安全性控制:備份和復原
備份和復原涵蓋控制,以確保在不同服務層級執行、驗證及保護的數據和組態備份。
BR-1:確保定期自動備份
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 11.2 | CP-2、CP-4、CP-9 | N/A |
安全性原則:確保在資源建立時備份業務重要資源,或對現有資源透過政策進行強制執行。
Azure 指引:針對 Azure 備份支援的資源(例如 Azure VM、SQL Server、HANA 資料庫、Azure PostgreSQL 資料庫、檔案共用、Blob 或磁碟),啟用 Azure 備份並設定所需的頻率和保留期間。 針對 Azure VM,您可以使用 Azure 原則,使用 Azure 原則自動啟用備份。
針對 Azure 備份不支援的資源或服務,請使用資源或服務所提供的原生備份功能。 例如,Azure Key Vault 提供原生備份功能。
針對 Azure 備份不支援的資源 / 服務,或沒有原生備份功能、評估您的備份和災害需求,並根據您的商務需求建立您自己的機制。 例如:
- 如果您使用 Azure 記憶體來儲存資料記憶體,請為記憶體 Blob 啟用 Blob 版本控制,這可讓您保留、擷取和還原儲存在 Azure 記憶體中的每個物件版本。
- 服務組態設定通常可以匯出至 Azure Resource Manager 範本。
Azure 實作和其他背景:
- 如何啟用 Azure 備份
- 使用 Azure 原則 在建立 VM 時自動啟用備份
AWS 指引:針對 AWS 備份支援的資源(例如 EC2、S3、EBS 或 RDS),啟用 AWS 備份並設定所需的頻率和保留期間。
針對 AWS 備份不支援的資源/服務,例如 AWS KMS,請在建立資源時啟用原生備份功能。
針對 AWS 備份不支援的資源 / 服務,或沒有原生備份功能、評估您的備份和災害需求,並根據您的業務需求建立您自己的機制。 例如:
- 如果 Amazon S3 用於資料記憶體,請為您的記憶體貯體啟用 S3 版本控制,讓您保留、擷取和還原儲存在 S3 貯體中的每個物件版本。
- 服務組態設定通常可以匯出至 CloudFormation 範本。
AWS 實施與補充上下文:
- AWS 備份支援的資源和第三方應用程式, Amazon S3 版本設定:https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- AWS CloudFormation 最佳做法
GCP 指引:針對 Google 雲端備份支援的資源(例如電腦引擎、雲端記憶體和容器),請啟用 GCP 備份並設定所需的頻率和保留期間。
針對Google Cloud Backup 不支援的資源或服務,請使用資源或服務所提供的原生備份功能。 例如,秘密管理員提供原生備份功能。
針對 Google Cloud Backup 不支援的資源/服務,或沒有原生備份功能、評估您的備份和災害需求,並根據您的業務需求建立您自己的機制。 例如:
- 如果您使用 Google Storage 進行備份資料儲存,請啟用物件版本設定的記憶體版本設定,可讓您保留、擷取和還原儲存在 Google Storage 中的每個物件版本。
GCP 實作和額外背景資訊:
客戶安全性利害關係人(深入瞭解):
BR-2:保護備份和復原數據
| CIS 控件 v8 ID(s) | NIST SP 800-53 r4 ID(s) | PCI-DSS 識別碼 v3.2.1 |
|---|---|---|
| 11.3 | CP-6、CP-9 | 3.4 |
安全性原則:確保備份數據和作業受到保護,免於數據外泄、數據損害、勒索軟體/惡意軟體和惡意內部人員。 應套用的安全性控制包括使用者和網路訪問控制、待用數據和傳輸中的數據加密。
Azure 指引:使用多重要素驗證和 Azure RBAC 來保護重要的 Azure 備份作業(例如刪除、變更保留、備份組態的更新)。 針對 Azure 備份支援的資源,請使用 Azure RBAC 來隔離職責,並啟用更細緻的存取權,並在 Azure 虛擬網路中建立私人端點,以安全地從復原服務保存庫備份和還原數據。
針對 Azure 備份支援的資源,備份數據會使用具有 256 位 AES 加密的 Azure 平臺管理密鑰自動加密。 您也可以選擇使用客戶管理的金鑰來加密備份。 在此情況下,請確定 Azure Key Vault 中的客戶自控密鑰也位於備份範圍內。 如果您使用客戶管理的金鑰,請在 Azure Key Vault 中啟用軟刪除和清除保護,以防止密鑰遭到意外或惡意的刪除。 針對使用 Azure 備份的內部部署備份,會使用您提供的複雜密碼來提供待用加密。
保護備份數據免於意外或惡意刪除,例如勒索軟體攻擊/嘗試加密或竄改備份數據。 針對 Azure 備份支援的資源,啟用虛刪除,以確保在未經授權的刪除後最多 14 天內復原項目,並使用 Azure 入口網站中產生的 PIN 啟用多重因素驗證 (MFA)。 同時啟用異地備援記憶體或跨區域還原,以確保在主要區域中發生災害時,備份數據可還原。 您也可以啟用區域備援記憶體 (ZRS),以確保備份可在區域性失敗期間還原。
注意:如果您使用資源的原生備份功能或非 Azure Backup 的其他備份服務,請參閱 Microsoft Cloud Security Benchmark(和服務基準)以實作上述控管措施。
Azure 實作和其他內容:
AWS 指引:使用 AWS IAM 訪問控制來保護 AWS 備份。 這包括保護 AWS 備份服務存取和備份和還原點。 範例控制項包括:
- 針對重要作業使用多重要素驗證 (MFA),例如刪除備份/還原點。
- 使用安全套接字層 (SSL)/傳輸層安全性 (TLS) 與 AWS 資源通訊。
- 使用 AWS KMS 搭配 AWS 備份,使用客戶管理的 CMK 或與 AWS 備份服務相關聯的 AWS 受控 CMK 來加密備份數據。
- 使用 AWS 備份保存庫鎖定來儲存不可變的重要數據。
- 透過存取政策保護 S3 儲存桶、停用公用存取、強制執行儲存數據加密以及版本控制。
AWS 實作和補充背景:
GCP 指引:使用具有最強身份驗證的專用帳戶來執行重要的備份和復原作業,例如刪除、變更保留、備份組態的更新。這會保護備份數據免於意外或惡意刪除,例如勒索軟體攻擊/嘗試加密或竄改備份數據。
針對 GCP 備份支援的資源,請使用 Google IAM 來管理角色和許可權,以隔離職責並啟用細緻的存取控制,並設定私人服務存取連線至 VPC,以安全地從備份及恢復設備中備份和還原數據。
使用進階加密標準 (AES) 演算法 AES-256,預設會在平臺層級自動加密備份數據。
注意:如果您使用資源的原生備份功能或 GCP 備份以外的備份服務,您應該參考個別的指導方針來實作安全性控制。 例如,您也可以在 VM 實例資源上設定 deletionProtection 屬性,以保護特定的 VM 實例免於刪除。
GCP 實作和補充背景:
客戶安全利益關係人(深入瞭解):
BR-3:監視備份
| CIS 控制項 v8 ID(多個) | NIST SP 800-53 r4 ID(s) | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
安全性原則:確定所有商務關鍵可保護的資源都符合定義的備份原則和標準。
Azure 指引:監視您的 Azure 環境,以確保從備份的觀點來看,您的所有重要資源都符合規範。 使用 Azure 原則進行備份,以稽核並強制執行這類控件。 針對 Azure 備份支援的資源,備份中心可協助您集中控管備份資產。
確保重要的備份作業(刪除、變更保留期、備份組態的更新)受到監視、稽核,並備妥警示。 針對 Azure 備份支援的資源,監視整體備份健康情況、收到重大備份事件的警示,以及稽核保存庫上觸發的用戶動作。
注意:如果適用,也使用內建原則 (Azure 原則) 來確保您的 Azure 資源已設定為備份。
Azure 實作和其他內容:
- 使用備份中心控管備份環境
- 使用備份中心 監視及作備份
- Azure 備份 的監視和報告解決方案
AWS 指引:AWS 備份與其他 AWS 工具搭配運作,讓您能夠監視其工作負載。 這些工具包括下列各項:
- 使用 AWS 備份稽核管理員來監視備份作業,以確保合規性。
- 使用 CloudWatch 和 Amazon EventBridge 來監視 AWS 備份程式。
- 使用 CloudWatch 來追蹤計量、建立警示,以及檢視儀錶板。
- 使用 EventBridge 來檢視及監視 AWS 備份事件。
- 使用 Amazon Simple Notification Service (Amazon SNS) 訂閱 AWS 備份相關主題,例如備份、還原和複製事件。
AWS 實作和其他背景信息:
- AWS 備份監視
- 使用 EventBridge 監視 AWS 備份事件
- 使用 CloudWatch 監控 AWS 備份指標
- 使用 Amazon SNS 追蹤 AWS 備份事件
- 稽核備份,並使用 AWS 備份稽核管理員建立報告
GCP 指引:監視備份和災害復原環境,以確保所有重要資源都符合備份的觀點。 使用組織原則進行備份,以稽核並強制執行這類控件。 針對 GCP 備份支援的資源,管理主控台可協助您集中控管備份資產。
確保重要的備份作業(刪除、變更保留期、備份組態的更新)受到監視、稽核,並備妥警示。 針對 GCP 備份支援的資源,監視整體備份健康情況、接收重大備份事件的警報,以及稽核已觸發的用戶操作。
注意:如果適用,也使用內建原則(組織原則)來確保您的Google資源已設定為備份。
GCP 實作和其他背景:
客戶安全利益相關者(了解更多):
BR-4:定期測試備份
| CIS 控制措施 v8 識別碼 | NIST SP 800-53 r4 ID(s) | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 11.5 | CP-4、CP-9 | N/A |
安全性原則:定期執行備份的數據復原測試,以確認備份數據的備份組態和可用性符合 RTO (復原時間目標) 和 RPO (恢復點目標) 中所定義的復原需求。
Azure 指引:定期執行備份的數據復原測試,以確認備份數據的備份組態和可用性符合 RTO 和 RPO 中所定義的復原需求。
您可能需要定義備份復原的測試策略,包括測試的範圍、頻率和方法,因為每次執行完整的復原測試都可能很困難。
Azure 實作和附加背景:
- 如何從 Azure 虛擬機備份 復原檔案
- 如何在 Azure 中還原 Key Vault 金鑰
AWS 指引:定期執行備份的數據復原測試,以確認備份數據的備份組態和可用性符合 RTO 和 RPO 中所定義的復原需求。
您可能需要定義您的備份復原測試策略,包括測試範圍、頻率和方法,因為每次執行完整復原測試可能會很困難。 AWS 實作和其他內容:
GCP 指引:定期執行備份的數據復原測試,以確認備份數據的備份組態和可用性符合 RTO 和 RPO 中所定義的復原需求。
您可能需要定義備份復原測試策略,包括測試的範圍、頻率和方法,因為每次執行完整的復原測試可能很困難。
GCP 實施和額外背景:
客戶安全性利益相關者(深入瞭解):