Azure-säkerhetsbaslinje för Azure Backup

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 2.0 till Azure Backup. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Backup.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Backup, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Om du vill se hur Azure Backup helt mappar till Azure Security Benchmark läser du den fullständiga mappningsfilen för Azure Backup säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Azure Backup stöder inte distribution direkt till ett virtuellt nätverk. Säkerhetskopiering kan inte använda nätverksfunktioner som nätverkssäkerhetsgrupper, routningstabeller eller nätverksberoende enheter som Azure Firewall.

Använd Microsoft Sentinel för att identifiera användningen av äldre osäkra protokoll, till exempel:

  • Transport Layer Security (TLS) v1

  • Server Message Block (SMB) v1

  • LAN Manager (LM) eller New Technology LAN Manager (NTLM) v1

  • wDigest

  • Osignerade LDAP-bindningar (Lightweight Directory Access Protocol)

  • Svaga chiffer i Kerberos

Alla erbjudanden framtvingar säkerhetskopiering av TLS 1.2 och senare förutom Microsoft Azure Recovery Services-agentsäkerhetskopior (MARS). Säkerhetskopiering av MARS-agenten stöder endast TLS 1.1 och äldre fram till den 1 september 2021. Därefter framtvingar MARS-agentsäkerhetskopior även TLS 1.2 och senare.

När du säkerhetskopierar SQL-servrar och SAP HANA-instanser på virtuella Azure-datorer måste du tillåta utgående åtkomst till port 443 för att få åtkomst till vissa fullständigt kvalificerade domännamn (FQDN) eller när du använder tjänsttaggar.

Du kan använda privata slutpunkter för dina Recovery Services-valv. Endast nätverk som innehåller privata slutpunkter för valvet kan komma åt valvet.

Ansvar: Kund

NS-2: Koppla samman privata nätverk

Vägledning: Om du vill säkerhetskopiera lokala servrar kan du använda ExpressRoute eller virtuellt privat nätverk (VPN) för att ansluta till Azure.

Använd Azure Backup Community när du använder Microsoft-peering för ExpressRoute. Använd privat peering när du använder privata slutpunkter för säkerhetskopiering. Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat och finns kvar i Azure-stamnätverket.

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Valv är en Azure-resurs som du kan komma åt via Azure Portal, Azure CLI, PowerShell, SDK och REST. Säkerhetskopiering stöder även privata slutpunkter för Recovery Services-valv.

Använd Azure Private Link för privat åtkomst till Recovery Services-valv från dina virtuella nätverk utan att korsa Internet. Privat åtkomst lägger till ett djupskyddsmått för Azure-autentisering och trafiksäkerhet.

Säkerhetskopiering ger inte möjlighet att konfigurera tjänstslutpunkter för virtuellt nätverk.

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Azure Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller för säkerhetskopieringsresurser i nätverkssäkerhetsgrupper (NSG:er) eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Ange namnet på tjänsttaggen i rätt regelkälla eller målfält för att tillåta eller neka trafiken. Microsoft hanterar adressprefixen som tjänsttaggen omfattar och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

För nätverk som är värdar för tjänster som kommunicerar med Backup tillåter du utgående tjänsttaggar för tjänsten "AzureBackup", "AzureStorage" och "AzureActiveDirectory" på dina NSG:er.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Ej tillämpligt. Säkerhetskopieringen exponerar inte dess underliggande DNS-konfigurationer. Microsoft underhåller dessa inställningar.

Ansvar: Microsoft

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Säkerhetskopiering använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser. Resurser omfattar:

    • Azure Portal

    • Azure Storage

    • Virtuella Azure Linux- och Windows-datorer

    • Azure Key Vault

    • Plattform som en tjänst (PaaS)

    • SaaS-program (Programvara som en tjänst)

  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör ha hög prioritet för organisationens molnsäkerhetspraxis. Azure AD tillhandahåller en identitetssäkerhetspoäng som hjälper dig att jämföra din identitetssäkerhetsstatus med Microsofts rekommendationer för bästa praxis. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Obs! Azure AD stöder externa identiteter som tillåter användare utan ett Microsoft-konto att logga in på sina program och resurser.

Säkerhetskopieringen använder rollbaserad åtkomstkontroll i Azure (RBAC) för att tillåta detaljerad åtkomst till resurser. Säkerhetskopieringen innehåller tre inbyggda roller: Säkerhetskopieringsdeltagare, Säkerhetskopieringsoperator och Säkerhetskopieringsläsare.

