: upewnij się, że wszystkie zasoby chronione przez firmę są zgodne ze zdefiniowanymi zasadami kopii zapasowych i standardem.
wskazówki dotyczące platformy Azure: Monitoruj środowisko platformy Azure, aby upewnić się, że wszystkie krytyczne zasoby są zgodne z perspektywy kopii zapasowej. Użyj usługi Azure Policy do tworzenia kopii zapasowych, aby przeprowadzać inspekcję i wymuszać takie kontrolki. W przypadku zasobów obsługiwanych przez Azure Backup, Centrum Kopii Zapasowych pomaga centralnie zarządzać systemem kopii zapasowych.
Upewnij się, że krytyczne operacje tworzenia kopii zapasowych (usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej) są monitorowane, poddawane inspekcji i mają wprowadzone alerty. W przypadku zasobów obsługiwanych przez usługę Azure Backup monitoruj ogólny stan kopii zapasowej, otrzymuj alerty dotyczące krytycznych incydentów związanych z kopiami zapasowymi i przeprowadź audyt wywołanych działań użytkowników w magazynach.
Uwaga: jeśli ma to zastosowanie, użyj również wbudowanych zasad (Azure Policy), aby upewnić się, że zasoby platformy Azure są skonfigurowane do tworzenia kopii zapasowych.
Implementacja Azure i dodatkowy kontekst:
- Zarządzaj swoją infrastrukturą kopii zapasowych przy użyciu Centrum Kopii Zapasowych
- Monitorowanie i obsługa kopii zapasowych przy użyciu centrum kopii zapasowych
- rozwiązania do monitorowania i raportowania dla usługi Azure Backup
wskazówki dotyczące platformy AWS: usługa AWS Backup współpracuje z innymi narzędziami platformy AWS, aby umożliwić monitorowanie obciążeń. Te narzędzia obejmują następujące elementy:
- Użyj menedżera inspekcji kopii zapasowych platformy AWS, aby monitorować operacje tworzenia kopii zapasowych w celu zapewnienia zgodności.
- Monitorowanie procesów tworzenia kopii zapasowych platform AWS przy użyciu usług CloudWatch i Amazon EventBridge.
- Użyj usługi CloudWatch, aby śledzić metryki, tworzyć alarmy i wyświetlać pulpity nawigacyjne.
- Używanie rozwiązania EventBridge do wyświetlania i monitorowania zdarzeń usługi AWS Backup.
- Użyj usługi Amazon Simple Notification Service (Amazon SNS), aby subskrybować tematy związane z usługą AWS Backup, takie jak tworzenie kopii zapasowych, przywracanie i kopiowanie zdarzeń.
Wdrożenie platformy AWS i dodatkowy kontekst:
- Monitorowanie AWS Backup
- monitorowanie zdarzeń usługi AWS Backup przy użyciu rozwiązania EventBridge
- Monitorowanie metryk usługi AWS Backup za pomocą usługi CloudWatch
- Używanie usługi Amazon SNS do śledzenia zdarzeń usługi AWS Backup
- Inspekcja kopii zapasowych i tworzenie raportów za pomocą menedżera inspekcji kopii zapasowych platformy AWS
wytyczne dotyczące platformy GCP: Monitoruj środowisko tworzenia kopii zapasowych i odzyskiwania po awarii, aby zapewnić, że wszystkie krytyczne zasoby są zgodne z wymaganiami dotyczącymi kopii zapasowych. Użyj zasad organizacyjnych do tworzenia kopii zapasowych, aby przeprowadzić inspekcję i wymusić takie kontrolki. W przypadku zasobów obsługiwanych przez usługę GCP Backup konsola zarządzania pomaga centralnie zarządzać infrastrukturą kopii zapasowych.
Upewnij się, że krytyczne operacje tworzenia kopii zapasowych (usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej) są monitorowane, poddawane inspekcji i mają wprowadzone alerty. W przypadku zasobów obsługiwanych przez usługę GCP Backup monitoruj ogólną kondycję kopii zapasowej, otrzymuj alerty dotyczące krytycznych zdarzeń kopii zapasowych i przeprowadź inspekcję wyzwolonych akcji użytkownika.
Uwaga: jeśli ma to zastosowanie, użyj również wbudowanych zasad (zasad organizacyjnych), aby upewnić się, że zasoby Google są skonfigurowane do tworzenia kopii zapasowych.
wdrożenie GCP i dodatkowy kontekst:
interesariuszy ds. zabezpieczeń klientów (Dowiedz się więcej):
BR-4: Regularne testowanie kopii zapasowej
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
zasada zabezpieczeń: Okresowo przeprowadzaj testy odzyskiwania danych kopii zapasowej, aby upewnić się, że konfiguracje i dostępność danych kopii zapasowej spełniają potrzeby odzyskiwania zgodnie z RTO (Recovery Time Objective - cel czasu odzyskiwania) i RPO (Recovery Point Objective - cel punktu odzyskiwania).
zalecenia dotyczące Azure: Okresowo przeprowadzaj testy odzyskiwania danych z kopii zapasowej, aby sprawdzić, czy konfiguracje kopii zapasowej i dostępność danych spełniają potrzeby odzyskiwania określone przez RTO i RPO.
Może zaistnieć potrzeba zdefiniowania strategii testowania procesu odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ przeprowadzanie pełnego testu odzyskiwania za każdym razem może być trudne.
implementacja Azure i dodatkowy kontekst:
- Jak odzyskać pliki z kopii zapasowej maszyny wirtualnej platformy Azure
- Jak przywrócić klucze usługi Key Vault w usłudze Azure
wskazówki dotyczące platformy AWS: okresowo przeprowadzaj testy odzyskiwania danych z kopii zapasowej, aby sprawdzić, czy konfiguracje kopii zapasowej oraz dostępność danych są zgodne z potrzebami odzyskiwania zdefiniowanymi w docelowym czasie odzyskiwania (RTO) i docelowym punkcie odzyskiwania (RPO).
Możesz potrzebować zdefiniować strategię testowania odzyskiwania kopii zapasowej, w tym zakres testu, częstotliwość i metodę, ponieważ wykonywanie pełnego testu odzyskiwania za każdym razem może być trudne. wdrożenie AWS i dodatkowy kontekst:
wytyczne GCP: okresowo przeprowadzaj testy odzyskiwania danych z kopii zapasowej, aby sprawdzić, czy konfiguracje i dostępność kopii zapasowej spełniają wymagania w zakresie odzyskiwania danych zgodnie z założeniami RTO (Czas Odzyskania) i RPO (Punkt Odzyskania).
Może być konieczne zdefiniowanie strategii testowania odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ pełne testowanie odzyskiwania za każdym razem może być trudne.
wdrożenie GCP i dodatkowy kontekst:
interesariuszy ds. zabezpieczeń klientów (Dowiedz się więcej):