Управление безопасностью: резервное копирование и восстановление
Резервное копирование и восстановление охватывают элементы управления, чтобы обеспечить выполнение, проверку и защиту резервных копий данных и конфигураций на разных уровнях служб.
BR-1. Обеспечение регулярного автоматического резервного копирования
| Элементы управления CIS версии 8 | NIST SP 800-53 r4 ID(s) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
Принцип безопасности: Обеспечьте резервное копирование критически важных для бизнеса ресурсов либо во время их создания, либо через политику для существующих ресурсов.
руководство по Azure. Для поддерживаемых ресурсов Azure Backup (таких как виртуальные машины Azure, SQL Server, базы данных HANA, база данных Azure PostgreSQL, общие папки, большие двоичные объекты или диски), включите Azure Backup и настройте нужную частоту и период хранения. Для виртуальной машины Azure можно использовать политику Azure для автоматического включения резервного копирования с помощью политики Azure.
Для ресурсов или служб, не поддерживаемых Azure Backup, используйте собственную возможность резервного копирования, предоставляемую ресурсом или службой. Например, Azure Key Vault предоставляет встроенную возможность резервного копирования.
Для ресурсов и сервисов, которые не поддерживаются Azure Backup и не имеют собственных возможностей резервного копирования, оцените ваши потребности в резервном копировании и аварийном восстановлении и создайте собственный механизм в соответствии с вашими бизнес-требованиями. Например:
- Если вы используете хранилище Azure для хранения данных, включите версионирование BLOB-объектов, чтобы сохранять, извлекать и восстанавливать каждую версию каждого объекта, хранящегося в вашем хранилище Azure.
- Параметры конфигурации службы обычно можно экспортировать в шаблоны Azure Resource Manager.
внедрение Azure и дополнительный контекст:
- Как включить azure Backup
- автоматическое включение резервного копирования при создании виртуальной машины с помощью политики Azure
руководство по AWS. Для поддерживаемых ресурсов AWS Backup (например, EC2, S3, EBS или RDS), включите службу архивации AWS и настройте нужную частоту и период хранения.
Для ресурсов и служб, не поддерживаемых AWS Backup, например AWS KMS, включите встроенную функцию резервного копирования в рамках создания ресурса.
Для ресурсов/служб, которые не поддерживаются AWS Backup и не имеют встроенной функции резервного копирования, оцените свои потребности в резервном копировании и восстановлении после аварий и создайте собственный механизм в соответствии с вашими бизнес-требованиями. Например:
- Если Amazon S3 используется для хранения данных, включите управление версиями S3 для контейнера хранилища, что позволит сохранять, извлекать и восстанавливать каждую версию каждого объекта, хранящегося в контейнере S3.
- Параметры конфигурации службы обычно можно экспортировать в шаблоны CloudFormation.
внедрение AWS и дополнительного контекста:
- Поддерживаемые ресурсы AWS Backup и сторонние приложения Управление версиями Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Лучшие практики AWS CloudFormation
руководство по GCP. Для поддерживаемых ресурсов Google Cloud Backup (например, подсистемы компьютеров, облачного хранилища и контейнеров), включите резервное копирование GCP и настройте нужную частоту и период хранения.
Для ресурсов или служб, не поддерживаемых Google Cloud Backup, используйте собственную возможность резервного копирования, предоставляемую ресурсом или службой. Например, Secret Manager предоставляет встроенную функцию резервного копирования.
Для ресурсов и служб, которые не поддерживаются Google Cloud Backup и не имеют собственных возможностей резервного копирования, оцените ваши потребности в резервном и аварийном копировании и создайте собственный механизм в соответствии с вашими бизнес-требованиями. Например:
- Если вы используете Google Storage для хранения резервных копий, включите управление версиями хранилища для управления версиями объектов, что позволит сохранять, извлекать и восстанавливать каждую версию каждого объекта, хранящегося в хранилище Google.
внедрение GCP и дополнительный контекст:
- решения для резервного копирования и аварийного восстановления с помощью Google Cloud
- Создание и управление резервными копиями по запросу и автоматически
заинтересованные стороны по безопасности клиентов (Подробнее):
- Политика и стандарты
- архитектура безопасности
- безопасность инфраструктуры и конечных устройств
- Подготовка к инцидентам
BR-2. Защита данных резервного копирования и восстановления
| Идентификаторы элементов управления CIS версии 8 | NIST SP 800-53 r4 идентификатор(ы) | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
принцип безопасности. Убедитесь, что данные и операции резервного копирования защищены от кражи данных, компрометации данных, программ-шантажистов и вредоносных программ и злоумышленников. К элементам управления безопасностью, которые следует применять, относятся управление доступом пользователей и сети, шифрование данных в состоянии покоя и при передаче.
рекомендации Azure. Используйте многофакторную проверку подлинности и Azure RBAC для защиты критически важных операций azure Backup (например, удаления, хранения изменений, обновлений конфигурации резервного копирования). Для поддерживаемых ресурсов Azure Backup используйте Azure RBAC для разделения обязанностей и обеспечения детального доступа и создания частных конечных точек в виртуальной сети Azure для безопасного резервного копирования и восстановления данных из хранилищ служб восстановления.
Для поддерживаемых ресурсов Azure Backup данные резервного копирования автоматически шифруются с помощью ключей, управляемых платформой Azure, с 256-разрядным шифрованием AES. Вы также можете зашифровать резервные копии с помощью управляемого клиентом ключа. В этом случае убедитесь, что ключ, управляемый клиентом, в Azure Key Vault также находится в области резервного копирования. Если вы используете ключ под управлением клиента, применяйте мягкое удаление и защиту от очистки в Azure Key Vault для защиты ключей от случайного или вредоносного удаления. Для локальных резервных копий с помощью Azure Backup шифрование неактивных данных осуществляется с использованием парольной фразы, которую вы предоставляете.
Защита данных резервного копирования от случайного или вредоносного удаления, например атак программ-шантажистов или попыток шифрования или изменения данных резервного копирования. Для поддерживаемых ресурсов Azure Backup включите обратимое удаление, чтобы обеспечить восстановление элементов без потери данных до 14 дней после несанкционированного удаления и включение многофакторной проверки подлинности с помощью ПИН-кода, созданного на портале Azure. Также включите геоизбыточное хранилище или восстановление между регионами, чтобы обеспечить возможность восстановления данных резервного копирования при возникновении аварии в основном регионе. Вы также можете включить зонированное избыточное хранилище (ZRS), чтобы гарантировать возможность восстановления резервных копий при отказе зоны.
Примечание. Если вы используете собственную функцию резервного копирования ресурса или службы резервного копирования, отличные от Azure Backup, обратитесь к microsoft Cloud Security Benchmark (и базовым планам служб) для реализации указанных выше элементов управления.
Реализация Azure и дополнительный контекст:
- Обзор функций безопасности в Azure Backup
- Шифрование данных резервного копирования с помощью ключей, управляемых клиентом,
- функции безопасности для защиты гибридных резервных копий от атак
- Azure Backup — настройка восстановления данных между регионами
руководство по AWS. Использование управления доступом AWS IAM для защиты резервного копирования AWS. Это включает защиту доступа к службе архивации AWS и точек резервного копирования и восстановления. Примеры элементов управления:
- Используйте многофакторную проверку подлинности (MFA) для критически важных операций, таких как удаление точки резервного копирования и восстановления.
- Используйте протокол TLS для обмена данными с ресурсами AWS.
- Используйте AWS KMS в сочетании с AWS Backup для шифрования данных резервного копирования с помощью управляемого клиентом CMK или управляемого AWS CMK, связанного со службой архивации AWS.
- Используйте блокировку AWS Backup Vault для неизменяемого хранилища критически важных данных.
- Защита контейнеров S3 с помощью политики доступа, отключение общедоступного доступа, применение шифрования неактивных данных и управление версиями.
реализация AWS и дополнительный контекст:
- безопасность в aws Backup
- Рекомендации по обеспечению безопасности для Amazon S3
руководство по GCP. Используйте выделенные учетные записи с аутентификацией высокой степени надежности для выполнения критически важных операций резервного копирования и восстановления, таких как удаление, изменение сроков хранения, обновления настроек резервного копирования. Это поможет защитить данные резервного копирования от случайного или вредоносного удаления, например, атак программ-вымогателей или попыток шифрования или изменения данных резервного копирования.
Для поддерживаемых ресурсов GCP Backup используйте Google IAM с ролями и разрешениями для разделения обязанностей и обеспечения детального доступа и настройки подключения частных служб к VPC для безопасного резервного копирования и восстановления данных с устройства Backup/Recovery.
Данные резервного копирования автоматически шифруются по умолчанию на уровне платформы с помощью алгоритма AES (AES), AES-256.
Примечание. Если вы используете собственную функцию резервного копирования ресурса или службы резервного копирования, отличные от GCP Backup, обратитесь к соответствующему руководству для реализации элементов управления безопасностью. Например, можно также защитить определенные экземпляры виртуальных машин от удаления, задав свойство deletionProtection в ресурсе экземпляра виртуальной машины.
реализация GCP и дополнительный контекст:
- политики хранения и замки для политик хранения
- службы резервного копирования и аварийного восстановления
- Запрет случайного удаления виртуальной машины
ответственные за безопасность клиентов (Подробнее):
BR-3. Мониторинг резервных копий
| Элементы управления CIS версии 8 | NIST SP 800-53 r4 ID(s) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
принцип безопасности. Убедитесь, что все критически важные для бизнеса ресурсы соответствуют определенной политике резервного копирования и стандарту.
рекомендации по Azure. Отслеживайте вашу среду Azure, чтобы обеспечить соответствие всех критически значимых ресурсов с точки зрения соответствия требованиям резервного копирования. Используйте политику Azure для резервного копирования для аудита и применения таких элементов управления. Для поддерживаемых ресурсов Azure Backup Центр архивации помогает централизованно управлять хранилищем резервных копий.
