Kontrola zabezpieczeń: tworzenie kopii zapasowych i odzyskiwanie
Tworzenie kopii zapasowych i odzyskiwanie obejmuje kontrolki w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione.
BR-1: Zapewnianie regularnych automatycznych kopii zapasowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | Nie dotyczy |
Zasada zabezpieczeń: upewnij się, że tworzenie kopii zapasowych zasobów o krytycznym znaczeniu dla działania firmy jest wykonywane podczas tworzenia zasobów lub wymuszane za pomocą zasad dla istniejących zasobów.
Wskazówki dotyczące platformy Azure: w przypadku Azure Backup obsługiwanych zasobów (takich jak maszyny wirtualne platformy Azure, SQL Server, bazy danych HANA, baza danych Azure PostgreSQL, udziały plików, obiekty blob lub dyski), włącz Azure Backup i skonfiguruj żądaną częstotliwość i okres przechowywania. W przypadku maszyny wirtualnej platformy Azure można użyć Azure Policy do automatycznego włączenia tworzenia kopii zapasowych przy użyciu Azure Policy.
W przypadku zasobów lub usług, które nie są obsługiwane przez Azure Backup, użyj natywnej możliwości tworzenia kopii zapasowej dostarczonej przez zasób lub usługę. Na przykład usługa Azure Key Vault zapewnia natywną możliwość tworzenia kopii zapasowych.
W przypadku zasobów/usług, które nie są obsługiwane przez Azure Backup ani nie mają natywnej możliwości tworzenia kopii zapasowej, oceń potrzeby tworzenia kopii zapasowej i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Przykład:
- Jeśli używasz usługi Azure Storage do przechowywania danych, włącz przechowywanie wersji obiektów blob dla obiektów blob magazynu, co pozwoli zachować, pobrać i przywrócić każdą wersję każdego obiektu przechowywanego w usłudze Azure Storage.
- Ustawienia konfiguracji usługi można zwykle eksportować do szablonów usługi Azure Resource Manager.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak włączyć Azure Backup
- Automatyczne włączanie kopii zapasowych podczas tworzenia maszyny wirtualnej za pomocą usługi Azure Policy
Wskazówki dotyczące platformy AWS: W przypadku zasobów obsługiwanych przez usługę AWS Backup (takich jak EC2, S3, EBS lub RDS), włącz usługę AWS Backup i skonfiguruj żądaną częstotliwość i okres przechowywania.
W przypadku zasobów/usług nieobsługiwanych przez usługę AWS Backup, takich jak AWS KMS, włącz natywną funkcję tworzenia kopii zapasowej w ramach tworzenia zasobów.
W przypadku zasobów/usług, które nie są obsługiwane przez usługę AWS Backup ani mają natywną możliwość tworzenia kopii zapasowych, oceń potrzeby tworzenia kopii zapasowych i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Przykład:
- Jeśli usługa Amazon S3 jest używana do przechowywania danych, włącz przechowywanie wersji S3 dla zaplecza magazynu, co pozwoli zachować, pobrać i przywrócić każdą wersję każdego obiektu przechowywanego w zasobniku S3.
- Ustawienia konfiguracji usługi można zwykle eksportować do szablonów CloudFormation.
Implementacja platformy AWS i dodatkowy kontekst:
- Usługa AWS Backup obsługuje zasoby i aplikacje innych firm Przechowywanie wersji usługi Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Najlepsze rozwiązania dotyczące platformy AWS CloudFormation
Wskazówki dotyczące narzędzia GCP: W przypadku obsługiwanych zasobów usługi Google Cloud Backup (takich jak aparat komputera, magazyn w chmurze i kontenery) włącz tworzenie kopii zapasowej GCP i skonfiguruj żądaną częstotliwość i okres przechowywania.
W przypadku zasobów lub usług, które nie są obsługiwane przez usługę Google Cloud Backup, użyj natywnej możliwości tworzenia kopii zapasowej udostępnianej przez zasób lub usługę. Na przykład usługa Secret Manager zapewnia natywną możliwość tworzenia kopii zapasowych.
W przypadku zasobów/usług, które nie są obsługiwane przez usługę Google Cloud Backup ani mają natywnej możliwości tworzenia kopii zapasowej, oceń potrzeby tworzenia kopii zapasowych i awarii oraz utwórz własny mechanizm zgodnie z wymaganiami biznesowymi. Przykład:
- Jeśli używasz usługi Google Storage do przechowywania danych kopii zapasowych, włącz przechowywanie wersji dla przechowywania wersji obiektów, co pozwoli zachować, pobrać i przywrócić każdą wersję każdego obiektu przechowywanego w usłudze Google Storage.
Implementacja GCP i dodatkowy kontekst:
- Rozwiązania do tworzenia kopii zapasowych i odzyskiwania po awarii za pomocą usługi Google Cloud
- Tworzenie kopii zapasowych na żądanie i zarządzanie nimi
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
- Zasady i standardy
- Architektura zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- Przygotowywanie zdarzeń
BR-2: Ochrona danych kopii zapasowych i odzyskiwania
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11,3 | CP-6, CP-9 | 3.4 |
Zasada zabezpieczeń: Upewnij się, że dane kopii zapasowej i operacje są chronione przed eksfiltracją danych, naruszeniem danych, oprogramowaniem wymuszającym okup/złośliwym oprogramowaniem i złośliwym oprogramowaniem. Mechanizmy kontroli zabezpieczeń, które należy zastosować, obejmują kontrolę dostępu użytkowników i sieć, szyfrowanie danych magazynowanych i tranzytowych.
Wskazówki dotyczące platformy Azure: użyj uwierzytelniania wieloskładnikowego i kontroli dostępu opartej na rolach platformy Azure, aby zabezpieczyć krytyczne operacje Azure Backup (takie jak usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej). W przypadku Azure Backup obsługiwanych zasobów użyj kontroli dostępu opartej na rolach platformy Azure, aby rozdzielić obowiązki i włączyć szczegółowe dostęp oraz utworzyć prywatne punkty końcowe w ramach usługi Azure Virtual Network w celu bezpiecznego tworzenia kopii zapasowych i przywracania danych z magazynów usługi Recovery Services.
W przypadku Azure Backup obsługiwanych zasobów dane kopii zapasowej są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure przy użyciu 256-bitowego szyfrowania AES. Możesz również wybrać szyfrowanie kopii zapasowych przy użyciu klucza zarządzanego przez klienta. W takim przypadku upewnij się, że klucz zarządzany przez klienta w usłudze Azure Key Vault znajduje się również w zakresie tworzenia kopii zapasowych. Jeśli używasz klucza zarządzanego przez klienta, użyj ochrony przed usuwaniem nietrwałym i przeczyszczeniem na platformie Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem. W przypadku kopii zapasowych lokalnych przy użyciu Azure Backup szyfrowanie magazynowane jest udostępniane przy użyciu podanego hasła.
Chroń dane kopii zapasowej przed przypadkowym lub złośliwym usunięciem, takie jak ataki wymuszającego okup lub próby zaszyfrowania lub naruszenia danych kopii zapasowej. W przypadku Azure Backup obsługiwanych zasobów włącz usuwanie nietrwałe, aby zapewnić odzyskiwanie elementów bez utraty danych przez maksymalnie 14 dni po nieautoryzowanym usunięciu i włączyć uwierzytelnianie wieloskładnikowe przy użyciu numeru PIN wygenerowanego w Azure Portal. Włącz również geograficznie nadmiarowy magazyn lub przywracanie między regionami, aby zapewnić możliwość przywrócenia danych kopii zapasowej w przypadku awarii w regionie podstawowym. Możesz również włączyć magazyn strefowo nadmiarowy (ZRS), aby upewnić się, że kopie zapasowe można przywrócić podczas awarii strefowych.
Uwaga: jeśli używasz natywnej funkcji tworzenia kopii zapasowej zasobu lub usług tworzenia kopii zapasowych innych niż Azure Backup, zapoznaj się z testem porównawczym zabezpieczeń firmy Microsoft w chmurze (i punktami odniesienia usług), aby zaimplementować powyższe kontrolki.
Implementacja platformy Azure i dodatkowy kontekst:
- Omówienie funkcji zabezpieczeń w Azure Backup
- Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta
- Funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych przed atakami
- Azure Backup — ustawianie przywracania między regionami
Wskazówki dotyczące platformy AWS: Zabezpieczanie kopii zapasowych platformy AWS przy użyciu kontroli dostępu do tożsamości platformy AWS. Obejmuje to zabezpieczanie dostępu do usługi AWS Backup oraz punktów tworzenia kopii zapasowych i przywracania. Przykładowe kontrolki to:
- Użyj uwierzytelniania wieloskładnikowego (MFA), aby wykonać operacje krytyczne, takie jak usunięcie punktu tworzenia kopii zapasowej/przywracania.
- Użyj protokołu Secure Sockets Layer (SSL)/Transport Layer Security (TLS), aby komunikować się z zasobami platformy AWS.
- Usługa AWS KMS w połączeniu z usługą AWS Backup umożliwia szyfrowanie danych kopii zapasowej przy użyciu zarządzanego przez klienta klucza cmK lub zarządzanego przez platformę AWS klucza cmK skojarzonego z usługą AWS Backup.
- Użyj blokady magazynu kopii zapasowych platformy AWS w celu niezmiennego przechowywania krytycznych danych.
- Zabezpieczanie zasobników S3 za pomocą zasad dostępu, wyłączanie dostępu publicznego, wymuszanie szyfrowania danych magazynowanych i kontrola wersji.
Implementacja platformy AWS i dodatkowy kontekst:
- Zabezpieczenia w usłudze AWS Backup
- Najlepsze rozwiązania dotyczące zabezpieczeń dla usługi Amazon S3
Wskazówki dotyczące platformy GCP: Używaj dedykowanych kont z najsilniejszym uwierzytelnianiem do wykonywania krytycznych operacji tworzenia kopii zapasowych i odzyskiwania, takich jak usuwanie, zmienianie przechowywania, aktualizacje konfiguracji kopii zapasowej. Chroniłoby to dane kopii zapasowej przed przypadkowym lub złośliwym usunięciem, na przykład atakami wymuszającym okup/próbami szyfrowania lub naruszenia danych kopii zapasowej.
W przypadku zasobów obsługiwanych przez usługę GCP Backup użyj usługi Google IAM z rolami i uprawnieniami do segregowania obowiązków i włączenia szczegółowego dostępu oraz skonfigurowania połączenia dostępu do usług prywatnych z programem VPC w celu bezpiecznego tworzenia kopii zapasowych i przywracania danych z urządzenia kopii zapasowej/odzyskiwania.
Dane kopii zapasowej są domyślnie szyfrowane automatycznie na poziomie platformy przy użyciu algorytmu Advanced Encryption Standard (AES), AES-256.
Uwaga: jeśli używasz natywnej funkcji tworzenia kopii zapasowej zasobu lub usług tworzenia kopii zapasowych innych niż usługa GCP Backup, zapoznaj się z odpowiednimi wskazówkami dotyczącymi implementowania mechanizmów kontroli zabezpieczeń. Można na przykład chronić określone wystąpienia maszyn wirtualnych przed usunięciem, ustawiając właściwość deletionProtection w zasobie wystąpienia maszyny wirtualnej.
Implementacja GCP i dodatkowy kontekst:
- Zasady przechowywania i blokady zasad przechowywania
- Tworzenie kopii zapasowych i odzyskiwanie po awarii
- Zapobieganie przypadkowemu usunięciu maszyny wirtualnej
Uczestnicy projektu ds. zabezpieczeń klientów (dowiedz się więcej):
BR-3: Monitorowanie kopii zapasowych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11,3 | CP-9 | Nie dotyczy |
Zasada zabezpieczeń: Upewnij się, że wszystkie zasoby, które można chronić pod względem krytycznym dla działania firmy, są zgodne ze zdefiniowanymi zasadami tworzenia kopii zapasowych i standardem.
Wskazówki dotyczące platformy Azure: Monitoruj środowisko platformy Azure, aby zapewnić zgodność wszystkich krytycznych zasobów z perspektywy kopii zapasowej. Użyj Azure Policy do wykonywania kopii zapasowych, aby przeprowadzać inspekcję i wymuszać takie kontrolki. W przypadku Azure Backup obsługiwanych zasobów centrum kopii zapasowych pomaga centralnie zarządzać zasobami kopii zapasowych.
Upewnij się, że krytyczne operacje tworzenia kopii zapasowej (usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej) są monitorowane, poddawane inspekcji i mają zainstalowane alerty. W przypadku Azure Backup obsługiwanych zasobów należy monitorować ogólną kondycję kopii zapasowej, otrzymywać alerty dotyczące krytycznych zdarzeń kopii zapasowych i przeprowadzać inspekcję wyzwalanych przez użytkowników akcji w magazynach.
Uwaga: jeśli ma to zastosowanie, należy również użyć wbudowanych zasad (Azure Policy), aby upewnić się, że zasoby platformy Azure są skonfigurowane do tworzenia kopii zapasowych.
Implementacja platformy Azure i dodatkowy kontekst:
- Zapewnianie ładu w zakresie kopii zapasowych przy użyciu centrum kopii zapasowych
- Monitorowanie i obsługa kopii zapasowych w Centrum kopii zapasowych
- Rozwiązania do monitorowania i raportowania dla Azure Backup
Wskazówki dotyczące platformy AWS: Usługa AWS Backup współpracuje z innymi narzędziami platformy AWS, aby umożliwić monitorowanie obciążeń. Te narzędzia obejmują następujące elementy:
- Użyj menedżera inspekcji kopii zapasowych platformy AWS, aby monitorować operacje tworzenia kopii zapasowych w celu zapewnienia zgodności.
- Monitorowanie procesów tworzenia kopii zapasowych platformy AWS przy użyciu usług CloudWatch i Amazon EventBridge.
