Aracılığıyla paylaş

Güvenlik Denetimi: Yedekleme ve kurtarma

  • Makale

Yedekleme ve Kurtarma, farklı hizmet katmanlarında veri ve yapılandırma yedeklemelerinin gerçekleştirildiğinden, doğrulandığından ve korunduğundan emin olmak için denetimleri kapsar.

BR-1: Düzenli otomatik yedeklemelerden emin olun

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS kimlikleri v3.2.1
11.2 CP-2, CP-4, CP-9 YOK

Güvenlik ilkesi: Kaynak oluşturma sırasında veya mevcut kaynaklar için politika yoluyla zorunlu hale getirilmiş iş açısından kritik kaynakların yedeklendiğinden emin olun.

Azure kılavuzu: Azure Backup tarafından desteklenen kaynaklar (Azure VM'leri, SQL Server, HANA veritabanları, Azure PostgreSQL Veritabanı, Dosya Paylaşımları, Bloblar veya Diskler gibi) için Azure Backup'ı etkinleştirin ve istenen sıklığı ve saklama süresini yapılandırın. Azure VM'de, Azure İlkesi'ni kullanarak yedeklemenin otomatik olarak etkinleştirilmesi için Azure İlkesi'ni kullanabilirsiniz.

Azure Backup tarafından desteklenmeyen kaynaklar veya hizmetler için kaynak veya hizmet tarafından sağlanan yerel yedekleme özelliğini kullanın. Örneğin, Azure Key Vault yerel bir yedekleme özelliği sağlar.

Azure Backup tarafından desteklenmeyen veya yerel yedekleme özelliği olmayan kaynaklar/hizmetler için yedekleme ve olağanüstü durum gereksinimlerinizi değerlendirin ve iş gereksinimlerinize göre kendi mekanizmanızı oluşturun. Mesela:

  • Veri depolama için Azure Depolama'yı kullanıyorsanız depolama bloblarınız için blob sürümü oluşturmayı etkinleştirin. Bu sayede Azure Depolama alanınızda depolanan her nesnenin her sürümünü koruyabilir, alabilir ve geri yükleyebilirsiniz.
  • Hizmet yapılandırma ayarları genellikle Azure Resource Manager şablonlarına aktarılabilir.

Azure uygulaması ve ek bağlam:

AWS kılavuzu : AWS Backup tarafından desteklenen kaynaklar (EC2, S3, EBS veya RDS gibi) için AWS Backup'ı etkinleştirin ve istenen sıklık ile saklama süresini yapılandırın.

AWS KMS gibi AWS Backup tarafından desteklenmeyen kaynaklar/hizmetler için kaynak oluşturma işlemi kapsamında yerel yedekleme özelliğini etkinleştirin.

AWS Backup tarafından desteklenmeyen veya yerel yedekleme özelliği olmayan kaynaklar/hizmetler için yedekleme ve olağanüstü durum gereksinimlerinizi değerlendirin ve iş gereksinimlerinize göre kendi mekanizmanızı oluşturun. Mesela:

  • Amazon S3 veri depolama için kullanılıyorsa depolama demetiniz için S3 sürümü oluşturmayı etkinleştirin. Bu sayede S3 demetinizde depolanan her nesnenin her sürümünü koruyabilir, alabilir ve geri yükleyebilirsiniz.
  • Hizmet yapılandırma ayarları genellikle CloudFormation şablonlarına aktarılabilir.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu : Google Cloud Backup tarafından desteklenen kaynaklar (Bilgisayar Altyapısı, Bulut Depolama ve Kapsayıcılar gibi) için GCP Yedekleme'yi etkinleştirin ve istenen sıklığı ve saklama süresini yapılandırın.

Google Cloud Backup tarafından desteklenmeyen kaynaklar veya hizmetler için kaynak veya hizmet tarafından sağlanan yerel yedekleme özelliğini kullanın. Örneğin, Gizli Yönetici yerel bir yedekleme özelliği sağlar.

