Control de seguridad V2: Copia de seguridad y recuperación

  • Artículo

Nota

La versión más actualizada de Azure Security Benchmark está disponible aquí.

La copia de seguridad y la recuperación conllevan controles para garantizar que las copias de seguridad de los datos y la configuración de los distintos niveles de servicio se realizan, se validan y se protegen.

Para ver la instancia de Azure Policy integrada aplicable, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
BR-1 10.1 CP-2, CP4, CP-6, CP-9

Asegúrese de realizar copias de seguridad de sistemas y datos para mantener la continuidad empresarial después de un evento inesperado. Debería definirse por los objetivos del objetivo de punto de recuperación (RPO) y el objetivo de tiempo de recuperación (RTO).

Habilite Azure Backup y configure el origen de las copias de seguridad (por ejemplo, VM de Azure, SQL Server, bases de datos HANA o recursos compartidos de archivos), así como la frecuencia y el período de retención deseados.

Para un nivel más alto de protección, puede habilitar la opción de almacenamiento con redundancia geográfica para replicar los datos de copia de seguridad en una región secundaria y recuperarlos mediante la restauración entre regiones.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

BR-2: Cifrado de los datos de copia de seguridad

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
BR-2 10,2 CP-9

Asegúrese de que las copias de seguridad están protegidas frente a los ataques. Esto debe incluir el cifrado de las copias de seguridad para proteger frente a la pérdida de confidencialidad.

En el caso de las copias de seguridad locales mediante Azure Backup, se proporciona cifrado en reposo mediante la frase de contraseña que proporcione. En el caso de las copias de seguridad periódicas de servicios de Azure, los datos de copia de seguridad se cifran automáticamente mediante claves administradas por la plataforma de Azure. Puede optar por cifrar las copias de seguridad mediante claves administradas por el cliente. En este caso, asegúrese de que esta clave administrada por el cliente del almacén de claves también esté en el ámbito de la copia de seguridad.

Use el control de acceso basado en rol de Azure en Azure Backup, Azure Key Vault u otros recursos para proteger las copias de seguridad y las claves administradas por el cliente. Además, puede habilitar características de seguridad avanzadas para requerir MFA antes de modificar o eliminar copias de seguridad.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

BR-3: Validación de todas las copias de seguridad, incluidas las claves administradas por el cliente

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
BR-3 10,3 CP-4, CP-9

Realice periódicamente la restauración de los datos de la copia de seguridad. Asegúrese de que puede restaurar las claves administradas por el cliente de las que se hizo una copia de seguridad.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

BR-4: Mitigación del riesgo de pérdida de claves

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
BR-4 10,4 CP-9

Asegúrese de aplicar medidas para evitar la pérdida de claves y para su recuperación. Habilite la eliminación temporal y la protección de purga de Azure Key Vault para proteger las claves frente a una eliminación accidental o malintencionada.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):