为何遵循 ACSC Essential 8 用户备份指南?
澳大利亚网络安全中心 (ACSC) 领导澳大利亚政府改善网络安全的努力。 ACSC 建议所有澳大利亚组织实施 ACSC 缓解网络安全事件战略中的“基本八项缓解策略”作为基线。 基线称为“基本八项”,是基础网络安全措施,使攻击者更难入侵系统。
基本八种成熟度级别允许组织评估其网络安全措施是否适合在当今互连的 ICT 环境中应对常见威胁。
备份是确保重要数据免受丢失的基本策略,无论是物理手段(如硬件故障、盗窃、意外损坏或自然灾害)还是逻辑手段(如意外删除、损坏、病毒或恶意软件感染)造成的丢失。 作为基本八项缓解措施,备份也可能是更难提供规范性指导的实现方法之一,具体取决于每个组织的独特需求,差异很大。 常规备份的重要性体现在其包含在 ACSC 的缓解网络安全事件策略中的基本八项策略之一。
传统的备份方法是定期获取数据的完整、差异或增量副本,并将备份媒体脱机存储(最好是存储在单独的设施中),以便可以及时还原数据的干净副本。 虽然在在线世界中镜像这种方法可能很诱人,但云服务的规模可能会使此类措施不切实际且成本高昂。
这是否意味着无需使用 Microsoft 365 等服务备份数据? 不! 你绝对需要确保你的信息受到保护。 但是,使用 Microsoft 365 等服务的方式自然与当前保护本地文件共享的方式不同。 组织应专注于配置内置保留设置,以确保数据在服务中受到必要的保护,以满足业务需求。 组织还应投资数据分类方案,以确定要通过其他控件保护的真正关键信息。 Microsoft 365 提供的服务允许用户和管理员在意外删除或损坏时还原文件和电子邮件。 对于存储在本地工作负载或 Azure 服务中的数据,Azure 备份提供了一种简单、安全且经济高效的解决方案,用于备份数据并从 azure 云Microsoft恢复数据。
最后,在灾难恢复方案中,将环境还原到操作状态所需的配置与数据本身一样重要。 可以通过备份系统状态来捕获服务器和域信息,Microsoft Azure 恢复服务 (MARS) 代理,并存储在 Azure 备份 服务中。 对于 Microsoft 365 和 Azure 等云服务的配置,基础结构即代码解决方案提供了直接在管理门户中手动更改的替代方法,脚本或部署模板能够将环境重置为所需设置,或者使用相同的配置预配第二个租户。
由于《基本八项》概述了一组最少的预防措施,组织需要在其环境需要的地方实施额外的措施。 此外,虽然基本八项可以帮助缓解大多数网络威胁,但它不会缓解所有网络威胁。 因此,需要考虑其他缓解策略和安全控制措施,包括 缓解网络安全事件策略 | Cyber.gov.au 和信息安全 手册 (ISM) | Cyber.gov.au。
下表概述了基本 8 个控件的常规备份组件与 ISM 的成熟度级别 1、2 和 3 之间的映射:
| ISM 控制 2024 年 12 月 | 成熟度级别 | 补救措施 |
|---|---|---|
| 1511 | 1, 2, 3 | 根据业务关键性和业务连续性要求执行和保留数据、应用程序和设置的备份。 |
| 1515 | 1, 2, 3 | 将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试。 |
| 1810 | 1, 2, 3 | 数据、应用程序和设置的备份会同步,以便还原到公共时间点。 |
| 1811 | 1, 2, 3 | 数据、应用程序和设置的备份以安全且可复原的方式保留。 |
| 1812 | 1, 2, 3 | 无特权用户帐户无法访问属于其他帐户的备份。 |
| 1814 | 1, 2, 3 | 禁止无特权用户帐户修改和删除备份。 |
| 1705 | 2、3 | 特权用户帐户 (不包括备份管理员帐户) 无法访问属于其他帐户的备份 |
| 1707 | 2、3 | (排除备份管理员帐户) 的特权用户帐户无法修改和删除备份。 |
| 1813 | 2、3 | 无特权用户帐户无法访问属于其他帐户及其自己的帐户的备份。 |
| 1706 | 3 | 特权用户帐户 (不包括备份管理员帐户) 无法访问其自己的备份。 |
| 1708 | 3 | 备份管理员帐户在保留期内无法修改和删除备份。 |
方法
Microsoft 365 中的 In-Place 保留期
在 “共担责任模型”下,客户始终对信息和数据负责。 传统的备份实现通常侧重于保护存储容器及其内的所有内容。 这种全面策略对于防止本地面临的各种威胁可能是必需的,但随着对物理环境的云服务的采用,物理环境的责任将转移到云提供商,并可以采用备用控制来缓解设备丢失或故障以及因此可能发生的数据的物理或逻辑损坏造成的威胁。 在这种情况下,复原能力的发展可以抵消从备份中恢复基础结构的需要。
Microsoft云服务的复原能力和连续性的完整细分超出了本文档的范围。 组织应熟悉 Microsoft云风险评估指南 中提供的概念,并查看通过 服务信任门户提供的相应外部审核报告。
信息保护的标准原则之一是数据和备份应单独保留,因此在服务中使用保留的想法最初对客户来说似乎并不直观。 在云服务中保留信息有许多优点。 考虑对具有Microsoft 365 E3许可的普通组织可用的存储:
- OneDrive for Business,用户将其自己的文件(类似于主目录存储在文件共享上)为每个用户提供 1 TB 的选项,以便默认将存储扩展到 5 TB,并可根据请求提供更多存储空间来Microsoft 支持部门。
- Exchange Online允许在个人存档中使用 100 GB 的主邮箱和无限存储空间。
- SharePoint Online 为协作网站和Microsoft Teams 提供后端存储,每个客户的初始池存储为 1 TB,每个许可用户再提供 10 GB 的池存储。
因此,对于典型的 1,000 个用户组织,Microsoft 365 提供超过 5,111 TB 或 5.11 PB 的存储空间,甚至考虑邮箱存档以及已离职用户的邮箱和个人文件的无限制存储。
在外部服务中复制所有这些信息将花费大量时间来传输备份和还原操作,随着时间的推移,可能会给业务带来巨大的财务成本。 此外,将数据移出服务时,还需考虑其他风险,例如有意或无意将数据传输到地理区域外部的法规遵从性影响,或通过第三方服务泄露数据的潜在暴露风险。 但最终,最大的考虑因素之一是用户便利性 - 如果删除的文件甚至勒索软件感染会清除用户的整个目录,OneDrive for Business使用户可以轻松地还原文件的良好版本或将整个库还原到特定时间点,所有这些都无需管理员帮助。
保留策略和保留标签
保留策略和标签 提供了一种控制数据在 Microsoft 365 中的保留方式的方法。 保留策略可以应用于Exchange Online邮箱和公用文件夹、SharePoint Online 网站、OneDrive for Business帐户、Microsoft 365 个组、Teams 邮件和 yammer) 内容Viva Engage (等位置。 单个策略可以应用于多个位置或单个站点或用户,并且项将继承分配给容器的保留设置。 应用保留设置时,用户以通常的方式处理其文件或电子邮件,但每当修改或删除文件或邮件时,系统都会透明地将数据副本存储在用户隐藏的安全位置。
有关保留设置如何适用于不同工作负载的详细信息,请参阅以下文章:
- 了解用于 SharePoint 和 OneDrive 的保留
- 了解用于 Microsoft Teams 的保留
- 了解 Viva Engage (Yammer) 的保留期
- 了解用于 Exchange 的保留
保留策略应用于在网站或邮箱级别为内容分配相同的保留设置,但对于更精细的应用程序保留标签,可以使用在项目级别分配设置 (文件夹、文档或电子邮件) 。 与保留策略不同,如果内容移动到 Microsoft 365 租户中的另一个位置,则保留标签随内容一起移动。 保留标签还提供保留策略没有的功能,例如在保留期结束时触发处置评审或将内容标记为记录。
可以根据关键字、模式、敏感信息类型或可训练的分类器手动或自动应用保留标签。 敏感信息类型 可用于识别表示文件和电子邮件中机密信息的模式,例如个人数据、财务帐号和医疗数据。 可训练的分类器 通过使用机器学习来了解项目并对其进行分类,立即识别简历和源代码或组织特定的信息(如培训期后的合同和工作订单),从而扩展了此方法。
保留策略和标签是数据生命周期管理计划的基本组件,应从备份备用项及其更广泛的数据治理影响方面进行评估。
In-Place 保留期的例外
对于某些类型的真正关键信息,在联机服务之外保留副本可能很实用。 例如,如果电源或通信故障意味着无法访问 Internet,则存储在 SharePoint 网站中的灾难恢复计划和员工联系人注册将没有什么价值。 组织应采用标准风险管理做法,以确保根据概率和影响对重大事件进行适当规划。 识别和分类数据有助于确保最重要的信息可以存储在备用位置,而无需复制不必要的数据。
OneDrive for Business和Outlook 作为Microsoft Office Apps for Enterprise 的一部分,虽然不是作为备份或恢复解决方案的一部分,但都会将与云服务同步的数据副本存储在用户的本地计算机上,如果无法访问原始数据源,甚至可以复制这些数据副本。 OneDrive 客户端应用程序还可用于将关键文档同步到非现场计算机。
第三方迁移工具可用于镜像联机服务和备用Microsoft SharePoint Server 实例之间的内容,或者私有云解决方案中的Microsoft Exchange Server。 对于大多数组织或用户来说,这种复杂且成本高昂的解决方案是没有保证的,但如果通过定量风险分析确定有必要,可以针对业务关键型数据和帐户实施。