Google Cloud Backup tarafından desteklenmeyen veya yerel yedekleme özelliği olmayan kaynaklar/hizmetler için yedekleme ve olağanüstü durum gereksinimlerinizi değerlendirin ve iş gereksinimlerinize göre kendi mekanizmanızı oluşturun. Örneğin:

  • Yedekleme veri depolaması için Google Depolama'yı kullanıyorsanız, nesne sürümü oluşturma işleminiz için depolama sürümü oluşturmayı etkinleştirin; bu, Google Depolama alanınızda depolanan her nesnenin her sürümünü korumanıza, almanıza ve geri yüklemenize olanak tanır.

GCP uygulanması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi):

BR-2: Yedekleme ve kurtarma verilerini koruma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 tanımlayıcıları PCI-DSS kimlikleri v3.2.1
11.3 CP-6, CP-9 3.4

Güvenlik ilkesi: Yedekleme verilerinin ve işlemlerinin veri sızdırma, veri güvenliğini aşma, fidye yazılımı/kötü amaçlı yazılım ve kötü amaçlı insider'lardan korunduğundan emin olun. Uygulanması gereken güvenlik denetimleri arasında kullanıcı ve ağ erişim denetimi, bekleyen ve aktarım sırasında veri şifreleme yer alır.

azure kılavuzu : Kritik Azure Backup işlemlerinin (silme, değişiklik saklama, yedekleme yapılandırması güncelleştirmeleri gibi) güvenliğini sağlamak için çok faktörlü kimlik doğrulaması ve Azure RBAC kullanın. Azure Backup tarafından desteklenen kaynaklar için, görevleri ayrıştırmak ve ayrıntılı erişim sağlamak için Azure RBAC kullanın ve Kurtarma Hizmetleri kasalarınızdan verileri güvenli bir şekilde yedeklemek ve geri yüklemek için Azure Sanal Ağınızda özel uç noktalar oluşturun.

Azure Backup tarafından desteklenen kaynaklar için yedekleme verileri, 256 bit AES şifrelemesi ile Azure platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir. Yedekleri müşteri tarafından yönetilen bir anahtar kullanarak şifrelemeyi de seçebilirsiniz. Bu durumda Azure Key Vault'taki müşteri tarafından yönetilen anahtarın da yedekleme kapsamında olduğundan emin olun. Müşteri tarafından yönetilen bir anahtar kullanıyorsanız anahtarları yanlışlıkla veya kötü amaçlı silmeye karşı korumak için Azure Key Vault'ta geçici silme ve temizleme korumasını kullanın. Azure Backup kullanan şirket içi yedeklemeler için, sağladığınız parola kullanılarak bekleyen şifreleme sağlanır.

Fidye yazılımı saldırıları/yedekleme verilerini şifreleme veya kurcalama girişimleri gibi yedekleme verilerini yanlışlıkla veya kötü amaçlı silmeye karşı koruma. Azure Backup tarafından desteklenen kaynaklar için, yetkisiz silme işleminden sonra 14 güne kadar veri kaybı olmayan öğelerin kurtarılmasını sağlamak için geçici silmeyi etkinleştirin ve Azure portalında oluşturulan bir PIN kullanarak çok faktörlü kimlik doğrulamasını etkinleştirin. Ayrıca, birincil bölgede olağanüstü durum olduğunda yedekleme verilerinin geri yüklenebilmesini sağlamak için coğrafi olarak yedekli depolamayı veya bölgeler arası geri yüklemeyi etkinleştirin. Bölgesel hatalar sırasında yedeklemelerin geri yüklenebilmesini sağlamak için Alanlar arası yedekli Depolama'yı (ZRS) da etkinleştirebilirsiniz.

Not: Bir kaynağın Azure Backup dışındaki yerel yedekleme özelliğini veya yedekleme hizmetlerini kullanıyorsanız, yukarıdaki denetimleri uygulamak için Microsoft Bulut Güvenliği Karşılaştırması'na (ve hizmet temellerine) bakın.

