Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Резервное копирование и восстановление охватывают элементы управления, чтобы обеспечить выполнение, проверку и защиту резервных копий данных и конфигураций на разных уровнях служб.
BR-1. Обеспечение регулярного автоматического резервного копирования
| Элементы управления CIS версии 8 | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.2 | КП-2, КП-4, КП-9 | Не применимо |
Принцип безопасности. Обеспечение резервного копирования критически важных для бизнеса ресурсов во время создания ресурсов или принудительного применения с помощью политики для существующих ресурсов.
Руководство по Azure. Для поддерживаемых ресурсов Azure Backup (таких как виртуальные машины Azure, SQL Server, базы данных HANA, база данных Azure PostgreSQL, общие папки, большие двоичные объекты или диски), включите Службу архивации Azure и настройте нужную частоту и период хранения. Для виртуальной машины Azure можно использовать политику Azure для автоматического включения резервного копирования с помощью политики Azure.
Для ресурсов или служб, не поддерживаемых Azure Backup, используйте собственную возможность резервного копирования, предоставляемую ресурсом или службой. Например, Azure Key Vault предоставляет встроенную возможность резервного копирования.
Для ресурсов и сервисов, которые не поддерживаются Azure Backup и не имеют собственных возможностей резервного копирования, оцените ваши потребности в резервном копировании и аварийном восстановлении и создайте собственный механизм в соответствии с вашими бизнес-требованиями. Например:
- Если вы используете хранилище Azure для хранения данных, включите версионирование BLOB-объектов, чтобы сохранять, извлекать и восстанавливать каждую версию каждого объекта, хранящегося в вашем хранилище Azure.
- Параметры конфигурации службы обычно можно экспортировать в шаблоны Azure Resource Manager.
Реализация Azure и дополнительный контекст:
- Как включить Azure Backup
- Автоматическое включение резервного копирования при создании виртуальной машины с помощью политики Azure
Руководство по AWS. