Biztonsági ellenőrzés: Biztonsági mentés és helyreállítás
A biztonsági mentés és helyreállítás olyan vezérlőket tartalmaz, amelyek biztosítják, hogy a különböző szolgáltatási szinteken lévő adatok és konfigurációs biztonsági mentések végrehajtása, érvényesítése és védelme biztosított legyen.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
| CIS vezérlők v8 azonosítói | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/A |
biztonsági elv: Az üzletileg kritikus fontosságú erőforrások biztonsági mentésének biztosítása az erőforrások létrehozásakor vagy a meglévő erőforrásokra vonatkozó szabályzattal kényszerítve.
Azure útmutató: Az Azure Backup által támogatott erőforrások (például Azure-beli virtuális gépek, SQL Server, HANA-adatbázisok, Azure PostgreSQL-adatbázis, fájlmegosztások, blobok vagy lemezek) esetében engedélyezze az Azure Backupot, és konfigurálja a kívánt gyakoriságot és megőrzési időtartamot. Az Azure-beli virtuális gépek esetében az Azure Policy használatával automatikusan engedélyezhető a biztonsági mentés az Azure Policy használatával.
Az Azure Backup által nem támogatott erőforrások vagy szolgáltatások esetében használja az erőforrás vagy szolgáltatás által biztosított natív biztonsági mentési képességet. Az Azure Key Vault például natív biztonsági mentési képességet biztosít.
Az Azure Backup által nem támogatott és natív biztonsági mentési képességgel nem rendelkező erőforrások/szolgáltatások esetében értékelje ki a biztonsági mentési és katasztrófaigényeket, és hozzon létre saját mechanizmust az üzleti követelményeknek megfelelően. Például:
- Ha az Azure Storage-t adattároláshoz használja, engedélyezze a blobok verziószámozását a tárolóblobok számára, amely lehetővé teszi az Azure Storage-ban tárolt objektumok minden verziójának megőrzését, lekérését és visszaállítását.
- A szolgáltatáskonfigurációs beállítások általában exportálhatók Azure Resource Manager-sablonokba.
Azure-implementáció és további környezet:
- Az Azure Backup engedélyezése
- Automatikus biztonsági mentés engedélyezése virtuális gépek létrehozásakor az Azure Policy használatával
AWS-útmutató: Az AWS biztonsági mentése által támogatott erőforrásokhoz (például EC2, S3, EBS vagy RDS) engedélyezze az AWS biztonsági mentését, és konfigurálja a kívánt gyakoriságot és megőrzési időtartamot.
Az AWS Backup által nem támogatott erőforrások/szolgáltatások, például az AWS KMS esetében engedélyezze a natív biztonsági mentési funkciót az erőforrás-létrehozás részeként.
Az AWS Backup által nem támogatott és natív biztonsági mentési képességgel nem rendelkező erőforrások/szolgáltatások esetében értékelje ki a biztonsági mentési és vészigényeket, és hozzon létre saját mechanizmust az üzleti követelményeknek megfelelően. Például:
- Ha az Amazon S3-at adattároláshoz használják, engedélyezze az S3 verziószámozást a tároló gyűjtőjéhez, amely lehetővé teszi az S3-gyűjtőben tárolt összes objektum minden verziójának megőrzését, lekérését és visszaállítását.
- A szolgáltatáskonfigurációs beállítások általában exportálhatók CloudFormation-sablonokba.
AWS implementációja és további kontextus:
- AWS Backup által támogatott erőforrások és külső alkalmazások Amazon S3 verziószámozása: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- AWS CloudFormation ajánlott eljárásai
GCP-útmutató: A Google Cloud Backup által támogatott erőforrásokhoz (például számítógépmotorhoz, felhőtárhelyhez és tárolókhoz) engedélyezze a GCP biztonsági mentését, és konfigurálja a kívánt gyakoriságot és megőrzési időtartamot.
A Google Cloud Backup által nem támogatott erőforrások vagy szolgáltatások esetében használja az erőforrás vagy szolgáltatás által biztosított natív biztonsági mentési képességet. A Secret Manager például natív biztonsági mentési képességet biztosít.
A Google Cloud Backup által nem támogatott és natív biztonsági mentési képességgel nem rendelkező erőforrások/szolgáltatások esetében értékelje ki a biztonsági mentési és katasztrófaigényeket, és hozzon létre saját mechanizmust az üzleti igényeinek megfelelően. Például:
- Ha a Google Storage-t használja az adattárolás biztonsági mentéséhez, engedélyezze az objektumverzió-verziószámozást, amely lehetővé teszi a Google Storage-ban tárolt objektumok minden verziójának megőrzését, lekérését és visszaállítását.
