安全控制:备份和恢复
备份和恢复包括用于确保在不同服务层执行、验证和保护数据和配置备份的控制措施。
BR-1:确保定期执行自动备份
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.2 | CP-2、CP-4、CP-9 | 空值 |
安全原则:确保备份业务关键型资源,无论是在资源创建期间还是通过策略对现有资源强制实施。
Azure 指南:对于 azure VM、SQL Server、HANA 数据库、Azure PostgreSQL 数据库、文件共享、Blob 或磁盘) 等 (支持的Azure 备份资源,请启用Azure 备份并配置所需的频率和保留期。 对于 Azure VM,可以使用 Azure Policy 通过 Azure Policy 自动启用备份。
对于Azure 备份不支持的资源或服务,请使用资源或服务提供的本机备份功能。 例如,Azure 密钥保管库 提供本机备份功能。
对于Azure 备份不支持的资源/服务,或者没有本机备份功能,请评估备份和灾难需求,并根据业务需求创建自己的机制。 例如:
- 如果使用 Azure 存储进行数据存储,请为存储 Blob 启用 Blob 版本控制,这样就可以保留、检索和还原 Azure 存储中存储的每个对象的每个版本。
- 服务配置设置通常可以导出到 Azure 资源管理器模板。
Azure 实现和其他上下文:
AWS 指南:对于 AWS 备份支持的资源 ((如 EC2、S3、EBS 或 RDS) ),请启用 AWS 备份并配置所需的频率和保留期。
对于 AWS 备份不支持的资源/服务(例如 AWS KMS),请在创建其资源时启用本机备份功能。
对于 AWS 备份既不支持也不具有本机备份功能的资源/服务,请评估备份和灾难需求,并按照业务要求创建自己的机制。 例如:
- 如果 Amazon S3 用于数据存储,请为存储后备集启用 S3 版本控制,这样就可以保留、检索和还原 S3 存储桶中存储的每个对象的每个版本。
- 服务配置设置通常可以导出到 CloudFormation 模板。
AWS 实现和其他上下文:
- AWS 备份支持的资源和第三方应用程序 Amazon S3 版本控制: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- AWS CloudFormation 最佳做法
GCP 指南:对于 Google Cloud Backup 支持的资源 ((例如计算机引擎、云存储和容器) ),请启用 GCP 备份并配置所需的频率和保留期。
对于 Google Cloud Backup 不支持的资源或服务,请使用资源或服务提供的本机备份功能。 例如,机密管理器提供本机备份功能。
对于 Google Cloud Backup 既不支持也不具有本机备份功能的资源/服务,请评估备份和灾难需求,并根据业务需求创建自己的机制。 例如:
- 如果使用 Google Storage 进行备份数据存储,请为对象版本控制启用存储版本控制,这样就可以保留、检索和还原 Google 存储中存储的每个对象的每个版本。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
BR-2:保护备份和恢复数据
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-6、CP-9 | 3.4 |
安全原则:确保备份数据和操作免受数据外泄、数据泄露、勒索软件/恶意软件和恶意内部人员的攻击。 应该应用的安全控制包括用户和网络访问控制、数据加密(静态和传输中)。
Azure 指南:使用多重身份验证和 Azure RBAC 保护关键Azure 备份操作 (,例如删除、更改保留、更新备份配置) 。 对于 Azure 备份支持的资源,请使用 Azure RBAC 来分离职责并启用精细访问,并在 Azure 虚拟网络中创建专用终结点,以便安全地备份和还原恢复服务保管库中的数据。
对于 Azure 备份支持的资源,备份数据使用 256 位 AES 加密的 Azure 平台托管密钥自动进行加密。 还可以选择使用客户管理的密钥加密备份。 在这种情况下,请确保 Azure 密钥保管库中客户管理的密钥也位于备份范围内。 如果使用客户管理的密钥,请在 Azure 密钥保管库 中使用软删除和清除保护来保护密钥免受意外或恶意删除。 对于使用 Azure 备份的本地备份,请使用所提供的密码提供静态加密。
保护备份数据免受意外或恶意删除,例如勒索软件攻击/尝试加密或篡改备份数据。 对于 Azure 备份支持的资源,请启用软删除,以确保在未经授权的删除后最多 14 天内恢复项而不会丢失数据,并使用 Azure 门户中生成的 PIN 启用多重身份验证。 此外,启用异地冗余存储或跨区域还原,以确保在主要区域中发生灾难时,备份数据可还原。 还可以启用区域冗余存储 (ZRS) ,以确保在区域性故障期间可还原备份。
注意:如果使用资源的本机备份功能或除Azure 备份以外的备份服务,请参阅 Microsoft 云安全基准 (和服务基线) 来实现上述控制。
Azure 实现和其他上下文:
AWS 指南:使用 AWS IAM 访问控制来保护 AWS 备份。 这包括保护 AWS 备份服务访问以及备份和还原点。 示例控件包括:
- 对关键操作(如删除备份/还原点)使用多重身份验证 (MFA) 。
- 使用安全套接字层 (SSL) /传输层安全性 (TLS) 与 AWS 资源通信。
- 将 AWS KMS 与 AWS 备份结合使用,使用客户管理的 CMK 或与 AWS 备份服务关联的 AWS 托管 CMK 来加密备份数据。
- 使用 AWS 备份保管库锁来存储关键数据的不可变存储。
- 通过访问策略、禁用公共访问、强制实施静态数据加密和版本控制来保护 S3 存储桶。
AWS 实现和其他上下文:
GCP 指南:使用具有最强身份验证的专用帐户来执行关键备份和恢复操作,例如删除、更改保留、更新备份配置。这将保护备份数据免受意外或恶意删除,例如勒索软件攻击/尝试加密或篡改备份数据。
对于 GCP 备份支持的资源,请使用具有角色和权限的 Google IAM 来分离职责并启用精细访问,并设置专用服务访问 VPC 连接,以便从备份/恢复设备安全地备份和还原数据。
默认情况下,备份数据使用高级加密标准 (AES) 算法 AES-256 在平台级别自动加密。
注意:如果使用资源的本机备份功能或 GCP 备份以外的备份服务,则应参考相应的准则来实现安全控制。 例如,还可以通过在 VM 实例资源上设置 deleteProtection 属性来保护特定 VM 实例免受删除。
GCP 实现和其他上下文:
客户安全利益干系人 (详细了解) :
BR-3:监视器备份
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | 空值 |
安全原则:确保所有业务关键型可保护资源都符合定义的备份策略和标准。
Azure 指南:监视 Azure 环境,以确保从备份的角度来看,所有关键资源都合规。 使用Azure Policy备份来审核和强制实施此类控制。 对于Azure 备份支持的资源,备份中心可帮助你集中管理备份资产。
确保关键备份操作 (删除、更改保留期、更新备份配置) 受到监视、审核,并设置警报。 对于Azure 备份支持的资源,请监视整体备份运行状况,收到关键备份事件的警报,并审核在保管库上触发的用户操作。
注意:如果适用,还可使用内置策略 (Azure Policy) ,以确保为备份配置 Azure 资源。
Azure 实现和其他上下文:
AWS 指南:AWS 备份与其他 AWS 工具配合使用,使你能够监视其工作负载。 这些工具包括:
- 使用 AWS 备份审核管理器监视备份操作,以确保符合性。
- 使用 CloudWatch 和 Amazon EventBridge 监视 AWS 备份过程。
- 使用 CloudWatch 跟踪指标、创建警报和查看仪表板。
- 使用 EventBridge 查看和监视 AWS 备份事件。
- 使用 Amazon Simple Notification Service (Amazon SNS) 订阅与 AWS 备份相关的主题,例如备份、还原和复制事件。
AWS 实现和其他上下文:
- AWS 备份监视
- 使用 EventBridge 监视 AWS 备份事件
- 使用 CloudWatch 监视 AWS 备份指标
- 使用 Amazon SNS 跟踪 AWS 备份事件
- 使用 AWS 备份审核管理器审核备份和创建报表
GCP 指南:监视备份和灾难恢复环境,以确保从备份的角度来看,所有关键资源都合规。 使用组织策略进行备份以审核并强制实施此类控制。 对于 GCP 备份支持的资源,管理控制台可帮助你集中管理备份资产。
确保关键备份操作 (删除、更改保留期、更新备份配置) 受到监视、审核,并设置警报。 对于 GCP 备份支持的资源,请监视整体备份运行状况,收到关键备份事件的警报,并审核触发的用户操作。
注意:如果适用,还可使用内置策略 (组织策略) ,以确保为备份配置 Google 资源。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息:
BR-4:定期测试备份
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.5 | CP-4、CP-9 | 空值 |
安全原则:定期执行备份的数据恢复测试,以验证备份数据的备份配置和可用性是否满足 RTO (恢复时间目标) 和 RPO (恢复点目标) 中定义的恢复需求。
Azure 指导:定期执行备份的数据恢复测试,以验证备份数据的备份配置和可用性是否满足 RTO 和 RPO 中定义的恢复需求。
建议定义备份恢复测试策略,包括测试范围、频率和方法,因为每次执行完整恢复测试都可能很困难。
Azure 实现和其他上下文:
AWS 指南:定期执行备份的数据恢复测试,以验证备份数据的备份配置和可用性是否满足 RTO 和 RPO 中定义的恢复需求。
建议定义备份恢复测试策略,包括测试范围、频率和方法,因为每次执行完整恢复测试都可能很困难。 AWS 实现和其他上下文:
GCP 指南:定期执行备份的数据恢复测试,以验证备份数据的备份配置和可用性是否满足 RTO 和 RPO 中定义的恢复需求。
建议定义备份恢复测试策略,包括测试范围、频率和方法,因为每次执行完整恢复测试都可能很困难。
GCP 实现和其他上下文:
客户安全利益干系人 (了解) 的详细信息: