Controlo de Segurança V2: Backup e Recuperação
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
A cópia de segurança e recuperação cobre controlos para garantir que as cópias de segurança de dados e configurações nos diferentes níveis de serviço são executadas, validadas e protegidas.
Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa Azure Security Benchmark Regulatory Compliance built-in: Backup and Recovery
BR-1: Garantir backups automáticos regulares
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-1 | 10.1 | CP-2, CP4, CP-6, CP-9 |
Certifique-se de que está a fazer backup de sistemas e dados para manter a continuidade do negócio após um evento inesperado. Isto deve ser definido por quaisquer objetivos para o Objetivo do Ponto de Recuperação (RPO) e para o Objetivo do Tempo de Recuperação (RTO).
Ativar Azure Backup e configurar a fonte de backup (tais como VMs Azure, SQL Server, bases de dados HANA ou Partilhas de Ficheiros), bem como o período de frequência e retenção pretendido.
Para um nível de proteção mais elevado, pode permitir que a opção de armazenamento geo-redundante replique dados de backup para uma região secundária e recupere usando a restauração da região transversal.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
BR-2: Encriptar dados de backup
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-2 | 10.2 | CP-9 |
Certifique-se de que os seus backups estão protegidos contra ataques. Isto deve incluir encriptação das cópias de segurança para proteger contra a perda de confidencialidade.
Para cópias de segurança no local que utilizem Azure Backup, a encriptação em repouso é fornecida utilizando a palavra-passe que fornece. Para cópias de segurança regulares do serviço Azure, os dados de backup são automaticamente encriptados utilizando as teclas geridas pela plataforma Azure. Pode optar por encriptar as cópias de segurança utilizando a chave gerida pelo cliente. Neste caso, certifique-se de que esta chave gerida pelo cliente no cofre chave também está no âmbito de backup.
Utilize o controlo de acesso baseado em funções Azure em Azure Backup, Azure Key Vault ou outros recursos para proteger cópias de segurança e chaves geridas pelo cliente. Além disso, pode ativar funcionalidades de segurança avançadas para exigir MFA antes que as cópias de segurança possam ser alteradas ou eliminadas.
Visão geral das funcionalidades de segurança em Azure Backup
Encriptação de dados de cópias de segurança com chaves geridas pelo cliente
Funcionalidades de segurança para ajudar a proteger backups híbridos de ataques
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
BR-3: Validar todas as cópias de segurança, incluindo as chaves geridas pelo cliente
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-3 | 10,3 | CP-4, CP-9 |
Efetue periodicamente a restauração de dados da sua cópia de segurança. Certifique-se de que pode restaurar as chaves geridas pelo cliente.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):
BR-4: Mitigar o risco de perda de chaves
| Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-4 | 10.4 | CP-9 |
Certifique-se de que dispõe de medidas para prevenir e recuperar da perda de chaves. Ative a eliminação recuperável e a proteção contra remoção no Azure Key Vault para proteger as chaves contra a eliminação maliciosa ou acidental.
Responsabilidade: Cliente
Stakeholders de Segurança do Cliente (Saiba mais):