A GCP megvalósítása és további kontextus:
- Biztonsági mentési és vészhelyreállítási megoldások a Google Cloud
- Igény szerinti és automatikus biztonsági mentések létrehozása és kezelése
ügyfélbiztonsági érdekelt felek (További információ):
- szabályzatok és szabványok
- biztonsági architektúra
- infrastruktúra- és végpontok biztonsága
- incidens előkészítése
BR-2: Biztonsági mentési és helyreállítási adatok védelme
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 azonosító(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Biztonsági elv: Győződjön meg arról, hogy a biztonsági mentési adatok és műveletek védettek az adatok kiszivárgása, az adatok biztonsága, a zsarolóprogramok/kártevők és a rosszindulatú bennfentesek ellen. Az alkalmazandó biztonsági vezérlők közé tartozik a felhasználói és hálózati hozzáférés-vezérlés, az adatok titkosítása nyugalmi állapotban és átvitel alatt.
Azure-útmutató: Többtényezős hitelesítés és Azure RBAC használata a kritikus Azure Backup-műveletek (például törlés, megőrzés módosítása, biztonsági mentés konfigurációjának frissítései) védelméhez. Az Azure Backup által támogatott erőforrások esetében az Azure RBAC használatával elkülönítheti a feladatokat, és lehetővé teheti a részletes hozzáférést, valamint privát végpontokat hozhat létre az Azure Virtual Networkben az adatok biztonságos biztonsági mentéséhez és helyreállításához a Recovery Services-tárolókból.
Az Azure Backup által támogatott erőforrások esetében a biztonsági mentési adatok automatikusan titkosítva lesznek az Azure platform által felügyelt kulcsokkal 256 bites AES-titkosítással. Dönthet úgy is, hogy ügyfél által felügyelt kulccsal titkosítja a biztonsági másolatokat. Ebben az esetben győződjön meg arról, hogy az Azure Key Vault ügyfél által felügyelt kulcsa is szerepel a biztonsági mentés hatókörében. Ha ügyfél által felügyelt kulcsot használ, az Azure Key Vault puha törlését és tisztítás védelmét használva megvédheti a kulcsokat a véletlen vagy rosszindulatú törléstől. Az Azure Backupot használó helyszíni biztonsági mentések esetében a titkosítás az Ön által megadott jelszóval történik.
Biztonsági mentési adatok védelme a véletlen vagy rosszindulatú törléssel szemben, például zsarolóprogram-támadások/biztonsági mentési adatok titkosítására vagy illetéktelen használatára tett kísérletek. Az Azure Backup által támogatott erőforrások esetében engedélyezze a helyreállítható törlést, hogy biztosítsa az adatvesztés nélküli elemek helyreállítását a jogosulatlan törlés után legfeljebb 14 napig, és engedélyezze a többtényezős hitelesítést az Azure Portalon létrehozott PIN-kód használatával. Emellett engedélyezze a georedundáns tárolást vagy a régiók közötti helyreállítást, hogy a biztonsági mentési adatok visszaállíthatók legyenek, ha az elsődleges régióban katasztrófa történik. A zónaredundáns tárolást (ZRS) is engedélyezheti, hogy a biztonsági másolatok visszaállíthatók legyenek a zónaszintű hibák során.
Megjegyzés: Ha az erőforrás natív biztonsági mentési funkcióját vagy az Azure Backuptól eltérő biztonsági mentési szolgáltatásokat használ, a fenti vezérlők implementálásához tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjét (és szolgáltatási alapkonfigurációit).
Azure-implementáció és további környezet:
- Az Azure Backup biztonsági funkcióinak áttekintése
- Biztonsági mentési adatok titkosítása ügyfél által felügyelt kulcsokkal
- biztonsági funkciók, amelyek segítenek megvédeni a hibrid biztonsági mentéseket a támadásoktól
- Azure Backup – régiók közötti visszaállítás beállítása
AWS-útmutató: Az AWS IAM hozzáférés-vezérlésének használata az AWS biztonsági mentésének biztonságossá tételéhez. Ez magában foglalja az AWS Backup szolgáltatás hozzáférésének, valamint a biztonsági mentési és visszaállítási pontoknak a védelmét. Ilyen vezérlők például a következők:
- Használjon többtényezős hitelesítést (MFA) olyan kritikus műveletekhez, mint a biztonsági mentési/visszaállítási pont törlése.
- A Secure Sockets Layer (SSL)/Transport Layer Security (TLS) használatával kommunikálhat az AWS-erőforrásokkal.
- Az AWS KMS és az AWS Backup együttes használatával titkosíthatja a biztonsági mentési adatokat az ügyfél által felügyelt CMK vagy az AWS Backup szolgáltatáshoz társított AWS által felügyelt CMK használatával.
