Controle de Segurança V2: Backup e Recuperação
Observação
O Benchmark de Segurança do Azure mais up-todata está disponível aqui.
O Backup and Recovery abrange controles para garantir que os backups de dados e configurações nas diferentes camadas de serviço sejam executados, validados e protegidos.
Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Backup and Recovery
BR-1: Garanta backups automatizados regulares
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| BR-1 | 10.1 | CP-2, CP4, CP-6, CP-9 |
Certifique-se de que está fazendo backup de sistemas e dados para manter a continuidade dos negócios após um evento inesperado. Isso deve ser definido em função de quaisquer objetivos de RPO (Recovery Point Objective, objetivo do ponto de recuperação) e RTO (Recovery Time Objective, objetivo do tempo de recuperação).
Habilite o Backup do Azure e configure a fonte de backup (como VMs do Azure, SQL Server, bancos de dados HANA ou Compartilhamentos de Arquivos), bem como a frequência e o período de retenção desejados.
Para obter um nível mais alto de proteção, você pode habilitar a opção de armazenamento com redundância geográfica para replicar dados de backup para uma região secundária e recuperar usando a restauração entre regiões.
Responsabilidade: Cliente
Intervenientes na Segurança do Cliente (Saiba mais):
BR-2: Criptografar dados de backup
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| BR-2 | 10.2 | CP-9 |
Certifique-se de que seus backups estão protegidos contra ataques. Tal deve incluir a encriptação das cópias de segurança, a fim de proteger contra a perda de confidencialidade.
Para backups locais usando o Backup do Azure, a criptografia em repouso é fornecida usando a senha fornecida. Para backups regulares do serviço do Azure, os dados de backup são automaticamente criptografados usando chaves gerenciadas pela plataforma Azure. Você pode optar por criptografar os backups usando a chave gerenciada pelo cliente. Nesse caso, verifique se essa chave gerenciada pelo cliente no cofre de chaves também está no escopo do backup.
Use o controle de acesso baseado em função do Azure no Backup do Azure, no Cofre da Chave do Azure ou em outros recursos para proteger backups e chaves gerenciadas pelo cliente. Além disso, você pode habilitar recursos avançados de segurança para exigir MFA antes que os backups possam ser alterados ou excluídos.
Criptografia de dados de backup usando chaves gerenciadas pelo cliente
Recursos de segurança para ajudar a proteger backups híbridos contra ataques
Responsabilidade: Cliente
Intervenientes na Segurança do Cliente (Saiba mais):
BR-3: Valide todos os backups, incluindo chaves gerenciadas pelo cliente
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| BR-3 | 10.3 | CP-4, CP-9 |
Execute periodicamente a restauração de dados do seu backup. Certifique-se de que consegue restaurar de backup as chaves geridas pelo cliente.
Como recuperar arquivos do de backup da Máquina Virtual do Azure
Responsabilidade: Cliente
Intervenientes na Segurança do Cliente (Saiba mais):
BR-4: Mitigar o risco de perda de chaves
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| BR-4 | 10.4 | CP-9 |
Certifique-se de que tem medidas em vigor para prevenir e recuperar da perda de chaves. Habilite a proteção de exclusão suave e limpeza no Cofre de Chaves do Azure para proteger as chaves contra exclusão acidental ou mal-intencionada.
Responsabilidade: Cliente
Intervenientes na Segurança do Cliente (Saiba mais):