Security Control v3: Tworzenie kopii zapasowej i odzyskiwanie
Tworzenie kopii zapasowych i odzyskiwanie obejmuje mechanizmy kontroli w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
Zasada zabezpieczeń: Zapewnij kopię zapasową zasobów krytycznych dla działania firmy, wykonując ją podczas tworzenia zasobów lub wymuszając ją za pomocą polityki dla istniejących zasobów.
Wskazówki dotyczące platformy Azure: Dla obsługiwanych zasobów usługi Azure Backup włącz usługę Azure Backup i skonfiguruj źródło kopii zapasowej (takie jak maszyny wirtualne platformy Azure, bazy danych SQL Server, bazy danych HANA lub udziały plików) zgodnie z żądaną częstotliwością i okresem przechowywania. W przypadku maszyny wirtualnej platformy Azure można używać usługi Azure Policy do automatycznego włączania tworzenia kopii zapasowych przy użyciu usługi Azure Policy.
W przypadku zasobów, które nie są obsługiwane przez usługę Azure Backup, włącz tworzenie kopii zapasowej w ramach tworzenia zasobów. Jeśli ma to zastosowanie, użyj wbudowanych zasad (Azure Policy), aby upewnić się, że zasoby platformy Azure są skonfigurowane do tworzenia kopii zapasowych.
implementacja i dodatkowy kontekst:
- Jak włączyć usługę Azure Backup
- Automatyczne włączanie tworzenia kopii zapasowej dla maszyny wirtualnej przy użyciu Azure Policy
Uczestnicy projektu zabezpieczeń klientów (Dowiedz się więcej):
- Polityka i standardy
- Architektura zabezpieczeń
- infrastruktura i zabezpieczenia punktu końcowego
- Przygotowanie incydentu
BR-2: Ochrona danych kopii zapasowych i odzyskiwania
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Zasada zabezpieczeń: Upewnij się, że dane kopii zapasowej i operacje są chronione przed eksfiltracją danych, naruszeniem bezpieczeństwa danych, oprogramowaniem wymuszającym okup, złośliwym oprogramowaniem oraz złośliwymi pracownikami. Mechanizmy kontroli zabezpieczeń, które powinny być stosowane, obejmują kontrolę dostępu użytkowników i sieci, szyfrowanie danych magazynowanych i przesyłanych.
Wskazówki dotyczące platformy Azure: używanie kontroli dostępu opartej na rolach platformy Azure i uwierzytelniania wieloskładnikowego w celu zabezpieczenia krytycznych operacji usługi Azure Backup (takich jak usuwanie, zmiana okresu przechowywania, aktualizacje konfiguracji kopii zapasowej). W przypadku zasobów obsługiwanych przez Azure Backup, użyj Azure RBAC, aby rozdzielić obowiązki i umożliwić szczegółowy dostęp, oraz utwórz prywatne punkty końcowe w swojej sieci wirtualnej Azure, aby bezpiecznie tworzyć kopie zapasowe i przywracać dane z magazynów Recovery Services.
W przypadku zasobów obsługiwanych przez usługę Azure Backup dane kopii zapasowej są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure z 256-bitowym szyfrowaniem AES. Możesz również zaszyfrować kopie zapasowe przy użyciu klucza zarządzanego przez klienta. W takim przypadku upewnij się, że ten klucz zarządzany przez klienta w usłudze Azure Key Vault znajduje się również w zakresie tworzenia kopii zapasowych. Jeśli używasz opcji klucza zarządzanego przez klienta, zastosuj tymczasowe usuwanie i ochronę przed trwałym usunięciem w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem. W przypadku lokalnych kopii zapasowych przy użyciu usługi Azure Backup, szyfrowanie danych w stanie spoczynku jest zapewniane za pomocą przez Ciebie podanego hasła.
Zabezpieczanie danych kopii zapasowej przed przypadkowym lub złośliwym usunięciem (na przykład atakami wymuszającym okup/próbami szyfrowania lub naruszenia danych kopii zapasowej. W przypadku obsługiwanych zasobów usługi Azure Backup włącz usuwanie nietrwałe, aby zapewnić odzyskiwanie elementów bez utraty danych przez maksymalnie 14 dni po nieautoryzowanym usunięciu i włączyć uwierzytelnianie wieloskładnikowe przy użyciu numeru PIN wygenerowanego w witrynie Azure Portal. Włącz również przywracanie między regionami, aby zapewnić możliwość przywracania danych kopii zapasowej w przypadku awarii w regionie podstawowym.