Azure uygulaması ve ek bağlam:

AWS rehberi : AWS Backup'ın güvenliğini sağlamak için AWS IAM erişim denetimini kullanın. Bu, AWS Backup hizmeti erişim ve yedekleme ve geri yükleme noktalarının güvenliğini sağlamayı içerir. Örnek denetimler şunlardır:

  • Yedekleme/geri yükleme noktasını silme gibi kritik işlemler için çok faktörlü kimlik doğrulamasını (MFA) kullanın.
  • AWS kaynaklarıyla iletişim kurmak için Güvenli Yuva Katmanı (SSL)/Aktarım Katmanı Güvenliği (TLS) kullanın.
  • Müşteri tarafından yönetilen CMK veya AWS Backup hizmetiyle ilişkilendirilmiş AWS tarafından yönetilen bir CMK kullanarak yedekleme verilerini şifrelemek için AWS Backup ile birlikte AWS KMS'yi kullanın.
  • Kritik verilerin sabit depolanması için AWS Backup Vault Lock kullanın.
  • Erişim ilkesi, genel erişimi devre dışı bırakma, bekleyen verileri şifreleme ve sürüm oluşturma denetimi aracılığıyla S3 demetlerinin güvenliğini sağlayın.

AWS uygulaması ve ilave bağlam :

  • AWS Backup 'de Güvenliği
  • Amazon S3 için Güvenlik en iyi yöntemleri

gcp kılavuzu : Silme, değişiklik saklama, yedekleme yapılandırması güncelleştirmeleri gibi kritik yedekleme ve kurtarma işlemlerini gerçekleştirmek için en güçlü kimlik doğrulamasına sahip ayrılmış hesapları kullanın. Bu, yedekleme verilerini fidye yazılımı saldırıları/yedekleme verilerini şifreleme veya kurcalama girişimleri gibi yanlışlıkla veya kötü amaçlı silme işlemlerine karşı korur.

GCP Backup tarafından desteklenen kaynaklar için, görevleri ayırmak ve ayrıntılı erişim sağlamak amacıyla rolleri ve izinleri kullanarak Google IAM'yi kullanın ve Backup/Recovery cihazından verileri güvenli bir şekilde yedeklemek ve geri yüklemek için VPC'ye özel hizmet erişim bağlantısını yapılandırın.

Yedekleme verileri, Gelişmiş Şifreleme Standardı (AES) algoritması AES-256 kullanılarak varsayılan olarak platform düzeyinde otomatik olarak şifrelenir.

Not: Bir kaynağın GCP Yedeklemesi dışındaki yerel yedekleme özelliğini veya yedekleme hizmetlerini kullanıyorsanız, güvenlik denetimlerini uygulamak için ilgili kılavuza başvurmalısınız. Örneğin, bir VM örneği kaynağında deletionProtection özelliğini ayarlayarak belirli VM örneklerini silmeye karşı da koruyabilirsiniz.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi):

BR-3: Yedeklemeleri izleme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 tanımlayıcıları PCI-DSS kimlikleri v3.2.1
11.3 CP-9 Uygulanamaz

Güvenlik ilkesi: İş açısından kritik tüm korunabilir kaynakların tanımlı yedekleme ilkesi ve standardıyla uyumlu olduğundan emin olun.

azure kılavuzu : Tüm kritik kaynaklarınızın yedekleme perspektifinden uyumlu olduğundan emin olmak için Azure ortamınızı izleyin. Bu tür denetimleri denetlemek ve uygulamak için yedekleme için Azure İlkesi'ni kullanın. Azure Backup tarafından desteklenen kaynaklar için Yedekleme Merkezi, yedekleme varlığınızı merkezi olarak yönetmenize yardımcı olur.

Kritik yedekleme işlemlerinin (silme, değişiklik saklama, yedekleme yapılandırması güncelleştirmeleri) izlendiğinden, denetlendiğinden ve uyarıların olduğundan emin olun. Azure Backup tarafından desteklenen kaynaklar için genel yedekleme sağlığını izleyin, kritik yedekleme olaylarına karşı uyarılar alın ve kasalarda tetiklenen kullanıcı eylemlerini denetleyin.

Not: Uygun olduğunda, Azure kaynaklarınızın yedekleme için yapılandırıldığından emin olmak için yerleşik ilkeleri (Azure İlkesi) de kullanın.

Azure uygulaması ve ek bağlam:

  • Yedekleme Merkezi' kullanarak yedekleme varlığınızı yönetme
  • yedekleme merkezini kullanarak yedeklemeleri izleme ve çalıştırma
  • Azure Backup için İzleme ve raporlama çözümleri

AWS kılavuzu: AWS Backup, iş yüklerini izlemenizi sağlamak için diğer AWS araçlarıyla birlikte çalışır. Bu araçlar şunları içerir:

  • Uyumluluğu sağlamak için yedekleme işlemlerini izlemek için AWS Backup Denetim Yöneticisi'ni kullanın.
  • AWS Backup süreçlerini izlemek için CloudWatch ve Amazon EventBridge kullanın.
  • Ölçümleri izlemek, alarm oluşturmak ve panoları görüntülemek için CloudWatch'u kullanın.
  • AWS Backup olaylarını görüntülemek ve izlemek için EventBridge'i kullanın.
  • Yedekleme, geri yükleme ve kopyalama olayları gibi AWS Backup ile ilgili konulara abone olmak için Amazon Simple Notification Service'i (Amazon SNS) kullanın.

AWS uygulaması ve ek bağlam :

gcp kılavuzu : Tüm kritik kaynaklarınızın yedekleme açısından uyumlu olduğundan emin olmak için Yedekleme ve Olağanüstü Durum Kurtarma ortamınızı izleyin. Bu tür denetimleri denetlemek ve uygulamak için yedekleme için Kuruluş İlkesi'ni kullanın. GCP Backup tarafından desteklenen kaynaklar için Yönetim Konsolu, yedekleme varlığınızı merkezi olarak yönetmenize yardımcı olur.

Kritik yedekleme işlemlerinin (silme, değişiklik saklama, yedekleme yapılandırması güncelleştirmeleri) izlendiğinden, denetlendiğinden ve uyarıların olduğundan emin olun. GCP Yedeklemesi tarafından desteklenen kaynaklar için genel yedekleme durumunu izleyin, kritik yedekleme olaylarına karşı uyarı alın ve tetiklenen kullanıcı eylemlerini kontrol edin.

Not: Uygun olduğunda, Google kaynaklarınızın yedekleme için yapılandırıldığından emin olmak için yerleşik ilkeleri (Kuruluş İlkesi) de kullanın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi):

BR-4: Yedeklemeyi düzenli olarak test edin

CIS Denetimleri v8 Kimlik Tanımlayıcıları NIST SP 800-53 r4 kimlik tanımlayıcıları PCI-DSS kimlikleri v3.2.1
11.5 CP-4, CP-9 YOK

Güvenlik ilkesi: Yedekleme yapılandırmalarının ve yedekleme verilerinin kullanılabilirliğinin RTO (Kurtarma Süresi Hedefi) ve RPO (Kurtarma Noktası Hedefi) içinde tanımlanan kurtarma gereksinimlerini karşıladığını doğrulamak için düzenli aralıklarla yedeklemenizin veri kurtarma testlerini gerçekleştirin.

Azure kılavuzu: Yedekleme yapılandırmalarının ve yedekleme verilerinin kullanılabilirliğinin RTO ve RPO'da tanımlanan kurtarma gereksinimlerini karşıladığını doğrulamak için düzenli aralıklarla yedeklemenizin veri kurtarma testlerini gerçekleştirin.

Her seferinde tam kurtarma testi gerçekleştirmek zor olabileceğinden, test kapsamı, sıklığı ve yöntemi de dahil olmak üzere yedekleme kurtarma testi stratejinizi tanımlamanız gerekebilir.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Yedekleme yapılandırmalarının ve yedekleme verilerinin kullanılabilirliğinin RTO ve RPO'da tanımlanan kurtarma gereksinimlerini karşıladığını doğrulamak için düzenli aralıklarla yedeklemenizin veri kurtarma testlerini gerçekleştirin.

Her seferinde tam kurtarma testi gerçekleştirmek zor olabileceğinden, test kapsamı, sıklığı ve yöntemi de dahil olmak üzere yedekleme kurtarma testi stratejinizi tanımlamanız gerekebilir. AWS uygulaması ve ek bağlam:

GCP kılavuzu: Yedekleme yapılandırmalarının ve yedekleme verilerinin kullanılabilirliğinin RTO ve RPO'da tanımlanan kurtarma gereksinimlerini karşıladığını doğrulamak için düzenli aralıklarla yedeklemenizin veri kurtarma testlerini gerçekleştirin.

Her seferinde tam kurtarma testi gerçekleştirmek zor olabileceğinden, test kapsamı, sıklığı ve yöntemi de dahil olmak üzere yedekleme kurtarma testi stratejinizi tanımlamanız gerekebilir.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi):