Controle de segurança V2: backup e recuperação
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
O backup e a recuperação abrangem controles para garantir que os backups de dados e de configuração em diferentes camadas de serviço sejam executados, validados e protegidos.
Para ver o Azure Policy interno aplicável, confira Detalhes da iniciativa interna de conformidade regulatória do Azure Security Benchmark: backup e recuperação
BR-1: garantir backups automatizados regulares
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| BR-1 | 10.1 | CP-2, CP4, CP-6, CP-9 |
Verifique se você está fazendo backup de sistemas e dados para manter a continuidade dos negócios após um evento inesperado. Isso deve ser definido por quaisquer objetivos para RPO (Objetivo de Ponto de Recuperação) e RTO (Objetivo de Tempo de Recuperação).
Habilite o Backup do Azure e configure a fonte de backup (como, VMs do Azure, SQL Server, bancos de dados HANA ou compartilhamentos de arquivos), bem como a frequência e o período de retenção desejados.
Para um nível mais alto de proteção, você pode habilitar a opção de armazenamento com redundância geográfica para replicar dados de backup para uma região secundária e recuperar usando a restauração entre regiões.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
BR-2: criptografar dados de backup
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| BR-2 | 10,2 | CP-9 |
Verifique se os backups estão protegidos contra ataques. Isso deve incluir a criptografia dos backups para proteger contra perda de confidencialidade.
Para backups locais usando o Backup do Azure, a criptografia inativa é concedida usando a frase secreta fornecida por você. Para backups regulares do serviço do Azure, os dados de backup são criptografados automaticamente usando chaves de criptografia gerenciada pela plataforma do Azure. Você pode optar por criptografar os backups usando a chave gerenciada pelo cliente. Nesse caso, verifique se essa chave gerenciada pelo cliente no cofre de chaves também está no escopo de backup.
Use o controle de acesso baseado em função do Azure no Backup do Azure, Azure Key Vault ou outros recursos para proteger backups e chaves gerenciadas pelo cliente. Além disso, você pode habilitar recursos de segurança avançados para exigir MFA antes que os backups possam ser alterados ou excluídos.
Criptografia de dados de backup usando chaves gerenciadas pelo cliente
Recursos de segurança para ajudar a proteger backups híbridos contra ataques
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
BR-3: validar todos os backups, incluindo chaves gerenciadas pelo cliente
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| BR-3 | 10,3 | CP-4, CP-9 |
Realize periodicamente a restauração de dados de seu backup. Verifique periodicamente se você pode restaurar as chaves gerenciadas pelo cliente arquivadas em backup.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):
BR-4: reduzir o risco de perda de chaves
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| BR-4 | 10.4 | CP-9 |
Lembre-se de ter medidas em vigor para evitar e recuperar a perda de chaves. Habilite a exclusão temporária e a proteção de limpeza no Azure Key Vault para proteger as chaves contra exclusão acidental ou mal-intencionada.
Responsabilidade: Cliente
Stakeholders da segurança do cliente (Saiba mais):