使用 Azure 备份 备份本地和基于云的服务
Azure 备份服务提供了一种简单、安全且经济高效的解决方案,用于从 Azure Microsoft 内部备份和恢复本地和基于云的数据。 Azure 中的本机控件支持备份 Windows/Linux VM、Azure 托管磁盘、Azure 文件存储共享、SQL 数据库、SAP HANA 数据库和 Azure Blob。 Microsoft Azure 恢复服务 (MARS) 代理提供备份文件的功能, 本地或虚拟机中的文件夹和系统状态,并与本地 Azure 备份 Server (MABS) 或 System Center Data Protection Manager 集成, (DPM) 服务器来备份工作负荷,例如 Hyper-V VM、Microsoft SQL Server、SharePoint Server、Microsoft Exchange 甚至 VMware VM。
Azure 备份包括保护传输中的数据和静态数据的广泛安全功能,包括精细的基于角色的访问控制、数据加密、防止意外删除以及监视可疑活动并发出警报。
标识和用户访问的管理和控制
恢复服务保管库使用的存储帐户是隔离的,用户不能出于任何恶意目的访问。 只能通过Azure 备份管理操作(例如还原)进行访问。 Azure 备份允许使用 Azure 基于角色的访问控制 (Azure RBAC) 通过精细访问来控制托管操作。 Azure RBAC 允许在团队中分离职责,并仅向用户授予完成其作业所需的访问权限。
Azure 备份提供了三个内置角色来控制备份管理操作:
- 备份参与者:创建和管理备份,但删除恢复服务保管库并授予其他人访问权限除外
- 备份操作员:除删除备份和管理备份策略外,参与者执行的所有操作
- 备份读取者:查看所有备份管理操作的权限
下一页使用 Azure 基于角色的访问控制管理备份,还进一步详细介绍了分配给这三个内置角色的特定功能。 特别注意事项还应侧重于 Azure 资源的所有者 (例如,Azure 资源组所有者在继承对其资产的权限(包括Azure 备份权限)时) 。
若要为恢复服务保管库上的关键操作提供额外的保护层,Azure 备份支持通过 Resource Guard 进行多用户授权。 虽然Microsoft Entra Privileged Identity Management可用于确保备份管理员必须获得批准才能访问提升的权限,但用户随后将有权访问角色提供的所有功能,包括修改备份策略以降低保留期或禁用软删除功能,确保已删除的备份可用于其他 14日。 Resource Guard 通过要求备份管理员对单独的订阅或租户中的恢复服务保管库和 Resource Guard 实例具有权限来解决授权问题。
要让备份管理员执行关键操作(例如修改策略或禁用软删除),他们首先需要获取托管Azure 备份订阅中的“备份参与者”角色,然后在 Resource Guard 上获取“参与者”角色,否则操作将失败。 使用 PIM 时,会记录两个提升,包括捕获为什么需要这样做的理由、在短时间内分配并自动撤销,甚至可能需要不同管理员的批准。
管理客户端设备的设置和程序
新式管理方法无需备份客户端设备来保留设置和应用程序,而是确保轻松替换客户端设备,并将对用户的影响降到最低。 数据存储位置可以自动重定向到云服务并与云服务同步,这意味着设备上的任何副本都可用于促进脱机访问。 可以根据管理解决方案中的用户或设备策略(例如Microsoft Intune)以及存储在基于云的用户配置文件中的应用程序设置来自动预配应用程序。
Windows Autopilot 使用户能够轻松设置自己的计算机,无论计算机是由组织预配置还是从零售商购买的,还可用于重置、重新调整用途或恢复设备。
勒索软件恢复和恶意操作的注意事项
前面的部分重点介绍了如何在 Microsoft 服务中保留数据,作为备份和还原方案的传统过程的替代方法,但考虑到 Essential 8 控制的意图,有必要特别注意勒索软件事件的影响以及恶意管理员或已泄露特权帐户的故意操作。
在现代管理和零信任方法下,终结点本身的后果应该可以忽略不计,因为受勒索软件入侵的客户端计算机可能会被 Windows Autopilot 等技术远程擦除和重新预配,而不会丢失数据。 可以从Azure 备份中虚拟机或系统状态的备份还原或重新创建服务器,其中包括还原位于网络共享上的用户文件。 若要恢复存储在 SharePoint Online 或OneDrive for Business中的用户文件,可以将整个网站还原到过去 30 天内的某个时间点,如本文稍后将 SharePoint 和 OneDrive 还原到已知良好状态一节中所述。 在极少数情况下,勒索软件删除的电子邮件可能会从已删除邮件中恢复。
