Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il backup e il ripristino illustrano i controlli per garantire che i backup di dati e configurazione nei diversi livelli di servizio vengano eseguiti, convalidati e protetti.
BR-1: Garantire backup automatici regolari
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.2 | CP-2, CP-4, CP-9 | Non applicabile |
Principio di sicurezza: Assicurarsi di eseguire il backup delle risorse critiche per l'azienda, durante la creazione di risorse o applicate tramite criteri per le risorse esistenti.
Linee guida di Azure: Per le risorse supportate da Backup di Azure, abilitare Backup di Azure e configurare l'origine di backup (ad esempio macchine virtuali di Azure, SQL Server, database HANA o condivisioni file) in base alla frequenza e al periodo di conservazione desiderato. Per la macchina virtuale di Azure, è possibile usare Criteri di Azure per abilitare automaticamente il backup usando Criteri di Azure.
Per le risorse non supportate da Backup di Azure, abilitare il backup come parte della creazione delle risorse. Se applicabile, usare i criteri predefiniti (Criteri di Azure) per assicurarsi che le risorse di Azure siano configurate per il backup.
Implementazione e contesto aggiuntivo:
- Come abilitare Backup di Azure
- Abilitare automaticamente il backup alla creazione di macchine virtuali usando Criteri di Azure
Stakeholder della sicurezza per i clienti (Scopri di più):
- Criteri e standard
- Architettura di sicurezza
- Sicurezza dell'infrastruttura e degli endpoint
- Preparazione degli eventi imprevisti
BR-2: Proteggere i dati di backup e ripristino
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Principio di sicurezza: Assicurarsi che i dati e le operazioni di backup siano protetti da esfiltrazione di dati, compromissione dei dati, ransomware/malware e insider dannosi. I controlli di sicurezza che devono essere applicati includono il controllo di accesso utente e di rete, la crittografia dei dati inattivi e in transito.
Linee guida di Azure: Usare il controllo degli accessi in base al ruolo di Azure e l'autenticazione a più fattori per proteggere le operazioni critiche di Backup di Azure, ad esempio eliminazione, conservazione delle modifiche e aggiornamenti per la configurazione del backup. Per le risorse supportate da Azure Backup, usare Azure RBAC per separare i compiti e abilitare un accesso più dettagliato e creare endpoint privati all'interno della rete virtuale di Azure per eseguire in modo sicuro il backup e il ripristino dei dati dai vaults dei Servizi di ripristino.
Per le risorse supportate da Backup di Azure, i dati di backup vengono crittografati automaticamente usando chiavi gestite dalla piattaforma Azure con crittografia AES a 256 bit. È anche possibile scegliere di crittografare i backup usando la chiave gestita dal cliente. In questo caso, assicurarsi che questa chiave gestita dal cliente nel Azure Key Vault sia inclusa nell'ambito di backup. Se si usano le opzioni di chiave gestita dal cliente, usare la protezione dall'eliminazione temporanea e dalla protezione dalla cancellazione in Azure Key Vault per proteggere le chiavi da eliminazioni accidentali o dannose. Per i backup locali con Azure Backup, la crittografia a riposo viene fornita utilizzando la passphrase che fornite.
Proteggere i dati di backup da eliminazioni accidentali o dannose (ad esempio attacchi ransomware/tentativi di crittografare o manomettere i dati di backup. Per le risorse supportate da Backup di Azure, abilitare l'eliminazione temporanea per garantire il ripristino di elementi senza perdita di dati per un massimo di 14 giorni dopo un'eliminazione non autorizzata e abilitare l'autenticazione a più fattori usando un PIN generato nel portale di Azure. Abilitare anche il ripristino tra aree per assicurarsi che i dati di backup siano ripristinabili quando si verifica un'emergenza nell'area primaria.
Nota: se si usa la funzionalità di backup nativa della risorsa o i servizi di backup diversi da Backup di Azure, vedere Azure Security Benchmark (e le baseline del servizio) per implementare i controlli precedenti.
Implementazione e contesto aggiuntivo:
- Panoramica delle funzionalità di sicurezza in Backup di Azure
- Crittografia dei dati di backup tramite chiavi gestite dal cliente
- Funzionalità di sicurezza per proteggere i backup ibridi da attacchi
- Backup di Azure - Impostare il ripristino tra aree
Stakeholder della sicurezza dei clienti (Ulteriori informazioni):
- Architettura di sicurezza
- Sicurezza dell'infrastruttura e degli endpoint
- Preparazione degli eventi imprevisti
BR-3: Monitorare i backup
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | Non applicabile |
Principio di sicurezza: Assicurarsi che tutte le risorse protette critiche per l'azienda siano conformi ai criteri di backup e allo standard definiti.
Linee guida di Azure: Monitorare l'ambiente di Azure per assicurarsi che tutte le risorse critiche siano conformi dal punto di vista del backup. Utilizzare le Criteri di Azure per il backup per verificare e far rispettare tale controllo. Per le risorse supportate da Backup di Azure: Il Centro backup consente di gestire centralmente il patrimonio di backup.
Assicurarsi che le operazioni di backup critiche (eliminazione, conservazione delle modifiche, aggiornamenti alla configurazione di backup) vengano monitorate, controllate e presenti avvisi. Per le risorse supportate dal Backup di Azure, monitorare l'integrità complessiva del backup, ricevere avvisi per gli incidenti critici di backup, verificare le azioni attivate dall'utente sulle casseforti.
Implementazione e contesto aggiuntivo:
- Gestire il patrimonio di backup con il Centro backup
- Monitorare e gestire i backup tramite il Centro backup
- Soluzioni di monitoraggio e creazione di report per Backup di Azure
Stakeholder della sicurezza dei clienti (Per saperne di più):
- Preparazione degli eventi imprevisti
- Security Compliance Management
BR-4: testare regolarmente il backup
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 11.5 | CP-4, CP-9 | Non applicabile |
Principio di sicurezza: Eseguire periodicamente test di ripristino dei dati del backup per verificare che le configurazioni di backup e la disponibilità dei dati di backup soddisfino le esigenze di ripristino in base alle esigenze di ripristino definite nell'obiettivo del tempo di ripristino (obiettivo del tempo di ripristino) e rpo (obiettivo del punto di ripristino).
Linee guida di Azure: Eseguire periodicamente i test di ripristino dei dati del backup per verificare che le configurazioni di backup e la disponibilità dei dati di backup soddisfino le esigenze di ripristino in base alle esigenze di ripristino definite in RTO e RPO.
Potrebbe essere necessario definire la strategia di test di ripristino del backup, inclusi l'ambito di test, la frequenza e il metodo, in quanto l'esecuzione del test di recupero completo ogni volta può essere difficile.
Implementazione e contesto aggiuntivo:
- Come ripristinare i file dal backup di macchine virtuali di Azure
- Come ripristinare le chiavi di Key Vault in Azure
Stakeholder della sicurezza dei clienti (Ulteriori informazioni):