Управление безопасностью версии 3. Резервное копирование и восстановление
Резервное копирование и восстановление охватывают элементы управления, чтобы обеспечить выполнение, проверку и защиту резервных копий данных и конфигураций на разных уровнях служб.
BR-1. Обеспечение регулярного автоматического резервного копирования
| Контрольные меры CIS v8 идентификатор(ы) | NIST SP 800-53 r4 ID(s) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
принцип безопасности : обеспечить резервное копирование критически важных для бизнеса ресурсов либо на этапе их создания, либо в соответствии с политикой для уже существующих.
Руководство по Azure: для поддерживаемых ресурсов Azure Backup, включите Azure Backup и настройте источник резервного копирования (например, виртуальные машины Azure, базы данных SQL Server, базы данных HANA или общие папки) для желаемой частоты и периода хранения. Для виртуальной машины Azure можно использовать политику Azure для автоматического включения резервного копирования с помощью политики Azure.
Для ресурсов, не поддерживаемых Azure Backup, включите резервное копирование при их создании. Если применимо, используйте встроенные политики (политика Azure), чтобы убедиться, что ресурсы Azure настроены для резервного копирования.
Реализация и дополнительный контекст:
- Как включить azure Backup
- автоматическое включение резервного копирования при создании виртуальной машины с помощью политики Azure
заинтересованные стороны в области безопасности клиентов (Подробнее):
- Политика и стандарты
- архитектура безопасности
- безопасность инфраструктуры и конечных устройств
- подготовка к инциденту
BR-2. Защита данных резервного копирования и восстановления
| Идентификатор(ы) элементов управления CIS v8 | NIST SP 800-53 r4 ID(s) | идентификаторы PCI-DSS, версии 3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Принцип безопасности : убедитесь, что данные и операции резервного копирования защищены от кражи данных, компрометации данных, вредоносных инсайдеров, вымогательских программ и других вредоносных программ. Элементы управления безопасностью, подлежащие применению, включают контроль доступа пользователей и сети, шифрование данных в состоянии покоя и в процессе передачи.
Руководство по Azure: использовать Azure RBAC и многофакторную проверку подлинности для защиты критически важных операций Azure Backup (например, удаления, хранения изменений, обновлений конфигурации резервного копирования). Для поддерживаемых ресурсов Azure Backup используйте Azure RBAC для разделения обязанностей и обеспечения детального доступа и создания частных конечных точек в виртуальной сети Azure для безопасного резервного копирования и восстановления данных из хранилищ служб восстановления.
Для поддерживаемых ресурсов Azure Backup данные резервного копирования автоматически шифруются с помощью ключей, управляемых платформой Azure, с 256-разрядным шифрованием AES. Вы также можете зашифровать резервные копии с помощью управляемого клиентом ключа. В этом случае убедитесь, что этот ключ, управляемый клиентом, в Azure Key Vault также находится в области резервного копирования. При использовании клиентских ключей, управляйте ими через параметры в Azure Key Vault, применяя функции мягкого удаления и защиты от окончательной очистки, чтобы защитить ключи от случайного или злонамеренного удаления. Для локальных резервных копий с помощью Azure Backup шифрование данных на хранении обеспечивается с помощью парольной фразы, предоставленной вами.
Защита данных резервного копирования от случайного или вредоносного удаления (например, атак программ-шантажистов или попыток шифрования или изменения данных резервного копирования. Для поддерживаемых ресурсов Azure Backup включите обратимое удаление, чтобы обеспечить восстановление элементов без потери данных до 14 дней после несанкционированного удаления и включение многофакторной проверки подлинности с помощью ПИН-кода, созданного на портале Azure. Также включите восстановление между регионами, чтобы обеспечить возможность восстановления данных резервного копирования при возникновении аварии в основном регионе.
Примечание. Если вы используете собственные функции резервного копирования ресурсов или службы резервного копирования, отличные от Azure Backup, ознакомьтесь с базовыми показателями безопасности Azure (и базовыми показателями служб) для реализации указанных выше элементов управления.
Реализация и дополнительный контекст:
- Обзор функций безопасности в Azure Backup
- Шифрование данных резервного копирования с помощью ключей, управляемых клиентом,
- функции безопасности для защиты гибридных резервных копий от атак
- Azure Backup — настройка восстановления между регионами
заинтересованные стороны по безопасности клиентов (Подробнее):
BR-3. Мониторинг резервных копий
| Идентификатор(ы) CIS Controls версии 8 | NIST SP 800-53 r4 идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
принцип безопасности : убедитесь, что все критически важные для бизнеса ресурсы соответствуют определенной политике резервного копирования и стандарту.
Руководство по Azure: Следите за вашей средой Azure, чтобы все критически важные ресурсы соответствовали требованиям резервного копирования. Используйте политики Azure для резервного копирования для аудита и принудительного применения такого элемента управления. Для поддерживаемых ресурсов Azure Backup: Центр архивации помогает централизованно управлять хранилищем резервных копий.
Убедитесь, что критически важные операции резервного копирования (удаление, хранение изменений, обновления конфигурации резервного копирования) отслеживаются, проверяются и имеют оповещения. Для поддерживаемых ресурсов Azure Backup отслеживайте состояние резервного копирования, получайте оповещения о критических инцидентах резервного копирования, проверяйте действия пользователей в хранилищах.
Реализация и дополнительный контекст:
- Управление хранилищем резервных копий с помощью центра архивации
- Мониторинг резервных копий и управление ими с помощью центра архивации
- решения для мониторинга и создания отчетов для Azure Backup
заинтересованных лиц по безопасности клиентов (Подробнее):
BR-4: регулярное тестирование резервного копирования
| Идентификаторы элементов управления CIS версии 8 | NIST SP 800-53 r4 ID(s) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
принцип безопасности : периодически выполнять тесты восстановления данных резервного копирования, чтобы убедиться, что конфигурации резервного копирования и доступность резервных копий соответствуют потребностям восстановления в соответствии с требованиями RTO (цель времени восстановления) и RPO (целевая точка восстановления).
Руководство по Azure: Периодически выполнять тесты восстановления данных резервной копии, чтобы убедиться, что конфигурации резервного копирования и доступность резервных копий соответствуют потребностям восстановления, определенным в RTO и RPO.
Вам, возможно, потребуется определить стратегию тестирования восстановления, в том числе охват тестирования, частоту и метод, так как выполнение полного теста восстановления каждый раз может оказаться сложным.
Реализация и дополнительный контекст:
- Как восстановить файлы из резервного копирования виртуальных машин Azure
- Восстановление ключей Key Vault в Azure
заинтересованных лиц по безопасности клиентов (Подробнее):