- A kritikus adatok nem módosítható tárolásához használja az AWS Backup Vault zárolását.
- Az S3 tárolók biztonságossá tétele hozzáférési irányelvek alkalmazásával, a nyilvános hozzáférés letiltásával, a nyugalmi adatok titkosításának kikényszerítésével, és a verziókezelés alkalmazásával.
AWS implementációja és további kontextus:
- Biztonság az AWS biztonsági mentésben
- Az Amazon S3 biztonsági ajánlott eljárásai
GCP-útmutató: A legerősebb hitelesítéssel rendelkező dedikált fiókok használata kritikus biztonsági mentési és helyreállítási műveletek végrehajtásához, például törléshez, adatmegőrzés módosításához, biztonsági mentés konfigurációjának frissítéséhez. Ez megvédené a biztonsági mentési adatokat a véletlen vagy rosszindulatú törléstől, például a zsarolóprogram-támadásoktól/a biztonsági mentési adatok titkosítására vagy illetéktelen befolyásolására tett kísérletektől.
A GCP Backup által támogatott erőforrások esetében használjon Google IAM-et szerepkörökkel és engedélyekkel a feladatok elkülönítéséhez és a részletes hozzáférés engedélyezéséhez. Állítson be privát szolgáltatási hozzáférési kapcsolatot a VPC-hez annak érdekében, hogy az adatokat biztonságosan mentse és állítsa vissza a Backup/Recovery berendezésből.
A biztonsági mentési adatok alapértelmezés szerint automatikusan titkosítva lesznek a platform szintjén az AES-256 Advanced Encryption Standard (AES) algoritmussal.
Megjegyzés: Ha az erőforrás natív biztonsági mentési funkcióját vagy a GCP biztonsági mentésétől eltérő biztonsági mentési szolgáltatásokat használ, a biztonsági vezérlők implementálásához tekintse meg a megfelelő útmutatót. Az egyes virtuálisgép-példányokat például úgy is megvédheti a törléstől, hogy beállítja a deletionProtection tulajdonságot egy virtuálisgép-példány erőforrásán.
GCP implementációja és további kontextus:
- adatmegőrzési szabályzatok és adatmegőrzési szabályzatok zárolása
- Biztonsági mentési és vészhelyreállítási szolgáltatás
- Virtuális gép véletlen törlésének megakadályozása
ügyfélbiztonsági érdekelt felek (További információ):
BR-3: Biztonsági másolatok monitorozása
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 11.3 | CP-9 | N/A |
biztonsági elv: Győződjön meg arról, hogy minden üzleti szempontból kritikus fontosságú, védhető erőforrás megfelel a meghatározott biztonsági mentési szabályzatnak és szabványnak.
Azure-útmutató: Az Azure-környezet monitorozása annak biztosítása érdekében, hogy az összes kritikus erőforrás biztonsági mentési szempontból megfelelő legyen. A biztonsági mentéshez használja az Azure Policyt ezeknek a szabályoknak a naplózásához és kikényszerítéséhez. Az Azure Backup által támogatott erőforrások esetében a Backup Center segít központilag irányítani a biztonsági mentési környezetet.
Győződjön meg arról, hogy a kritikus biztonsági mentési műveletek (törlés, adatmegőrzés módosítása, biztonsági mentési konfiguráció frissítései) monitorozása, naplózása és riasztásai érvényben vannak. Az Azure Backup által támogatott erőforrások esetében monitorozza a biztonsági mentés általános állapotát, riasztást kap a kritikus biztonsági mentési incidensekre, és naplózhatja a tárolók aktivált felhasználói műveleteit.
Megjegyzés: Adott esetben beépített szabályzatokkal (Azure Policy) is biztosíthatja, hogy az Azure-erőforrások biztonsági mentésre legyenek konfigurálva.
Azure-implementáció és további környezet:
- Irányítsa a biztonsági mentési rendszert a Backup Center használatával
- A Biztonsági Központ segítségével a biztonsági mentések monitorozása és üzemeltetése
- Monitorozási és jelentéskészítési megoldások az Azure Backup
AWS-útmutató: Az AWS biztonsági mentése más AWS-eszközökkel együttműködve lehetővé teszi a számítási feladatok monitorozását. Ezek az eszközök a következők:
- Az AWS Backup Audit Managerrel monitorozza a biztonsági mentési műveleteket a megfelelőség biztosítása érdekében.
- A CloudWatch és az Amazon EventBridge használatával monitorozza az AWS biztonsági mentési folyamatait.