Microsoft发布了从勒索软件攻击中恢复的特定指南,并在该指南的步骤 6 中标注了用于恢复电子邮件的选项 - 具体而言,管理员如何利用Exchange Online来恢复用户邮箱中的已删除邮件,以及最终用户如何在 Outlook for Windows 中恢复已删除邮件,包括访问隐藏的“可恢复项目”文件夹。
正如可以将服务配置为保留或备份数据一样,还可以将其配置为清除具有恶意意图的人员的数据,无论是不满的员工还是有权访问已泄露特权帐户的外部参与者。 在两个实际示例中,管理员被强制禁用高管帐户上的保留策略,允许管理人员清除其文件和电子邮件以销毁证据,并且有权访问管理员帐户的外部威胁参与者能够在对组织发起 Wiper 攻击之前删除备份。 这些方案突出了对深层防御方法的需求,包括补偿控制以管理管理权限。
Microsoft 365 包括 保留锁 功能,可阻止管理员禁用或删除保留策略和标签,或者降低其限制。 虽然这是确保数据安全性和证明法规合规性的重要功能,但应谨慎使用此功能,因为没有人(包括全局管理员,甚至Microsoft 支持部门)可以将其关闭。
保护策略的其他选项包括对基于角色的访问的严格控制以及实时提升和审批,以便任何用户都无法自行获得必要的权限。 限制 管理权限指南中更详细地介绍了这些功能。
对于Azure 备份,Resource Guard 通过要求从单独的订阅获得权限来执行受保护的操作(例如删除或修改策略或禁用软删除)来提供Privileged Identity Management以外的额外安全层。 正确执行,这可以确保由单独的团队批准和监督,这意味着对受保护职能的任何更改都需要至少两到三个人参与。
开始使用
设置默认保留策略
为了保护 Microsoft 365 中的数据,需要创建保留策略并将其应用到相应的位置。 与保留标签不同,你可以对同一内容应用多个保留策略,这意味着可以创建一个标准组织范围的默认设置,并在必要时在容器级别 (保留策略 (保留策略) 或项目级 (保留标签) 应用更长的保留期。
例如,在 Microsoft Purview 门户中的数据生命周期管理解决方案中创建一个保留策略,该策略适用于所有 Exchange 电子邮件收件人、所有 SharePoint 网站、所有 OneDrive 帐户以及所有 Microsoft 365 个组,并设置一个策略,将项目保留 1 年,最后不执行任何操作。 该策略将应用于所有现有位置,之后创建的新位置将继承这些设置。 如果删除项目,则会将其保存在 Exchange (可恢复的项目文件夹的适当位置,SharePoint 和 OneDrive 的保留库) 1 年,然后才允许运行清理过程。 当 1 年保留期到期时,未删除的项目将保留在其位置中,并且可以无限期地保留在那里,但是,如果删除后,它们会立即进入清理阶段,以便在相应的服务中永久删除。
通过应用于特定用户或站点的更多保留策略,或者对包含敏感信息的项目使用保留标签,可以根据需要强制实施更长的保留设置。 保留策略 可以具有自适应或静态范围,策略中可用的选项可能因所选内容而异。 可能需要创建多个策略来涵盖租户中的所有位置,因为 Teams 和 Viva Engage (Yammer) 设置无法在包含其他服务的静态策略中定义。
保留已离职用户的内容
保留已离开公司的用户拥有的内容的传统方法是将邮箱导出到 PST,并将其与个人文件一起存储在文件服务器或脱机存储媒体上,但组织通常希望此数据联机,以便不仅可由经理或继任者手动审阅,而且可以通过电子数据展示解决方案提供该数据的可见性。 Microsoft 365 将在删除许可证或删除帐户后默认保留用户数据 30 天,在此期间,如果用户返回组织,则可以访问或重新激活数据。 若要在此期限到期后保留数据,Microsoft 365 个保留策略和保留标签可以阻止删除清理过程启动,只要仍有要保护的内容。 这意味着,如果内容受到上一节中定义的 1 年保留保护,那么离开组织的用户将至少在下一年保留Microsoft 365 的电子邮件和文件,即使帐户已被删除并重新分配许可证也是如此。
虽然 Exchange Online 仍支持旧式诉讼保留功能,从而可以保护整个邮箱和存档,直到删除保留,Microsoft建议使用 Microsoft 365 保留,以基于内容应用不同的设置,并在保留期到期时管理数据应发生的情况。
有关管理前员工的详细信息,请参阅管理 前员工Microsoft 365。
| ISM 控制 2024 年 12 月 | 成熟 | Control | Measure |
|---|---|---|---|
| 1511 | 1, 2, 3 | 根据业务关键性和业务连续性要求执行和保留数据、应用程序和设置的备份。 | Microsoft 365 保留期可确保在高度复原的环境中捕获并保留存储在服务中的数据。 保留标签和/或策略必须按照前面所述进行配置,但是,由于通过正常的写入或删除操作保留文件,因此无需计划或运行特定的复制过程。 |
