安全控制 V2:备份和恢复
注意
此处提供了最新的 Azure 安全基准。
备份和恢复包括用于确保在不同服务层执行、验证和保护数据和配置备份的控制措施。
若要查看适用的内置 Azure Policy,请参阅 Azure 安全基准法规合规性内置计划:备份和恢复的详细信息
BR-1:确保定期执行自动备份
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-1 | 10.1 | CP-2、CP4、CP-6、CP-9 |
确保在发生意外事件后,备份系统和数据以保持业务连续性。 这应该由恢复点目标 (RPO) 和恢复时间目标 (RTO) 的任何目标定义。
启用 Azure 备份,配置备份源(例如 Azure VM、SQL Server、HANA 数据库或文件共享)以及所需的频率和保持期。
为了提高保护级别,可启用异地冗余存储选项,将备份数据复制到次要区域,并使用跨区域还原进行恢复。
责任:客户
客户安全利益干系人(了解详细信息):
BR-2:加密备份数据
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-2 | 10.2 | CP-9 |
确保备份受到保护,免遭攻击。 这应包括对备份进行加密,以防止丧失机密性。
对于使用 Azure 备份的本地备份,请使用所提供的密码提供静态加密。 对于常规 Azure 服务备份,系统会使用 Azure 平台管理的密钥自动加密备份数据。 你可选择使用客户管理的密钥对备份进行加密。 在这种情况下,请确保 Key Vault 中客户管理的密钥也在备份范围内。
在 Azure 备份、Azure Key Vault 或其他资源中使用 Azure 基于角色的访问控制来保护备份和客户管理的密钥。 此外,可启用高级安全功能,要求在更改或删除备份之前进行 MFA。
责任:客户
客户安全利益干系人(了解详细信息):
BR-3:验证所有备份,包括客户管理的密钥
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-3 | 10.3 | CP-4、CP-9 |
请定期在备份中执行数据还原。 请确保可以还原已备份的客户管理的密钥。
责任:客户
客户安全利益干系人(了解详细信息):
BR-4:减少密钥丢失风险
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-4 | 10.4 | CP-9 |
确保采用适当的措施来防止密钥丢失以及恢复丢失的密钥。 在 Azure Key Vault 中启用软删除和清除保护,以防止意外删除或恶意删除密钥。
责任:客户
客户安全利益干系人(了解详细信息):