Controlo de Segurança v3: Cópia de segurança e recuperação
A cópia de segurança e recuperação cobre controlos para garantir que as cópias de segurança de dados e configurações nos diferentes níveis de serviço são executadas, validadas e protegidas.
BR-1: Garantir backups automáticos regulares
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | N/D |
Princípio de segurança: Garantir o backup dos recursos críticos do negócio, quer durante a criação de recursos, quer através da política de recursos existentes.
Orientação Azure: Para os recursos suportados pelo Azure Backup, ative o Azure Backup e configuure a fonte de backup (tais como VMs Azure, SQL Server, bases de dados HANA ou Partilhas de Ficheiros) no período de frequência e retenção pretendido. Para o Azure VM, pode utilizar a Azure Policy para ter a cópia de segurança ativada automaticamente através da Política Azure.
Para recursos não suportados pela Azure Backup, permita a cópia de segurança como parte da sua criação de recursos. Quando aplicável, utilize políticas incorporadas (Azure Policy) para garantir que os seus recursos Azure estão configurados para cópia de segurança.
Implementação e contexto adicional:
- Como ativar o Backup Azure
- Ativar automaticamente a cópia de segurança no momento da criação da VM com o Azure Policy
Stakeholders de Segurança do Cliente (Saiba mais):
- Política e normas
- Arquitetura de segurança
- Segurança de infraestrutura e pontos finais
- Preparação de incidentes
BR-2: Proteger dados de backup e recuperação
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 11,3 | CP-6, CP-9 | 3.4 |
Princípio de segurança: Certifique-se de que os dados e operações de backup estão protegidos contra exfiltração de dados, compromisso de dados, ransomware/malware e insiders maliciosos. Os controlos de segurança que devem ser aplicados incluem o controlo de acesso ao utilizador e à rede, a encriptação de dados em repouso e o trânsito.
Orientação Azure: Utilize o Azure RBAC e a autenticação multi-factor para proteger as operações críticas de Backup do Azure (tais como eliminar, alterar retenção, atualizações para configurar backup). Para o Azure Backup apoiou recursos, use o Azure RBAC para segregar os deveres e permitir o acesso fino e criar pontos finais privados dentro da sua Rede Virtual Azure para fazer backup e restaurar de forma segura os dados dos cofres dos Serviços de Recuperação.
Para os recursos suportados pelo Azure Backup, os dados de backup são automaticamente encriptados utilizando teclas geridas pela plataforma Azure com encriptação AES de 256 bits. Também pode optar por encriptar as cópias de segurança utilizando a chave gerida pelo cliente. Neste caso, certifique-se de que esta chave gerida pelo cliente no Cofre da Chave Azure também está no âmbito de backup. Se utilizar opções de chave geridas pelo cliente, utilize proteção para eliminar e limpar suavemente no Cofre da Chave Azure para proteger as chaves de eliminação acidental ou maliciosa. Para cópias de segurança no local que utilizem O Backup Azure, a encriptação em repouso é fornecida utilizando a palavra-passe que fornece.
Proteja os dados de backup de eliminação acidental ou maliciosa (tais como ataques/tentativas de ransomware para encriptar ou adulterar dados de backup. Para os recursos suportados pela Azure Backup, ative a eliminação suave para garantir a recuperação de itens sem perda de dados até 14 dias após uma eliminação não autorizada, e permitir a autenticação multifactor usando um PIN gerado no portal Azure. Também permitir a restauração entre regiões para garantir que os dados de backup sejam ressarceveis quando há uma catástrofe na região primária.
Nota: Se utilizar a funcionalidade de backup nativa ou os serviços de backup de recursos que não o Azure Backup, consulte o Azure Security Benchmark (e linhas de base de serviço) para implementar os controlos acima referidos.
Implementação e contexto adicional:
- Visão geral das funcionalidades de segurança no Azure Backup
- Encriptação de dados de cópias de segurança com chaves geridas pelo cliente
- Funcionalidades de segurança para ajudar a proteger backups híbridos de ataques
- Azure Backup - set cross region restore
Stakeholders de Segurança do Cliente (Saiba mais):
BR-3: Monitorizes
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 11,3 | CP-9 | N/D |
Princípio de segurança: Certifique-se de que todos os recursos protegidos críticos do negócio estão em conformidade com a política de backup definida e a norma.
Orientação Azure: Monitorize o seu ambiente Azure para garantir que todos os seus recursos críticos estão em conformidade com uma perspetiva de backup. Utilize as Políticas Azure para obter apoio para auditar e impor tal controlo. Para a Azure Backup apoiou recursos: O Backup Center ajuda-o centralmente a governar a sua propriedade de reserva.
Certifique-se de que as operações críticas de Backup (eliminar, alterar retenção, atualizações para o config de backup) são monitorizadas, auditadas e têm alertas no local. Para o Azure Backup apoiou recursos, monitorize a saúde de backup geral, ser alertado para incidentes críticos de backup, o utilizador de auditoria desencadeou ações em cofres.
Implementação e contexto adicional:
- Administrar as cópias de segurança realizadas através do Centro de Cópias de Segurança
- Monitorizar e trabalhar com cópias de segurança com o Centro de cópias de Segurança
- Soluções de monitorização e reporte para backup da Azure
Stakeholders de Segurança do Cliente (Saiba mais):
BR-4: Teste regularmente backup
| Controlos do CIS v8 ID(s) | NIST SP 800-53 r4 ID | ID(s) PCI-DSS v3.2.1 |
|---|---|---|
| 11,5 | CP-4, CP-9 | N/D |
Princípio de segurança: Efetuar periodicamente testes de recuperação de dados da sua cópia de segurança para verificar se as configurações de backup e a disponibilidade dos dados de backup satisfazem as necessidades de recuperação de acordo com as definidas no RTO (Objetivo de Tempo de Recuperação) e RPO (Objetivo de Ponto de Recuperação).
Orientação Azure: Efetuar periodicamente testes de recuperação de dados da sua cópia de segurança para verificar se as configurações de backup e a disponibilidade dos dados de backup satisfazem as necessidades de recuperação de acordo com o definido no RTO e RPO.
Pode ser necessário definir a sua estratégia de teste de recuperação de backup, incluindo o âmbito de teste, a frequência e o método, uma vez que realizar o teste de recuperação completo de cada vez pode ser difícil.
Implementação e contexto adicional:
- Como recuperar ficheiros da cópia de segurança da Azure Virtual Machine
- Como restaurar chaves do Cofre chave em Azure
Stakeholders de Segurança do Cliente (Saiba mais):