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Säkerhetskopiering stöder hanterade identiteter för dess Azure-resurser. Använd hanterade identiteter med säkerhetskopiering i stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser.

Säkerhetskopiering kan autentiseras internt mot Azure-tjänster och resurser som stöder Azure AD autentisering. Säkerhetskopiering använder en fördefinierad regel för åtkomstbeviljande i stället för autentiseringsuppgifter hårdkodade i källkods- eller konfigurationsfiler.

Säkerhetskopiering använder hanterade identiteter för säkerhetskopiering och återställning på skyddade datakällor i Backup-valv. Säkerhetskopiering använder också hanterade identiteter för att hantera säkerhetsfunktioner som kryptering med kundhanterade nycklar och privata slutpunkter för Recovery Services-valv.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Anslut alla användare, program och enheter till Azure AD. Azure AD ger sömlös, säker åtkomst och bättre synlighet och kontroll.

Säkerhetskopiering använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för Azure-resurser. Identiteter som kan använda Azure AD för att autentisera till säkerhetskopiering omfattar företagsidentiteter som anställda och externa identiteter som partner, leverantörer och leverantörer. Azure AD tillhandahåller enkel inloggning (SSO) för att hantera och skydda åtkomsten till din organisations lokala data och molndata och resurser.

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Använd Azure DevOps Credential Scanner för att identifiera autentiseringsuppgifter i dina ARM-mallar (Backup Azure Resource Manager). Genomsökning av autentiseringsuppgifter uppmuntrar till att flytta identifierade autentiseringsuppgifter till säkrare platser som Azure Key Vault.

För GitHub kan du använda funktionen för intern hemlighetsgenomsökning för att identifiera autentiseringsuppgifter eller andra hemligheter i koden.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: De mest kritiska inbyggda Azure AD rollerna är global administratör och privilegierad rolladministratör. Användare med dessa två roller kan delegera administratörsroller.

  • Global administratör eller företagsadministratör har åtkomst till alla Azure AD administrativa funktioner och tjänster som använder Azure AD identiteter.

  • Privilegierad rolladministratör kan hantera rolltilldelningar i Azure AD och Azure AD Privileged Identity Management (PIM). Den här rollen kan hantera alla aspekter av PIM och administrativa enheter.

Begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå. Användare med hög behörighet kan direkt eller indirekt läsa och ändra alla dina Azure-resurser.

Du kan aktivera just-in-time(JIT) privilegierad åtkomst till Azure-resurser och Azure AD med hjälp av Azure AD PIM. JIT beviljar temporära behörigheter för att utföra privilegierade uppgifter endast när användarna behöver det. PIM kan också generera säkerhetsaviseringar för misstänkt eller osäker aktivitet i din Azure AD organisation.

RBAC-rollen Säkerhetskopieringsdeltagare har alla behörigheter för att skapa och hantera säkerhetskopior, förutom att ta bort Recovery Services-valvet och ge åtkomst till andra. Den här rollen är administratör för säkerhetskopieringshantering, som kan utföra alla säkerhetskopieringshanteringsåtgärder. Granska identiteter som tilldelas den här rollen regelbundet och konfigurera dem med Azure AD PIM.

Obs! Du kan behöva styra andra viktiga roller om du tilldelar vissa privilegierade behörigheter till anpassade roller. Du kanske vill tillämpa liknande kontroller på administratörskonton för kritiska affärstillgångar.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Säkerhetskopiering använder Azure AD konton och Azure RBAC för att bevilja behörigheter till dess resurser. Granska användarkonton och åtkomsttilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Du kan använda Azure AD åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. Du kan också skapa arbetsflöden för åtkomstgranskningsrapport i Azure AD Privileged Identity Management (PIM) för att underlätta granskningsprocessen.

Du kan också konfigurera Azure AD PIM för att varna dig när det finns för många administratörskonton. PIM kan också identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Säkerhetskopiering stöder Azure RBAC för detaljerad åtkomsthantering för valv. Azure Backup innehåller tre inbyggda RBAC-roller för att styra säkerhetskopieringshanteringsåtgärder:

  • Säkerhetskopieringsdeltagare – Den här rollen har alla behörigheter för att skapa och hantera säkerhetskopior, förutom att ta bort Recovery Services-valv och ge åtkomst till andra. Den här rollen är administratör för säkerhetskopieringshantering, som kan utföra alla säkerhetskopieringshanteringsåtgärder.

