Säkerhetskontroll v3: Säkerhetskopiering och återställning
Säkerhetskopiering och återställning omfattar kontroller för att säkerställa att data och konfigurationssäkerhetskopior på de olika tjänstnivåerna utförs, verifieras och skyddas.
BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS ID:er v3.2.1 |
---|---|---|
11.2 | CP-2, CP-4, CP-9 | Ej tillämpligt |
Säkerhetsprincip: Säkerställ säkerhetskopiering av affärskritiska resurser, antingen när resurser skapas eller framtvingas via en princip för befintliga resurser.
Azure Guidance: För Azure Backup-resurser som stöds aktiverar du Azure Backup och konfigurerar säkerhetskopieringskällan (till exempel virtuella Azure-datorer, SQL Server, HANA-databaser eller filresurser) på önskad frekvens och kvarhållningsperiod. För virtuella Azure-datorer kan du använda Azure Policy för att aktivera säkerhetskopiering automatiskt med hjälp av Azure Policy.
För resurser som inte stöds av Azure Backup aktiverar du säkerhetskopieringen som en del av resursskapandet. Använd i tillämpliga fall inbyggda principer (Azure Policy) för att säkerställa att dina Azure-resurser har konfigurerats för säkerhetskopiering.
implementering och ytterligare kontext:
- Så här aktiverar du Azure Backup-
- Aktivera säkerhetskopiering automatiskt vid skapande av virtuell dator med Azure Policy
intressenter för kundsäkerhet (Läs mer):
BR-2: Skydda säkerhetskopierings- och återställningsdata
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS ID(s) v3.2.1 |
---|---|---|
11.3 | CP-6, CP-9 | 3.4 |
Säkerhetsprincip: Se till att säkerhetskopieringsdata och åtgärder skyddas mot dataexfiltrering, dataintrång, utpressningstrojaner/skadlig kod och skadliga insiders. De säkerhetskontroller som ska tillämpas omfattar användar- och nätverksåtkomstkontroll, datakryptering i vila och under överföring.
Azure-vägledning: Använda Azure RBAC och multifaktorautentisering för att skydda de kritiska Azure Backup-åtgärderna (till exempel ta bort, ändra kvarhållning, uppdatera säkerhetskopieringskonfigurationen). För Azure Backup-resurser som stöds använder du Azure RBAC för att separera uppgifter och aktivera detaljerad åtkomst och skapa privata slutpunkter i ditt virtuella Azure-nätverk för att på ett säkert sätt säkerhetskopiera och återställa data från dina Recovery Services-valv.
För resurser som stöds i Azure Backup krypteras säkerhetskopieringsdata automatiskt med azure-plattformshanterade nycklar med 256-bitars AES-kryptering. Du kan också välja att kryptera säkerhetskopiorna med hjälp av kundhanterad nyckel. I det här fallet kontrollerar du att den här kundhanterade nyckeln i Azure Key Vault också finns i säkerhetskopieringsomfånget. Om du använder kundhanterade nyckelalternativ använder du skydd mot mjuk borttagning och rensning i Azure Key Vault för att skydda nycklar från oavsiktlig eller skadlig borttagning. För lokala säkerhetskopior med Azure Backup tillhandahålls kryptering i vila med den lösenfras som du anger.
Skydda säkerhetskopierade data från oavsiktlig eller skadlig borttagning (till exempel utpressningstrojanattacker/försök att kryptera eller manipulera säkerhetskopieringsdata. För resurser som stöds av Azure Backup aktiverar du mjuk borttagning för att säkerställa återställning av objekt utan dataförlust i upp till 14 dagar efter en obehörig borttagning och aktiverar multifaktorautentisering med hjälp av en PIN-kod som genererats i Azure-portalen. Aktivera även återställning mellan regioner för att säkerställa att säkerhetskopierade data kan återställas när det uppstår en katastrof i den primära regionen.
Obs! Om du använder resursens inbyggda funktion för säkerhetskopiering eller andra säkerhetskopieringstjänster än Azure Backup, kontakta Azure Security Benchmark (och tjänstbaslinjer) för att implementera ovanstående kontroller.
implementering och ytterligare kontext:
- Översikt över säkerhetsfunktioner i Azure Backup
- Kryptering av säkerhetskopierade data med hjälp av kundhanterade nycklar
- säkerhetsfunktioner för att skydda hybridsäkerhetskopior från attacker
- Azure Backup – ställ in återställning mellan regioner
intressenter för kundsäkerhet (Läs mer):
BR-3: Övervaka säkerhetskopior
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID:n | PCI-DSS ID:er v3.2.1 |
---|---|---|
11.3 | CP-9 | Ej tillämpligt |
Säkerhetsprincip: Se till att alla affärskritiska skyddsbara resurser är kompatibla med den definierade säkerhetskopieringsprincipen och standarden.
Azure-vägledning: Övervaka din Azure-miljö för att säkerställa att alla dina kritiska resurser är kompatibla ur ett säkerhetskopieringsperspektiv. Använd Azure-principer för säkerhetskopiering för att granska och framtvinga sådan kontroll. För resurser som stöds av Azure Backup: Backup Center hjälper dig att centralt styra din säkerhetskopieringsegendom.
Se till att kritiska säkerhetskopieringsåtgärder (ta bort, ändra kvarhållning, uppdateringar av säkerhetskopieringskonfiguration) övervakas, granskas och har aviseringar på plats. För resurser som stöds av Azure Backup övervakar du övergripande säkerhetskopieringshälsa, får aviseringar om kritiska säkerhetskopieringsincidenter och granskar användarutlösta åtgärder i valv.
implementering och ytterligare kontext:
- Hantera din säkerhetskopieringsmiljö med hjälp av Backup Center
- Övervaka och använda säkerhetskopior med hjälp av Backup Center
- övervaknings- och rapporteringslösningar för Azure Backup
intressenter för kundsäkerhet (Läs mer):
BR-4: Testa säkerhetskopiering regelbundet
CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(s) | PCI-DSS ID:er v3.2.1 |
---|---|---|
11.5 | CP-4, CP-9 | Ej tillämpligt |
säkerhetsprincip: regelbundet utföra dataåterställningstester av din säkerhetskopia för att kontrollera att säkerhetskopieringskonfigurationerna och tillgängligheten för säkerhetskopieringsdata uppfyller återställningsbehoven enligt definitionen i RTO (mål för återställningstid) och RPO (mål för återställningspunkt).
Azure-vägledning: regelbundet utföra dataåterställningstester av din säkerhetskopia för att kontrollera att säkerhetskopieringskonfigurationerna och tillgängligheten för säkerhetskopieringsdata uppfyller återställningsbehoven enligt definitionen i RTO och RPO.
Du kan behöva definiera din strategi för säkerhetskopieringsåterställningstest, inklusive testomfånget, frekvensen och metoden eftersom det kan vara svårt att utföra det fullständiga återställningstestet varje gång.
implementering och ytterligare kontext:
- Så här återställer du filer från Säkerhetskopiering av virtuella Azure-datorer
- Så här återställer du Key Vault-nycklar i Azure
intressenter för kundsäkerhet (Läs mer):