Controle de segurança v3: Backup e recuperação
O Backup and Recovery abrange controles para garantir que os backups de dados e configurações nas diferentes camadas de serviço sejam executados, validados e protegidos.
BR-1: Garanta backups automatizados regulares
Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
11.2 | CP-2, CP-4, CP-9 | N/A |
Princípio de Segurança: Garantir o backup de recursos críticos para os negócios, seja durante a criação de recursos ou aplicado por meio de políticas para recursos existentes.
Orientação do Azure: Para recursos com suporte do Backup do Azure, habilite o Backup do Azure e configure a fonte de backup (como VMs do Azure, SQL Server, bancos de dados HANA ou Compartilhamentos de Arquivos) na frequência e no período de retenção desejados. Para a VM do Azure, você pode usar a Política do Azure para ter o backup habilitado automaticamente usando a Política do Azure.
Para recursos não suportados pelo Backup do Azure, habilite o backup como parte de sua criação de recursos. Quando aplicável, use políticas internas (Política do Azure) para garantir que seus recursos do Azure estejam configurados para backup.
Implementação e contexto adicional:
- Como habilitar o Backup do Azure
- Habilitar automaticamente o backup na criação de VM usando o Azure Policy
Intervenientes na Segurança do Cliente (Saiba mais):
- Política e normas
- Arquitetura de segurança
- Segurança de infraestrutura e endpoint
- Preparação para incidentes
BR-2: Proteja os dados de backup e recuperação
Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
11.3 | CP-6, CP-9 | 3.4 |
Princípio de Segurança: Garantir que os dados e operações de backup estejam protegidos contra exfiltração de dados, comprometimento de dados, ransomware/malware e insiders mal-intencionados. Os controlos de segurança que devem ser aplicados incluem o controlo do acesso ao utilizador e à rede, a encriptação de dados em repouso e em trânsito.
Orientação do Azure: Use o RBAC do Azure e a autenticação multifator para proteger as operações críticas do Backup do Azure (como exclusão, retenção de alterações, atualizações da configuração de backup). Para os recursos suportados pelo Backup do Azure, utilize o RBAC do Azure para segregar funções e habilitar acesso granular. Crie pontos de extremidade privados na sua Azure Virtual Network para fazer backup e restaurar dados com segurança a partir dos seus cofres dos Serviços de Recuperação.
Para recursos suportados do Backup do Azure, os dados de backup são automaticamente criptografados usando chaves gerenciadas pela plataforma Azure com criptografia AES de 256 bits. Você também pode optar por criptografar os backups usando a chave gerenciada pelo cliente. Nesse caso, verifique se essa chave gerenciada pelo cliente no Cofre de Chaves do Azure também está no escopo de backup. Se você usar opções de chave gerenciadas pelo cliente, use a proteção de exclusão suave e limpeza no Cofre de Chaves do Azure para proteger as chaves contra exclusão acidental ou mal-intencionada. Para backups no local usando o Backup do Azure, a criptografia em repouso é fornecida usando a frase secreta que você fornece.
Proteja os dados de backup contra exclusão acidental ou maliciosa (como ataques/tentativas de ransomware de criptografar ou adulterar dados de backup. Para recursos com suporte do Backup do Azure, habilite a exclusão suave para garantir a recuperação de itens sem perda de dados por até 14 dias após uma exclusão não autorizada e habilite a autenticação multifator usando um PIN gerado no portal do Azure. Habilite também a restauração entre regiões para garantir que os dados de backup sejam restauráveis quando houver um desastre na região primária.
Nota: Se utilizar a funcionalidade de backup nativa do recurso ou serviços de backup diferentes do Azure Backup, verifique a Referência de Segurança do Azure (e as linhas de base do serviço) para implementar os controlos acima.
Implementação e contexto adicional:
- Visão geral dos recursos de segurança no Backup do Azure
- Criptografia de dados de backup usando chaves gerenciadas pelo cliente
- Recursos de segurança para ajudar a proteger backups híbridos contra ataques
- Azure Backup - definir restauração entre regiões
Intervenientes na Segurança do Cliente (Saiba mais):
- Arquitetura de segurança
- de segurança de infraestrutura e endpoint
- Preparação para incidentes
BR-3: Monitorar backups
Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
11.3 | CP-9 | N/A |
Princípio de segurança: Garantir que todos os recursos protegíveis críticos para os negócios estejam em conformidade com a política e o padrão de backup definidos.
Orientação do Azure: Monitore seu ambiente do Azure para garantir que todos os seus recursos críticos estejam em conformidade de uma perspetiva de backup. Utilize as Políticas do Azure para o backup, a fim de auditar e impor esse controlo. Para recursos com suporte do Backup do Azure: o Centro de Backup ajuda-o a controlar centralmente a sua infraestrutura de backup.
Certifique-se de que as operações críticas de backup (exclusão, retenção de alterações, atualizações na configuração de backup) sejam monitoradas, auditadas e tenham alertas em vigor. Para recursos com suporte do Backup do Azure, monitore a integridade geral do backup, seja alertado sobre incidentes críticos de backup, audite ações acionadas pelo usuário em cofres.
Implementação e contexto adicional:
- Administre o seu sistema de backup com o uso do Centro de Backup
- Monitore e opere backups usando o Centro de backup
- Soluções de monitoramento e relatórios para o Backup do Azure
Intervenientes na Segurança do Cliente (Saiba mais):
BR-4: Teste regularmente a cópia de segurança
Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID(s) v3.2.1 |
---|---|---|
11.5 | CP-4, CP-9 | N/A |
Princípio de segurança: Execute periodicamente testes de recuperação de dados do seu backup para verificar se as configurações de backup e a disponibilidade dos dados de backup atendem às necessidades de recuperação, conforme definido no RTO (Recovery Time Objetive) e RPO (Recovery Point Objetive).
Orientação do Azure: Execute periodicamente testes de recuperação de dados do seu backup para verificar se as configurações de backup e a disponibilidade dos dados de backup atendem às necessidades de recuperação, conforme definido no RTO e no RPO.
Talvez seja necessário definir sua estratégia de teste de recuperação de backup, incluindo o escopo, a frequência e o método do teste, pois a execução do teste de recuperação completa sempre pode ser difícil.
Implementação e contexto adicional:
- Como recuperar arquivos de backup da Máquina Virtual do Azure
- Como restaurar chaves do Cofre da Chave no Azure
Intervenientes na Segurança do Cliente (Saiba mais):