  • Säkerhetskopieringsoperator – Den här rollen har behörighet för allt en säkerhetskopieringsdeltagare gör, förutom att ta bort säkerhetskopieringar och hantera säkerhetskopieringsprinciper. Den här rollen är samma som säkerhetskopieringsdeltagare, förutom att den inte kan utföra destruktiva åtgärder, till exempel stoppa säkerhetskopiering med borttagningsdata eller ta bort registreringen av lokala resurser.

  • Säkerhetskopieringsläsare – Den här rollen har behörighet att visa alla säkerhetskopieringshanteringsåtgärder. Den här rollen är för övervakning.

  • Skapa en åtkomstgranskning av Azure-resursroller i Privileged Identity Management (PIM)

  • Så här använder du identitets- och åtkomstgranskningar i Azure AD

  • Azure RBAC för säkerhetskopiering

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbetsstationer och Azure Bastion för administrativa uppgifter på säkerhetskopieringsresurser.

Använd Azure AD, Microsoft Defender Advanced Threat Protection (ATP) eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. Du kan centralt hantera skyddade arbetsstationer för att framtvinga en säkerhetskonfiguration som innehåller:

Ansvar: Kund

PA-7: Följ principen för minsta möjliga behörighet för precis tillräckligt med administration

Vägledning: Säkerhetskopiering integreras med Azure RBAC för att hantera dess resurser. Med RBAC hanterar du Azure-resursåtkomst via rolltilldelningar. Du kan tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Vissa resurser har fördefinierade, inbyggda roller. Du kan inventera eller fråga dessa roller via verktyg som Azure CLI, Azure PowerShell eller Azure Portal.

Begränsa alltid de behörigheter som du tilldelar resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar jit-metoden (just-in-time) för Azure AD PIM. Granska roller och tilldelningar med jämna mellanrum.

Säkerhetskopiering integreras med Azure RBAC och gör det möjligt att använda inbyggda och anpassade roller för att hantera åtkomst till resurser. Använd inbyggda roller för att allokera behörigheter och skapa bara anpassade roller när det behövs.

Azure Backup innehåller tre inbyggda roller för att styra säkerhetskopieringshanteringsåtgärder:

  • Säkerhetskopieringsdeltagare – Den här rollen har alla behörigheter för att skapa och hantera säkerhetskopior, förutom att ta bort Recovery Services-valv och ge åtkomst till andra. Den här rollen är administratör för säkerhetskopieringshantering, som kan utföra alla säkerhetskopieringshanteringsåtgärder.

  • Säkerhetskopieringsoperator – Den här rollen har behörighet för allt en säkerhetskopieringsdeltagare gör, förutom att ta bort säkerhetskopieringar och hantera säkerhetskopieringsprinciper. Den här rollen är samma som säkerhetskopieringsdeltagare, förutom att den inte kan utföra destruktiva åtgärder, till exempel stoppa säkerhetskopiering med borttagningsdata eller ta bort registreringen av lokala resurser.

  • Säkerhetskopieringsläsare – Den här rollen har behörighet att visa alla säkerhetskopieringshanteringsåtgärder. Den här rollen är för övervakning.

Läs mer i följande referenser:

Ansvar: Kund

PA-8: Välj godkännandeprocess för Microsoft-support

Vägledning: Säkerhetskopiering stöder inte Customer Lockbox. Microsoft arbetar med kunder via andra metoder för godkännande för åtkomst till kunddata.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Vägledning: Azure Backup har inte funktioner för att klassificera säkerhetskopierade data. Du kan organisera dina data själv med hjälp av olika valv och koppla taggar till dessa valv enligt deras innehåll.

Ansvar: Kund

DP-2: Skydda känsliga data

Vägledning: Om du vill skydda känsliga data begränsar du åtkomsten till säkerhetskopieringsresurser med hjälp av:

  • Azure RBAC

  • Nätverksbaserade åtkomstkontroller

  • Specifika kontroller som kryptering i Azure-tjänster

När du säkerhetskopierar virtuella Azure IaaS-datorer tillhandahåller Azure Backup oberoende och isolerade säkerhetskopior för att skydda mot oavsiktlig destruktion av ursprungliga data. Säkerhetskopior lagras i ett Recovery Services-valv med inbyggd hantering av återställningspunkter.

