Řízení zabezpečení: Zálohování a obnovení
Zálohování a obnovení pokrývá ovládací prvky, které zajišťují, že se data a zálohy konfigurace na různých úrovních služby provádějí, ověřují a chrání.
BR-1: Zajištění pravidelných automatizovaných záloh
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | Není k dispozici |
Zásad zabezpečení: Zajistěte zálohování podnikově kritických zdrojů, a to buď během vytváření zdrojů, nebo vynuceno prostřednictvím zásad pro existující zdroje.
pokyny k Azure: Pro podporované prostředky Azure Backup (jako jsou virtuální počítače Azure, SQL Server, databáze HANA, databáze Azure PostgreSQL, sdílené složky, objekty blob nebo disky) povolte službu Azure Backup a nakonfigurujte požadovanou frekvenci a dobu uchovávání. Pro virtuální počítač Azure můžete použít Azure Policy k automatickému povolení zálohování pomocí Azure Policy.
Pro prostředky nebo služby, které Azure Backup nepodporuje, použijte nativní funkci zálohování poskytovanou prostředkem nebo službou. Azure Key Vault například poskytuje nativní funkci zálohování.
Pro prostředky a služby, které Azure Backup nepodporuje, ani nemají nativní možnosti zálohování, vyhodnoťte potřeby zálohování a havárie a vytvořte vlastní mechanismus podle vašich obchodních požadavků. Například:
- Pokud pro úložiště dat používáte Azure Storage, povolte verziování objektů blob, aby bylo možné zachovat, načíst a obnovit každou variantu vašich objektů v Azure Storage.
- Nastavení konfigurace služby je obvykle možné exportovat do šablon Azure Resource Manageru.
Realizace Azure a další kontext:
- Povolení služby Azure Backup
- automatické povolení zálohování při vytváření virtuálních počítačů pomocí služby Azure Policy
pokyny pro AWS: Pro podporované prostředky AWS Backup (například EC2, S3, EBS nebo RDS) povolte AWS Backup a nakonfigurujte požadovanou frekvenci a dobu uchovávání.
U prostředků a služeb, které služba AWS Backup nepodporuje, například AWS KmS, povolte funkci nativního zálohování v rámci vytváření prostředků.
Pro prostředky a služby, které služba AWS Backup nepodporuje, ani nemají nativní možnosti zálohování, vyhodnoťte potřeby zálohování a havárie a vytvořte vlastní mechanismus podle vašich obchodních požadavků. Například:
- Pokud se pro úložiště dat používá Amazon S3, povolte pro kontejner úložiště správu verzí S3, která vám umožní zachovat, načíst a obnovit všechny verze každého objektu uloženého v kontejneru S3.
- Nastavení konfigurace služby je obvykle možné exportovat do šablon CloudFormation.
Implementace AWS a další kontext:
- AWS Backup podporované zdroje a aplikace třetích stran verzování Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- osvědčené postupy AWS CloudFormation
pokyny pro GCP: Pro podporované prostředky služby Google Cloud Backup (například počítačový stroj, cloudové úložiště a kontejnery), povolte zálohování GCP a nakonfigurujte požadovanou frekvenci a dobu uchovávání.
Pro prostředky nebo služby, které služba Google Cloud Backup nepodporuje, použijte nativní funkci zálohování poskytovanou prostředkem nebo službou. Správce tajných kódů například poskytuje nativní funkci zálohování.
Pro prostředky a služby, které služba Google Cloud Backup nepodporuje, ani nemají nativní možnosti zálohování, vyhodnoťte potřeby zálohování a havárie a vytvořte vlastní mechanismus podle vašich obchodních požadavků. Například:
- Pokud pro záložní úložiště dat používáte Úložiště Google, povolte správu verzí úložiště pro správu verzí objektů, která vám umožní zachovat, načíst a obnovit všechny verze každého objektu uloženého ve službě Google Storage.
implementace GCP a další kontext:
- řešení zálohování a zotavení po havárii s využitím služby Google Cloud
- Vytváření a správa záloh na vyžádání a automatických záloh
Stakeholdeři zabezpečení zákazníků (Další informace):
- Politika a standardy
- Architektura zabezpečení
- infrastruktury a zabezpečení koncových bodů
- příprava incidentu
BR-2: Ochrana zálohovaných a obnovovacích dat
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(y) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
princip zabezpečení: Zajistěte ochranu zálohovaných dat a operací před exfiltrací dat, kompromitací dat, ransomwarem/malwarem a škodlivými vnitřními pracovníky. Mezi bezpečnostní prvky, které by se měly použít, patří řízení přístupu uživatelů a sítě, šifrování dat v klidovém stavu a během přenosu.
pokyny k Azure: Použití vícefaktorového ověřování a Azure RBAC k zabezpečení důležitých operací služby Azure Backup (jako je odstranění, uchovávání změn, aktualizace konfigurace zálohování). U podporovaných prostředků Azure Backup oddělte povinnosti pomocí Azure RBAC a povolte jemně odstupňovaný přístup a vytvořte privátní koncové body ve vaší virtuální síti Azure, abyste mohli bezpečně zálohovat a obnovovat data z trezorů služby Recovery Services.