- A CloudWatch használatával nyomon követheti a metrikákat, riasztásokat hozhat létre és irányítópultokat tekinthet meg.
- Az EventBridge használatával megtekintheti és figyelheti az AWS biztonsági mentési eseményeit.
- Az Amazon Simple Notification Service (Amazon SNS) használatával előfizethet az AWS biztonsági mentéssel kapcsolatos témaköreire, például biztonsági mentésre, visszaállításra és események másolására.
AWS implementációja és további kontextus:
- AWS biztonsági mentés monitorozási
- AWS biztonsági mentési események monitorozása az EventBridge segítségével
- AWS Backup-metrikák monitorozása a CloudWatch
- Az Amazon SNS használata az AWS biztonsági mentési eseményeinek nyomon követésére
- Biztonsági másolatok naplózása és jelentések létrehozása az AWS Backup Audit Managerrel
GCP-útmutató: A biztonsági mentési és vészhelyreállítási környezet monitorozása annak biztosítása érdekében, hogy az összes kritikus erőforrás biztonsági mentési szempontból megfelelő legyen. A biztonsági mentéshez használja a szervezeti szabályzatot az ilyen vezérlők naplózásához és kikényszerítéséhez. A GCP-backup által támogatott erőforrások esetében a Management Console segít központilag irányítani a biztonsági mentési rendszert.
Győződjön meg arról, hogy a kritikus biztonsági mentési műveletek (törlés, adatmegőrzés módosítása, biztonsági mentési konfiguráció frissítései) monitorozása, naplózása és riasztásai érvényben vannak. A GCP-biztonsági mentés által támogatott erőforrások esetében monitorozza a biztonsági mentés általános állapotát, riasztást kap a kritikus biztonsági mentési incidensekre, és naplózhatja az aktivált felhasználói műveleteket.
Megjegyzés: Adott esetben a beépített szabályzatok (szervezeti szabályzatok) használatával biztosíthatja, hogy a Google-erőforrások biztonsági mentésre legyenek konfigurálva.
GCP implementációja és további kontextus:
ügyfélbiztonsági érdekelt felek (További információ):
BR-4: Biztonsági mentés rendszeres tesztelése
| CIS-vezérlők v8-azonosítói | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS 3.2.1-s verziójú azonosító(ok) |
|---|---|---|
| 11.5 | CP-4, CP-9 | N/A |
biztonsági elv: Rendszeres időközönként végezzen adat-helyreállítási teszteket a biztonsági mentésről annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági mentési adatok rendelkezésre állása megfelel-e az RTO-ban (helyreállítási idő célkitűzése) és az RPO-ban (helyreállítási pont célkitűzése) meghatározott helyreállítási igényeknek.
Azure-beli útmutató: Rendszeres időközönként végezze el a biztonsági mentés adat-helyreállítási tesztjeit annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági mentési adatok rendelkezésre állása megfelel-e az RTO-ban és az RPO-ban meghatározott helyreállítási igényeknek.
Előfordulhat, hogy meg kell határoznia a biztonsági mentés helyreállítási tesztstratégiát, beleértve a teszt hatókörét, gyakoriságát és módszerét, mivel a teljes helyreállítási teszt végrehajtása minden alkalommal nehéz lehet.
Azure-implementáció és további környezet:
- hu-HU: Fájlok helyreállítása az Azure virtuális gép biztonsági mentéséből
- Key Vault-kulcsok visszaállítása az Azure
AWS-útmutató: Rendszeres időközönként végezze el a biztonsági mentés adat-helyreállítási tesztjeit annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági mentési adatok rendelkezésre állása megfelel-e az RTO-ban és az RPO-ban meghatározott helyreállítási igényeknek.
Előfordulhat, hogy meg kell határoznia a biztonsági mentés helyreállítási tesztstratégiát, beleértve a teszt hatókörét, gyakoriságát és módszerét, mivel a teljes helyreállítási teszt végrehajtása minden alkalommal nehéz lehet. AWS implementációja és további kontextus:
GCP-útmutató: Rendszeres időközönként végezzen adat-helyreállítási teszteket a biztonsági mentésről annak ellenőrzéséhez, hogy a biztonsági mentési konfigurációk és a biztonsági mentési adatok rendelkezésre állása megfelel-e az RTO-ban és az RPO-ban meghatározott helyreállítási igényeknek.
Előfordulhat, hogy meg kell határoznia a biztonsági mentés helyreállítási tesztstratégiát, beleértve a teszt hatókörét, gyakoriságát és módszerét, mivel a teljes helyreállítási teszt végrehajtása minden alkalommal nehéz lehet.
GCP implementációja és további kontextus:
ügyfélbiztonsági érdekelt felek (További információ):