För konsekvens justerar du alla typer av åtkomstkontroll med din strategi för företagssegmentering. Informera din företagsstrategi om platsen för känsliga eller affärskritiska data och system.

Microsoft behandlar allt kundinnehåll på den underliggande Microsoft-hanterade plattformen som känsligt. Microsoft skyddar mot förlust och exponering av kunddata. Microsoft har standardkontroller och funktioner för dataskydd för att säkerställa att Azure-kunddata förblir säkra,

Ansvar: Kund

DP-3: Övervaka obehörig överföring av känsliga data

Vägledning: Säkerhetskopiering stöder överföring av kunddata, men har inte inbyggt stöd för övervakning av obehörig överföring av känsliga data. Du kan dock skriva aviseringsregler för aktivitets- och resursloggar för alla återställningsåtgärder som utförs från valvet.

Ansvar: Kund

DP-4: Kryptera känslig information under överföring

Vägledning: Säkerhetskopiera trafik från servrar till Recovery Services-valvöverföringar via en säker HTTPS-länk. Data krypteras med hjälp av Advanced Encryption Standard (AES) 256 när de lagras i valvet.

Säkerhetskopiering stöder datakryptering under överföring med TLS v1.2 eller senare. Det här kravet är valfritt för trafik i privata nätverk, men kritiskt för trafik på externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan använda TLS v1.2 eller senare.

Inaktivera svaga chiffer och föråldrade SSL-, TLS- och SSH-versioner och protokoll.

Azure krypterar data under överföring mellan Azure-datacenter som standard.

Ansvar: Kund

DP-5: Kryptera känsliga data i vila

Vägledning: Säkerhetskopiering stöder kryptering för vilande data. För lokal säkerhetskopiering använder kryptering i vila den lösenfras som du anger när du säkerhetskopierar till Azure. För molnarbetsbelastningar krypteras data i vila som standard med hjälp av Kryptering för lagringstjänst (SSE) och Microsoft-hanterade nycklar. Säkerhetskopiering innehåller också alternativ för kundhanterade nycklar för att uppfylla regelkrav.

När du säkerhetskopierar med MARS-agenten eller använder ett Recovery Services-valv som krypterats med en kundhanterad nyckel har endast kunden åtkomst till krypteringsnyckeln. Microsoft underhåller inte en kopia eller har åtkomst till nyckeln. Om du tappar bort nyckeln kan Microsoft inte återställa dina säkerhetskopierade data.

Ansvar: Delad

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Kontrollera att säkerhetsteamet har insyn i risker för tillgångar

Vägledning: Se till att bevilja säkerhetsteam behörigheter för säkerhetskopieringsläsare och -läsare i din Azure-klientorganisation och prenumerationer, så att de kan granska säkerhetskopieringskonfigurationer och data för säkerhetsrisker.

Övervakning av säkerhetsrisker kan vara ett centralt säkerhetsteams eller ett lokalt teams ansvar, beroende på hur du strukturerar ansvarsområden. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Ansvar: Kund

AM-2: Kontrollera att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteamen har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Säkerhetskopiering. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. och tilldela den läsbehörighet till alla säkerhetskopieringsresurser. Du kan förenkla processen med en enda rolltilldelning på hög nivå i din prenumeration.

Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att organisera dem logiskt i en taxonomi. Varje tagg består av ett namn- och värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Säkerhetskopiering stöder övervakning och framtvingande av konfigurationer med hjälp av Azure Policy. Tilldela Azure Policy inbyggda definitioner för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph för att fråga efter och identifiera resurser i prenumerationer. Du kan också använda Azure Monitor för att skapa regler som utlöser aviseringar när de identifierar en tjänst som inte har godkänts.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd den inbyggda hotidentifieringsfunktionen i Microsoft Defender för molnet. Aktivera Microsoft Defender för dina DDoS Protection Standard-resurser. Microsoft Defender tillhandahåller ett extra lager med säkerhetsinformation. Microsoft Defender identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina DDoS Protection-resurser.

Azure Backup genererar aktivitets- och resursloggar som du kan använda för att granska åtgärder mot säkerhetskopieringsresurser och identifiera hot. Vidarebefordra säkerhetskopieringsloggarna till ditt SIEM-system (säkerhetsinformation och händelsehantering). Du kan använda SIEM för att konfigurera anpassade hotidentifieringar.