Убедитесь, что критически важные операции резервного копирования (удаление, хранение изменений, обновления конфигурации резервной копии) отслеживаются, проверяются и имеют оповещения. Для поддерживаемых ресурсов Azure Backup отслеживайте общую работоспособность резервного копирования, получайте оповещения о критических инцидентах резервного копирования и выполняйте аудит действий пользователей в хранилищах.
Примечание. Если применимо, используйте встроенные политики (политика Azure), чтобы убедиться, что ресурсы Azure настроены для резервного копирования.
Реализация Azure и дополнительного контекста:
- Управление хранилищем резервных копий с помощью центра архивации
- Мониторинг резервных копий и управление ими с помощью центра архивации
- решения для мониторинга и создания отчетов для Azure Backup
Рекомендации AWS: AWS Backup сотрудничает с другими инструментами AWS, чтобы предоставить возможность мониторинга ее рабочих нагрузок. К этим средствам относятся:
- Используйте диспетчер аудита резервного копирования AWS для мониторинга операций резервного копирования, чтобы обеспечить соответствие требованиям.
- Используйте CloudWatch и Amazon EventBridge для мониторинга процессов резервного копирования AWS.
- Используйте CloudWatch для отслеживания метрик, создания оповещений и просмотра панелей мониторинга.
- Используйте EventBridge для просмотра и мониторинга событий резервного копирования AWS.
- Используйте Службу уведомлений Amazon Simple Notification Service (Amazon SNS), чтобы подписаться на связанные с AWS Backup темы, такие как резервное копирование, восстановление и копирование событий.
внедрение AWS и дополнительного контекста:
- Мониторинг резервных копий AWS
- мониторинг событий резервного копирования AWS с помощью EventBridge
- мониторинг метрик резервного копирования AWS с помощью CloudWatch
- Использование Amazon SNS для отслеживания событий AWS Backup
- Выполняйте аудит резервных копий и создавайте отчеты с помощью средства аудита AWS Backup
руководства по GCP: контролируйте среду резервного копирования и аварийного восстановления, чтобы обеспечить соответствие всех критически важных ресурсов с точки зрения резервного копирования. Используйте политику организации для резервного копирования для аудита и применения таких элементов управления. Для поддерживаемых ресурсов GCP Backup консоль управления помогает централизованно управлять хранилищем резервных копий.
Убедитесь, что критически важные операции резервного копирования (удаление, хранение изменений, обновления конфигурации резервной копии) отслеживаются, проверяются и имеют оповещения. Для поддерживаемых ресурсов GCP Backup отслеживайте общую работоспособность резервных копий, получайте оповещения о критически важных инцидентах резервного копирования и выполняйте аудит действий пользователя.
Примечание. Если применимо, также используйте встроенные политики (организационная политика), чтобы убедиться, что ресурсы Google настроены для резервного копирования.
реализация GCP и дополнительный контекст:
Участники процесса обеспечения безопасности клиентов (Подробнее):
BR-4: регулярное тестирование резервного копирования
| Идентификаторы элементов управления CIS версии 8 | NIST SP 800-53 r4 ID(s) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
принцип безопасности. Периодически выполняйте тесты восстановления данных резервной копии, чтобы убедиться, что конфигурации резервных копий и доступность данных резервного копирования соответствуют потребностям восстановления в соответствии с требованиями RTO (цель времени восстановления) и RPO (целевая точка восстановления).
руководство Azure: Периодически выполняйте тесты восстановления данных из резервных копий, чтобы убедиться, что настройки и доступность резервных копий соответствуют потребностям восстановления, как определено RTO и RPO.
Возможно, вам потребуется определить стратегию тестирования восстановления из резервной копии, включая объем теста, частоту и метод, так как выполнение полного теста восстановления каждый раз может быть затруднительным.
внедрение Azure и дополнительный контекст:
- Как восстановить файлы из резервного копирования виртуальных машин Azure
- Восстановление ключей Key Vault в Azure
руководство по AWS. Периодически выполняйте тесты восстановления данных резервной копии, чтобы убедиться, что конфигурации резервных копий и доступность резервных копий соответствуют потребностям восстановления, определенным в RTO и RPO.
Возможно, вам потребуется определить стратегию тестирования восстановления из резервной копии, включая область тестирования, частоту и метод, так как выполнение полного теста восстановления каждый раз может быть затруднительным. реализации AWS и дополнительного контекста:
руководство по GCP. Периодически выполняйте тесты восстановления данных резервной копии, чтобы убедиться, что конфигурации резервного копирования и доступность резервных копий соответствуют потребностям восстановления, определенным в RTO и RPO.
Возможно, вам потребуется определить стратегию тестирования восстановления данных, включая область охвата теста, его частоту и метод, поскольку выполнение полного теста восстановления данных каждый раз может оказаться затруднительным.
реализация GCP и дополнительный контекст:
участники по безопасности клиентов (Подробнее):
- архитектура безопасности
- подготовка инцидентов
- безопасность данных