Uwaga: jeśli używasz natywnej funkcji tworzenia kopii zapasowej zasobu lub usług kopii zapasowych innych niż Usługa Azure Backup, zapoznaj się z testem porównawczym zabezpieczeń platformy Azure (i punktami odniesienia usługi), aby zaimplementować powyższe mechanizmy kontroli.
Wdrożenie i kontekst dodatkowy:
- Omówienie funkcji zabezpieczeń w usłudze Azure Backup
- Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta
- Funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych przed atakami
- Azure Backup — ustaw przywracanie między regionami
Uczestnicy projektu zabezpieczeń klientów (Dowiedz się więcej):
BR-3: Monitorowanie kopii zapasowych
| Kontrolki CIS w wersji 8 | Identyfikatory według NIST SP 800-53 r4 | ID(s) PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
Zasada zabezpieczeń: Upewnij się, że wszystkie zasoby chronione przez firmę są zgodne ze zdefiniowanymi zasadami i standardami kopii zapasowych.
Wskazówki dotyczące platformy Azure: Monitorowanie środowiska platformy Azure w celu zapewnienia zgodności wszystkich krytycznych zasobów z perspektywy kopii zapasowej. Użyj zasad platformy Azure do tworzenia kopii zapasowych, aby przeprowadzić inspekcję i wymusić taką kontrolę. W przypadku zasobów obsługiwanych przez usługę Azure Backup: Centrum kopii zapasowych pomaga centralnie zarządzać infrastrukturą kopii zapasowych.
Upewnij się, że krytyczne operacje tworzenia kopii zapasowej (usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej) są monitorowane, poddawane inspekcji i mają wprowadzone alerty. W przypadku zasobów obsługiwanych przez usługę Azure Backup monitoruj kondycję kopii zapasowych, otrzymuj alerty dotyczące krytycznych zdarzeń kopii zapasowych, przeprowadzaj inspekcje działań uruchamianych przez użytkowników w magazynach.
Implementacja i dodatkowy kontekst:
- Zarządzaj swoją infrastrukturą kopii zapasowych za pomocą Centrum Kopii Zapasowych
- Monitorowanie i obsługa kopii zapasowych przy użyciu centrum kopii zapasowych
- rozwiązania do monitorowania i raportowania dla usługi Azure Backup
Uczestnicy projektu zabezpieczeń klientów (Dowiedz się więcej):
BR-4: Regularne testowanie kopii zapasowej
| Kontrolki CIS w wersji 8 | Identyfikatory (ID) NIST SP 800-53 r4 | identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
Zasada Zabezpieczeń: okresowo przeprowadzaj testy odzyskiwania danych z kopii zapasowej, aby sprawdzić, czy konfiguracje i dostępność danych kopii zapasowej spełniają potrzeby odzyskiwania zgodnie z RTO (Celem Czasu Odzyskiwania) i RPO (Celem Punktu Odzyskiwania).
Wskazówki dotyczące platformy Azure: okresowo przeprowadzać testy odzyskiwania danych z kopii zapasowej, aby zweryfikować, czy konfiguracje i dostępność danych kopii zapasowej spełniają wymagania dotyczące odzyskiwania określone w czasach odzyskiwania (RTO) i punktach odzyskiwania (RPO).
Może być konieczne zdefiniowanie strategii testowania odzyskiwania kopii zapasowej, która obejmuje zakres testu, częstotliwość i metodę, gdyż wykonywanie pełnego testu odzyskiwania za każdym razem może być trudne.
Implementacja i dodatkowy kontekst:
- Jak odzyskać pliki z kopii zapasowej maszyny wirtualnej platformy Azure
- Jak przywrócić klucze usługi Key Vault w usłudze Azure
Uczestnicy projektu zabezpieczeń klientów (Dowiedz się więcej):