Se till att övervaka olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet, för att minska falska positiva identifieringar för analytiker att sortera igenom. Du kan skicka aviseringar från loggdata, agenter eller andra data.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar är tillgängliga automatiskt. Loggarna innehåller alla PUT-, POST- och DELETE-åtgärder, men inte GET-åtgärder för säkerhetskopieringsresurser. Du kan använda aktivitetsloggar för att hitta fel vid felsökning eller för att övervaka hur användare ändrade resurser.

Aktivera Azure-resursloggar för säkerhetskopiering. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

Ansvar: Delad

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring och analys för att möjliggöra korrelation av säkerhetskopieringsloggdata. Se till att registrera för varje loggkälla:

  • Den tilldelade dataägaren
  • Vägledning för åtkomst
  • Lagringsplats
  • Verktyg som bearbetar och kommer åt data
  • Krav för datakvarhållning

Se till att integrera Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och göra analyser. Använd Azure Storage-konton för långsiktig lagring och arkivering.

Aktivera och publicera data till Microsoft Sentinel eller en SIEM från tredje part. Du kan använda Microsoft Sentinel för "frekventa" data som du använder ofta och Azure Storage för "kalla" data som du använder mindre ofta.

Ansvar: Delad

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Använd Azure Storage- eller Log Analytics-arbetsytekonton för långsiktig lagring och arkivering. För lagringskonton eller Log Analytics-arbetsytor som lagrar säkerhetskopieringsloggar anger du en kvarhållningsperiod för loggar som uppfyller organisationens efterlevnadsregler.

Ansvar: Delad

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Säkerhetskopiering stöder inte konfiguration av dina egna tidssynkroniseringskällor. Säkerhetskopieringen förlitar sig på Microsofts tidssynkroniseringskällor som inte exponeras för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Övervaka och framtvinga säkra konfigurationer av ditt Recovery Services-valv genom att tilldela inbyggda och anpassade Azure Policy definitioner. Om inbyggda principer inte uppfyller dina krav använder du Azure Policy alias i namnområdet "Microsoft.RecoveryServices" för att skapa anpassade principer.

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Använd Azure Policy för att övervaka och framtvinga säkerhetskopieringskonfigurationer, till exempel:

  • Inställningar för dina valv

  • Kryptering med kundhanterade nycklar

  • Använda privata slutpunkter för dina valv

  • Distribuera diagnostikinställningar

Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säker konfiguration för Azure Backup resurser.

Ansvar: Kund

PV-6: Gör sårbarhetsbedömningar för programvara

Vägledning: Säkerhetskopiering distribuerar inte kundriktade beräkningsresurser som stöder verktyg för sårbarhetsbedömning. Microsoft hanterar sårbarheter och utvärderingar för den underliggande plattformen som stöder säkerhetskopiering.

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Säkerhetskopiering distribuerar inte kundriktade beräkningsresurser som stöder verktyg för sårbarhetsbedömning. Microsoft hanterar sårbarheter och utvärderingar för den underliggande plattformen som stöder säkerhetskopiering.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstestning eller aktiviteter för röda team på dina Azure-resurser efter behov och se till att alla kritiska säkerhetsresultat åtgärdas.

Följ Microsoft Cloud Penetration Testing Rules of Engagement för att se till att intrångstesterna inte bryter mot Microsofts principer. Använd Microsofts red teamindelningsstrategi och körning. Utför intrångstester på livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program.

Ansvar: Kund

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-2: Kryptera säkerhetskopieringsdata

Vägledning: Säkerhetskopiering stöder kryptering för vilande säkerhetskopieringsdata som hanteras. Molnarbetsbelastningar krypterar vilande data som standard med hjälp av SSE (Storage Service Encryption) och Microsoft-hanterade nycklar. Azure Backup tillhandahåller alternativ för kundhanterade nycklar för att uppfylla regelkrav.

Ansvar: Delad

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.RecoveryServices:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Backup ska aktiveras för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, Inaktiverad 2.0.0

BR-4: Minska risken för förlorade nycklar

Vägledning: Kontrollera att du har mått på plats för att förhindra och återställa från förlust av krypteringsnycklar för säkerhetskopiering. Om du vill skydda nycklar mot oavsiktlig eller skadlig borttagning aktiverar du skydd mot mjuk borttagning och rensning i azure-Key Vault.

Ansvar: Delad

Nästa steg