| 1515 | 1, 2, 3 | 将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试。 | 应验证保留标签和/或策略,以便数据保留按预期执行。 |
| 1705 | 2、3 | 特权用户帐户 (不包括备份管理员帐户) 无法访问属于其他帐户的备份。 | 应验证对保留标签和/或策略涵盖的数据的访问,以便充分了解访问权限。 应特别注意确保特权帐户除了验证之外,无法访问其他帐户及其自己的帐户的备份。 |
| 1707 | 2、3 | (排除备份管理员帐户) 的特权用户帐户无法修改和删除备份。 | 应验证对保留标签和/或策略涵盖的数据的访问,以便充分了解访问权限。 应特别注意确保特权帐户除了验证之外,无法访问其他帐户及其自己的帐户的备份。 |
| 1810 | 1, 2, 3 | 数据、应用程序和设置的备份会同步,以便还原到公共时间点。 | 保留策略作为 Microsoft 365 服务的一部分进行存储,应适当管理这些策略的管理和治理。 |
| 1811 | 1, 2, 3 | 数据、应用程序和设置的备份以安全且可复原的方式保留。 | 保留策略作为 Microsoft 365 服务的一部分进行存储,应适当管理这些策略的管理和治理。 |
以用户身份还原已删除的邮箱项目
当用户删除其邮箱中的项目时,该邮件会移动到“ 已删除邮件” 文件夹,并且可以通过打开文件夹并将该项目拖回所需位置来恢复。 如果用户从“已删除邮件”中删除项目,清空“已删除邮件”文件夹,或通过选择 “Shift+Delete ”从另一个文件夹中永久删除该项目,则该项目将存储在 “可恢复的项目” 文件夹中。
若要从“可恢复的项目”文件夹中还原项目,用户可以从 Outlook 桌面应用程序的工具栏中选择“恢复已删除邮件”选项,或者右键单击Outlook 网页版中的“已删除邮件”文件夹。 然后,可以选择并还原相应的项目,这将将项目返回到“已删除邮件”文件夹,然后将其移动到更永久的位置。 用户还可以从“恢复已删除邮件”界面中清除项目,此时它们只能由管理员恢复。
有关恢复已删除邮件的详细信息,请参阅恢复 Outlook for Windows 中的已删除邮件和恢复Outlook Web App中的已删除邮件或电子邮件。
以管理员身份还原已删除的邮箱项目
管理员可以通过多种方法代表用户恢复已删除的项目。
若要恢复单个用户的已删除邮件,管理员可以在新 Exchange 管理员中心的收件人的邮箱设置中选择“恢复已删除邮件”选项。
管理员还可以使用 Exchange Online PowerShell 使用 Get-RecoverableItems 和 Restore-RecoverableItems 命令恢复已删除的项目。 使用 Exchange 管理员 中心和 PowerShell 方法,项将还原到其原始位置。
若要跨多个用户搜索邮件,管理员可以使用Microsoft Purview 合规门户中的内容搜索功能。
搜索完成后,可以使用结果的详细报告,管理员可以进一步优化查询或将结果导出到 PST 文件。
内容搜索方法还可用于恢复 SharePoint Online 中存储的文件,其查找和导出内容的机制与Standard电子数据展示案例中使用的机制相同。
| ISM 控制 2024 年 12 月 | 成熟 | Control | Measure |
|---|---|---|---|
| 1515 | 1, 2, 3 | 将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试。 | 应记录、测试和验证用户和管理员对邮箱项目的还原,以确保定义和理解该过程。 |
在 SharePoint 和 OneDrive 中还原文件的早期版本
默认情况下,在 SharePoint Online 和 OneDrive for Business 中的所有列表和库上启用版本控制,并自动保留文档的最后 500 个版本。 SharePoint 仅存储文件之间的更改以优化存储要求,但版本控制确实有助于网站配额,并且可以根据需要对单个列表和库进行调整。
若要通过浏览器在 SharePoint 或 OneDrive 中还原文件的以前版本,请打开文档库,选择要还原的文件,选择省略号并选择“版本历史记录”。 可以根据需要查看和还原甚至删除各个版本,以节省空间。
还可以通过在资源管理器中右键单击文件或通过文件信息在Microsoft 365 企业应用版>中访问版本历史记录:
| ISM 控制 2024 年 12 月 | 成熟 | Control | Measure |
|---|---|---|---|
| 1515 | 1, 2, 3 | 将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试。 | 虽然 Microsoft 365 服务中保留的数据可能不需要还原测试来确保备份成功完成,但应确保了解用于在平台中恢复文件、站点或电子邮件的各种选项,这些选项适用于给定方案。 Microsoft 365 使还原功能以自助服务方式直接提供给最终用户,因此任何有疑问的人都应获得相应的文档和技术支持服务。 |
将 SharePoint 和 OneDrive 还原到已知良好状态
如果 OneDrive 或 SharePoint 文档库中的许多文件已被恶意软件删除、覆盖、损坏或感染,则可以在过去 30 天内将整个库还原到以前的某个点。 从右上角的 “设置” 图标中选择“ 还原 OneDrive ”或 “还原此库”:
从下拉框中选择“ 昨天”、“ 一周前”、“ 三周前”或“ 自定义日期和时间 ”,滑块将根据所选的相应文件进行相应调整。 选择“ 还原 ”后,突出显示的更改将撤消:
有关如何恢复丢失、删除或损坏的项目的详细信息,请参阅 如何恢复 SharePoint 和 OneDrive 中的缺失、已删除或损坏的项目。
| ISM 控制 2024 年 12 月 | 成熟 | Control | Measure |
|---|---|---|---|
| 1511 | 1, 2, 3 | 根据业务关键性和业务连续性要求执行和保留数据、应用程序和设置的备份。 | 文件可以存储在 SharePoint Online/OneDrive for Business 或文件共享中,并通过Microsoft 365 保留或Azure 备份进行备份。 |
| 1515 | 1, 2, 3 | 将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试。 | 虽然 Microsoft 365 服务中保留的数据可能不需要还原测试来确保备份成功完成,但应确保了解用于在平台中恢复文件、站点或电子邮件的各种选项,这些选项适用于给定方案。 确保定期加强对恢复文件、站点和电子邮件选项的这种理解,以确保管理员和/或 IT 人员了解最新流程,这一点很有价值。 |
配置Azure 备份
配置Azure 备份的过程取决于要保护的服务,但第一步始终是创建存储备份的保管库。 Azure 提供两种类型的保管库: 恢复服务保管库 和 备份保管库,需要创建哪种类型由要使用的数据源决定。
恢复服务保管库通常存储 Azure 虚拟机、Azure 文件存储 和 Azure SQL 数据库等服务的数据或配置信息的副本,并支持与 System Center Data Protection Manager、Windows Server 和 Azure 备份 Server 集成。 恢复服务保管库支持软删除功能,它将已删除的备份的副本保留 14 天,而没有其他成本影响。
备份保管库存储较新的 Azure 工作负载的备份数据,例如Azure Database for PostgreSQL、Azure Blob、Azure 磁盘、Kubernetes 服务和 AVS 虚拟机。
可以通过Azure 备份中心创建保管库和备份,提供单一的统一管理体验,以大规模管理、监视、操作和分析备份。
Microsoft Docs提供了有关配置各种备份操作的详细指南,例如:Azure VM、Azure VM 上的 SQL、Azure 磁盘、Azure Blob 和 Azure 文件存储。
Microsoft Azure 恢复服务 (MARS) 代理可用于从本地计算机备份文件、文件夹和卷或系统状态,甚至备份 Azure 虚拟机中的单个文件和文件夹。 MARS 代理可以下载并安装在单个服务器上,以便直接备份到 Azure,也可以在 Microsoft Azure 备份 Server (MABS) 或 System Center Data Protection Manager (DPM) 服务器;在此方案中,计算机和工作负荷备份到 MABS/DPM,然后使用 MARS 代理备份到 Azure 保管库。
若要保护本地工作负载(如 Hyper-V 虚拟机、Microsoft SQL Server、SharePoint Server 和 Microsoft Exchange),请在已加入域的服务器上安装 Microsoft Azure 备份 Server。 MABS 现在还可用于保护 VMware VM。
| ISM 控制 2024 年 12 月 | 成熟 | Control | Measure |
|---|---|---|---|
| 1511 | 1, 2, 3 | 根据业务关键性和业务连续性要求执行和保留数据、应用程序和设置的备份。 | Azure 备份提供了一个简单的解决方案,用于将资源备份到云,并提供本地和地理冗余存储的选项。 备份可以按需执行,也可以按计划执行,并且可以通过Windows Server系统状态包括软件和服务器配置信息。 |
| 1515 | 1, 2, 3 | 将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试。 | Azure 备份跨本地和云工作负载提供广泛的传统备份服务。 还原选项因工作负荷而异,但通常你可以选择要还原到的时间点,以及是恢复到原始位置还是备用位置。 测试计划应包含所有选项。 |
Microsoft 365 备份
Microsoft 365 备份服务是Microsoft云中原生备份解决方案,用于备份本地和 Azure 中的数据。 它将现有的本地或场外备份解决方案替换为可靠、安全且具有成本竞争力的云备份解决方案。 它还提供了保护云中运行的资产的灵活性。
关键体系结构要点:
- 数据永远不会离开Microsoft 365 数据信任边界或当前数据驻留的地理位置。
- 备份是不可变的,除非备份工具管理员通过产品卸载明确删除。
- OneDrive、SharePoint 和 Exchange 具有多个物理冗余的数据副本,以防止物理灾难。
使用 Microsoft 365 Desired State Configuration (DSC) 工具来管理租户配置
Microsoft 365 DSC 是由Microsoft工程师领导的一项 Open-Source 计划,由社区维护,可用于编写Microsoft 365 租户配置方式的定义,自动部署该配置,并确保监视定义的配置,通知并针对检测到的配置偏差采取行动。 它还允许从任何现有 Microsoft 365 租户中提取全保真配置,包括主要工作负载,例如Exchange Online、Teams、SharePoint、OneDrive、安全性和合规性、Power Platform、Intune和Planner。
Microsoft 365 DSC 用户指南可用,可帮助你入门。 该工具可通过多种方式使用,具体取决于组织的首选项:在最简单的形式中,该工具可用于从 Microsoft 365 租户中提取配置,并将其保存为一系列文件,以防将来需要恢复或还原。 另一个选项是维护过渡租户,并通过该工具将所有更改部署到生产环境。
| ISM 控制 2024 年 12 月 | 成熟 | Control | Measure |
|---|---|---|---|
| 1511 | 1, 2, 3 | 根据业务关键性和业务连续性要求执行和保留数据、应用程序和设置的备份。 | Microsoft 365 环境的配置设置可以使用 Microsoft 365DSC 工具进行捕获,可以是用户友好的 Excel 或 HTML 报表,也可以是可用于重置租户配置的导出包。 |
| 1515 | 1, 2, 3 | 将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试。 | Microsoft 365DSC 工具可用于导入以前捕获的配置数据以进行还原。 |
级别 1 要求
根据业务关键性和业务连续性要求执行和保留数据、应用程序和设置的备份
Microsoft 365 保留期可确保在高度复原的环境中捕获并保留存储在服务中的数据。 保留标签和/或策略必须按照前面所述进行配置,但是,由于通过正常的写入或删除操作保留文件,因此无需计划或运行特定的复制过程。
Azure 备份提供了一个简单的解决方案,用于将资源备份到云,并提供本地和地理冗余存储的选项。 备份可以按需执行,也可以按计划执行,并且可以通过Windows Server系统状态包括软件和服务器配置信息。
Microsoft 365 环境的配置设置可以使用 Microsoft 365DSC 工具进行捕获,可以是用户友好的 Excel 或 HTML 报表,也可以是可用于重置租户配置的导出包。 文件可以存储在 SharePoint Online/OneDrive for Business 或文件共享中,并通过Microsoft 365 保留或Azure 备份进行备份。
将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试
虽然 Microsoft 365 服务中保留的数据可能不需要还原测试来确保备份成功完成,但应确保了解用于在平台中恢复文件、站点或电子邮件的各种选项,这些选项适用于给定方案。 Microsoft 365 使还原功能以自助服务方式直接提供给最终用户,因此任何有疑问的人都应获得相应的文档和技术支持服务。 应通过灾难恢复练习定期加强对恢复文件、站点和电子邮件的选项的理解。
Azure 备份跨本地和云工作负载提供广泛的传统备份服务。 还原选项因工作负荷而异,但通常你可以选择要还原到的时间点,以及是恢复到原始位置还是备用位置。 测试计划应包含所有选项。
无特权用户帐户无法访问属于其他帐户的备份
使用 Microsoft 365 就地保留时,没有单独的数据副本,并且访问权限基于信息的位置。 例如,具有“读取”权限的所有用户都可以在 SharePoint Online 中查看文件的版本历史记录,但只有具有“参与”权限的用户才能实际还原以前的版本。 关于控件,这意味着无特权帐户无法访问比它们已有访问权限更多的信息。
必须授予备份参与者、备份操作员或备份读取者角色才能访问 Azure 备份,因此根据定义,无特权帐户将无权访问数据。
禁止无特权用户帐户修改或删除备份
没有任何用户(特权或其他用户)能够修改或删除 Microsoft 365 中保留的数据副本。
无特权帐户根本无法访问Azure 备份,更别提修改或删除备份的权限了。
级别 2 要求
无特权用户帐户无法访问属于其他帐户的备份
Microsoft 365 中没有可供无特权帐户访问的单独备份,并且他们只能查看他们已有权访问的文件版本。 通常,如果控件的意图是确保用户无法通过备份存储库访问他们本来无法查看的信息,则 Microsoft 365 将符合此要求,因为作为就地保留的一部分没有重复内容 - 非特权帐户只能访问其授权的数据, 甚至特权帐户必须被授予特定的访问权限。
无特权用户帐户和特权用户帐户 (不包括备份管理员) ,将阻止修改或删除备份
没有任何用户(特权或其他用户)能够修改或删除 Microsoft 365 中保留的数据副本。 但是,特权用户可以修改或删除保留策略,以便不再保留信息。 保留锁 可用于确保任何人(包括全局管理员)都无法关闭策略、删除策略或降低其限制。 虽然这有助于防止恶意管理员,但请务必在决定是否利用此控制措施之前了解对组织的影响。
在用于Azure 备份的 RBAC 模型中,只有备份参与者有权修改或删除备份。 Azure 备份还提供了默认启用的软删除功能,如果意外删除或恶意删除,则会额外保留已删除的备份 14 天。
级别 3 要求
无特权用户帐户和特权用户帐户 (不包括备份管理员) ,无法访问备份
Microsoft 365 中没有可供特权或无特权帐户访问的单独备份。 虽然用户可以访问保留的文件及其版本,但访问此数据作为主副本与备份没有区别。
未授予适当权限的无特权帐户或特权帐户无权访问Azure 备份因此无法访问备份。
禁止无特权用户帐户和特权用户帐户 (不包括备份 Break Glass 帐户) 修改或删除备份
与成熟度级别 2 要求一样,任何用户(特权或其他)都无法修改或删除 Microsoft 365 中保留的数据副本。
只有备份参与者有权修改或删除Azure 备份中的备份。 若要确保只有备份中断玻璃帐户具有这些权限,请仅向此类帐户授予此角色。
使用 Microsoft 平台管理成熟度级别
以下信息提供了有关实现操作的指导,以实现常规备份所需的成熟度级别。 Microsoft安全性和合规性平台可用于实现和跟踪合规性。 Microsoft Purview 合规性管理器 提供模板来评估、管理和跟踪 Essential Eight 控件的实现。
组织可以选择 Essential Eight 模板,并根据目标成熟度级别创建评估。 评估模板提供了实施改进操作以实现所需成熟度级别的可操作指南。 有关更多详细信息,请参阅 ACSC 的基本八种成熟度模型 。
参考 - 文章
- 弹性和连续性概述
- 什么是Azure 备份服务?
- 简介 - Microsoft365DSC - 云配置
- 了解保留策略和保留标签
- 创建和管理非活动邮箱
- Microsoft 365 中的恶意软件和勒索软件防护
- 为 Microsoft 365 租户部署勒索软件保护
- 基本八种成熟度模型到 ISM 映射
参考 - 成熟度级别
| ISM 控制 2024 年 12 月 | 1 级 | 2 级 | 级别 3 |
|---|---|---|---|
| 1511 根据业务关键性和业务连续性要求执行和保留数据、应用程序和设置的备份。 | Y | Y | Y |
| 1810 数据、应用程序和设置的备份会同步,以便还原到公共时间点。 | Y | Y | Y |
| 1811 数据、应用程序和设置的备份以安全且可复原的方式保留。 | Y | Y | Y |
| 1515 将数据、应用程序和设置从备份还原到常见时间点作为灾难恢复练习的一部分进行测试。 | Y | Y | Y |
| 1812 无特权用户帐户无法访问属于其他帐户的备份。 | Y | Y | Y |
| 1814 无特权用户帐户无法修改和删除备份。 | Y | Y | Y |
| 1813 无特权用户帐户无法访问属于其他帐户及其自己的帐户的备份。 | N | Y | Y |
| 1705 特权用户帐户 (不包括备份管理员帐户) 无法访问属于其他帐户的备份 | N | Y | Y |
| 1707 特权用户帐户 (排除备份管理员帐户,) 无法修改和删除备份。 | N | Y | Y |
| 1706 特权用户帐户 (不包括备份管理员帐户) 无法访问自己的备份。 | N | N | Y |
| 1708 备份管理员帐户在保留期内无法修改和删除备份。 | N | N | Y |