U podporovaných prostředků služby Azure Backup se zálohovaná data automaticky šifrují pomocí klíčů spravovaných platformou Azure s 256bitovým šifrováním AES. Můžete také zvolit šifrování záloh pomocí klíče spravovaného zákazníkem. V takovém případě se ujistěte, že klíč spravovaný zákazníkem ve službě Azure Key Vault je také v oboru zálohování. Pokud používáte klíč spravovaný zákazníkem, použijte ochranu obnovitelného odstranění a vymazání ve službě Azure Key Vault k ochraně klíčů před náhodným nebo škodlivým odstraněním. Pro místní zálohy pomocí služby Azure Backup se šifrování neaktivních uložených dat poskytuje pomocí hesla, které zadáte.
Chraňte zálohovaná data před náhodným nebo škodlivým odstraněním, jako jsou útoky ransomwaru nebo pokusy o šifrování nebo manipulaci se zálohovanými daty. U podporovaných prostředků služby Azure Backup povolte obnovitelné odstranění, abyste zajistili obnovení položek bez ztráty dat po dobu až 14 dnů po neoprávněném odstranění a povolte vícefaktorové ověřování pomocí kódu PIN vygenerovaného na webu Azure Portal. Povolte také geograficky redundantní úložiště nebo obnovení mezi oblastmi, abyste zajistili možnost obnovení zálohovaných dat, pokud dojde k havárii v primární oblasti. Můžete také povolit zónově redundantní úložiště (ZRS), abyste zajistili, že se zálohy dají obnovit během zónových selhání.
Poznámka: Pokud používáte nativní funkci zálohování nebo služby zálohování prostředku jiné než Azure Backup, projděte si srovnávací test zabezpečení cloudu Microsoftu (a standardní hodnoty služeb) k implementaci výše uvedených ovládacích prvků.
Implementace Azure a další kontext:
- přehled funkcí zabezpečení ve službě Azure Backup
- šifrování zálohovaných dat pomocí klíčů spravovaných zákazníkem
- funkce zabezpečení, které pomáhají chránit hybridní zálohy před útoky
- Azure Backup – nastavení obnovení mezi oblastmi
pokyny pro AWS: Zabezpečení služby AWS Backup pomocí řízení přístupu AWS IAM To zahrnuje zabezpečení přístupu ke službě AWS Backup a bodů zálohování a obnovení. Mezi příklady ovládacích prvků patří:
- Pro důležité operace, jako je odstranění bodu zálohování nebo obnovení, použijte vícefaktorové ověřování (MFA).
- Ke komunikaci s prostředky AWS použijte protokol SSL (Secure Sockets Layer) / TLS (Transport Layer Security).
- Pomocí služby AWS KMS ve spojení se službou AWS Backup zašifrujte zálohovaná data buď pomocí CMK spravovaného zákazníkem, nebo CMK spravovaného AWS, které je přidruženo ke službě AWS Backup.
- Pro neměnné ukládání důležitých dat použijte zámek trezoru služby AWS Backup.
- Zabezpečení kontejnerů S3 prostřednictvím zásad přístupu, zakázání veřejného přístupu, vynucování šifrování neaktivních uložených dat a správy verzí
Implementace AWS a další kontext:
- zabezpečení ve službě AWS Backup
- Osvědčené postupy zabezpečení pro Amazon S3
pokyny pro GCP: Používejte vyhrazené účty s nejsilnějším ověřováním k provádění důležitých operací zálohování a obnovení, jako je odstranění, uchovávání změn, aktualizace konfigurace zálohování. Tím zajistíte ochranu zálohovaných dat před náhodným nebo škodlivým odstraněním, jako jsou útoky ransomwaru nebo pokusy o šifrování nebo manipulaci se zálohovanými daty.
V případě podporovaných prostředků GCP Backup použijte Google IAM s rolemi a oprávněními k oddělení povinností a povolte jemně odstupňovaný přístup a nastavte připojení pro privátní přístup ke službám k VPC, abyste mohli zabezpečeně zálohovat a obnovovat data ze zařízení pro zálohování/obnovu.
Zálohovaná data se ve výchozím nastavení automaticky šifrují na úrovni platformy pomocí algoritmu AES (Advanced Encryption Standard) AES-256.
Poznámka: Pokud používáte nativní funkci zálohování nebo služby zálohování prostředků jiné než GCP Backup, měli byste se podívat na příslušné pokyny k implementaci kontrolních mechanismů zabezpečení. Můžete například také chránit konkrétní instance virtuálních počítačů před odstraněním nastavením vlastnosti deletionProtection u prostředku instance virtuálního počítače.
implementace GCP a další kontext:
- Zásady uchovávání informací a zámky zásad uchovávání informací
- služby zálohování a zotavení po havárii
- Zabránit náhodnému odstranění virtuálního počítače
Zákazníci zainteresovaní na zabezpečení (Více informací):
BR-3: Monitorování záloh
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(y) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | Není k dispozici |
zásad zabezpečení: Ujistěte se, že všechny prostředky, které jsou důležité pro důležité obchodní informace, odpovídají definovaným zásadám zálohování a standardům.
pokyny k Azure: Monitorujte prostředí Azure, abyste zajistili, že všechny důležité prostředky vyhovují z hlediska zálohování. K auditování a vynucování těchto ovládacích prvků použijte Azure Policy pro zálohování. V případě podporovaných prostředků služby Azure Backup vám Centrum zálohování pomůže centrálně řídit vaše zálohovací aktiva.
Zajistěte, aby se monitorovaly důležité operace zálohování (odstranění, uchovávání změn, aktualizace konfigurace zálohování), auditovaly a měly upozornění. U podporovaných prostředků služby Azure Backup monitorujte celkový stav zálohování, buďte upozorněni na kritické incidenty zálohování a auditujte uživatelské akce spuštěné v trezorech.
Poznámka: Pokud je to možné, použijte také předdefinované zásady (Azure Policy), abyste zajistili, že jsou vaše prostředky Azure nakonfigurované pro zálohování.
implementaci Azure a další kontext:
- Spravujte svůj zálohovací systém pomocí Centra zálohování
- Monitorování a provoz záloh pomocí centra zálohování
- Řešení pro monitorování a reportování pro Azure Backup
pokyny pro AWS: AWS Backup spolupracuje s dalšími nástroji AWS, které vám umožní monitorovat její úlohy. Mezi tyto nástroje patří:
- Pomocí AWS Backup Audit Manageru monitorujte operace zálohování, abyste zajistili dodržování předpisů.
- Ke sledování procesů zálohování AWS použijte CloudWatch a Amazon EventBridge.
- Pomocí CloudWatch můžete sledovat metriky, vytvářet alarmy a zobrazovat řídicí panely.
- Pomocí EventBridge můžete zobrazit a monitorovat události zálohování AWS.
- Pomocí Amazon Simple Notification Service (Amazon SNS) se můžete přihlásit k odběru témat souvisejících se zálohováním AWS, jako jsou zálohování, obnovení a kopírování událostí.
Implementace AWS a další kontext:
- monitorování zálohování AWS
- Monitorování událostí zálohování AWS pomocí služby EventBridge
- Monitorování metrik zálohování AWS pomocí služby CloudWatch
- sledování událostí zálohování AWS pomocí Amazon SNS
- Auditování záloh a vytváření sestav pomocí AWS Backup Audit Manager
pokyny pro GCP: Monitorujte prostředí zálohování a zotavení po havárii, abyste zajistili, že všechny důležité prostředky vyhovují z hlediska zálohování. K auditování a vynucování těchto kontrolních mechanismů použijte zásady organizace pro zálohování. V případě podporovaných prostředků GCP Backup vám konzola pro správu pomáhá centrálně řídit vaše zálohovací aktiva.
Zajistěte, aby se monitorovaly důležité operace zálohování (odstranění, uchovávání změn, aktualizace konfigurace zálohování), auditovaly a měly upozornění. U podporovaných prostředků GCP Backup monitorujte celkový stav zálohování, upozorňujte na kritické incidenty zálohování a auditujte akce prováděné uživateli.
Poznámka: Pokud je to možné, použijte také předdefinované zásady (zásady organizace), abyste zajistili, že jsou vaše prostředky Google nakonfigurované pro zálohování.
implementace GCP a další kontextové informace:
Zákazníci a další zúčastněné strany zabezpečení (Další informace):
BR-4: Pravidelně testovat zálohu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID(y) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | Není k dispozici |
princip zabezpečení: Pravidelně provádí testy obnovení dat zálohy, abyste ověřili, že konfigurace a dostupnost zálohovaných dat splňují potřeby obnovení podle definice rtO (cíl doby obnovení) a cíle bodu obnovení (cíl bodu obnovení).
pokyny k Azure: Pravidelně proveďte testy obnovení dat zálohy, abyste ověřili, že konfigurace a dostupnost zálohovaných dat splňují požadavky na obnovení definované v RTO a RPO.
Možná budete muset definovat strategii testu obnovení zálohování, včetně rozsahu testu, četnosti a metody, protože provádění úplného testu obnovení může být pokaždé obtížné.
Implementace Azure a další kontext:
pokyny pro AWS: Pravidelně provádějte testy obnovení dat ze zálohy, abyste ověřili, že konfigurace záloh a dostupnost zálohovaných dat splňují požadavky na obnovení definované v RTO a RPO.
Možná budete muset definovat strategii testu obnovení zálohování, včetně rozsahu testu, četnosti a metody, protože provádění úplného testu obnovení může být pokaždé obtížné. implementace AWS a další kontext:
pokyny pro GCP: Pravidelně provádějte testy obnovení dat ze zálohy, abyste ověřili, že konfigurace zálohování a dostupnost zálohovaných dat splňují požadavky na obnovení podle definice v RTO a RPO.
Možná budete muset definovat strategii testu obnovení zálohování, včetně rozsahu testu, četnosti a metody, protože provádění úplného testu obnovení může být pokaždé obtížné.
Implementace GCP a další kontext:
- Monitorování zálohování a obnovení
Zúčastněné strany zabezpečení zákazníků (Další informace):