- Użyj usługi CloudWatch, aby śledzić metryki, tworzyć alarmy i wyświetlać pulpity nawigacyjne.
- Używanie rozwiązania EventBridge do wyświetlania i monitorowania zdarzeń usługi AWS Backup.
- Usługa Amazon Simple Notification Service (Amazon SNS) umożliwia subskrybowanie tematów związanych z usługą AWS Backup, takich jak tworzenie kopii zapasowych, przywracanie i kopiowanie zdarzeń.
Implementacja platformy AWS i dodatkowy kontekst:
- Monitorowanie kopii zapasowych platformy AWS
- Monitorowanie zdarzeń usługi AWS Backup przy użyciu rozwiązania EventBridge
- Monitorowanie metryk usługi AWS Backup za pomocą usługi CloudWatch
- Śledzenie zdarzeń usługi AWS Backup za pomocą usługi Amazon SNS
- Przeprowadzanie inspekcji kopii zapasowych i tworzenie raportów za pomocą menedżera inspekcji kopii zapasowych platformy AWS
Wskazówki dotyczące platformy GCP: Monitoruj środowisko tworzenia kopii zapasowych i odzyskiwania po awarii, aby zapewnić zgodność wszystkich krytycznych zasobów z perspektywy kopii zapasowej. Użyj zasad organizacyjnych do tworzenia kopii zapasowych, aby przeprowadzać inspekcję i wymuszać takie kontrolki. W przypadku zasobów obsługiwanych przez usługę GCP Backup konsola zarządzania ułatwia centralne zarządzanie zasobami kopii zapasowych.
Upewnij się, że krytyczne operacje tworzenia kopii zapasowej (usuwanie, przechowywanie zmian, aktualizacje konfiguracji kopii zapasowej) są monitorowane, poddawane inspekcji i mają zainstalowane alerty. W przypadku zasobów obsługiwanych przez usługę GCP Backup należy monitorować ogólną kondycję kopii zapasowej, otrzymywać alerty dotyczące krytycznych zdarzeń kopii zapasowych i przeprowadzać inspekcję wyzwolonych akcji użytkownika.
Uwaga: jeśli ma to zastosowanie, należy również użyć wbudowanych zasad (zasad organizacyjnych), aby upewnić się, że zasoby Google są skonfigurowane do tworzenia kopii zapasowych.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
BR-4: Regularne testowanie kopii zapasowej
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | Nie dotyczy |
Zasada zabezpieczeń: Okresowo przeprowadzaj testy odzyskiwania danych kopii zapasowej, aby sprawdzić, czy konfiguracje kopii zapasowej i dostępność danych kopii zapasowej spełniają potrzeby odzyskiwania zgodnie z definicją w celu czasu odzyskiwania (cel czasu odzyskiwania) i celu punktu odzyskiwania (cel punktu odzyskiwania).
Wskazówki dotyczące platformy Azure: Okresowo przeprowadzaj testy odzyskiwania danych kopii zapasowej, aby sprawdzić, czy konfiguracje kopii zapasowej i dostępność danych kopii zapasowej spełniają potrzeby odzyskiwania zdefiniowane w celu czasu odzyskiwania i celu punktu odzyskiwania.
Może być konieczne zdefiniowanie strategii testowania odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ wykonywanie pełnego testu odzyskiwania za każdym razem może być trudne.
Implementacja platformy Azure i dodatkowy kontekst:
- Jak odzyskać pliki z kopii zapasowej maszyny wirtualnej platformy Azure
- Jak przywrócić klucze Key Vault na platformie Azure
Wskazówki dotyczące platformy AWS: Okresowo przeprowadzaj testy odzyskiwania danych kopii zapasowej, aby sprawdzić, czy konfiguracje kopii zapasowej i dostępność danych kopii zapasowej spełniają potrzeby odzyskiwania zgodnie z definicją w celu czasu odzyskiwania i celu punktu odzyskiwania.
Może być konieczne zdefiniowanie strategii testowania odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ wykonywanie pełnego testu odzyskiwania za każdym razem może być trudne. Implementacja platformy AWS i dodatkowy kontekst:
Wskazówki dotyczące platformy GCP: Okresowo przeprowadzaj testy odzyskiwania danych kopii zapasowej, aby sprawdzić, czy konfiguracje kopii zapasowej i dostępność danych kopii zapasowej spełniają potrzeby odzyskiwania zgodnie z definicją w celu czasu odzyskiwania i celu punktu odzyskiwania.
Może być konieczne zdefiniowanie strategii testowania odzyskiwania kopii zapasowej, w tym zakresu testu, częstotliwości i metody, ponieważ wykonywanie pełnego testu odzyskiwania za każdym razem może być trudne.
Implementacja GCP i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):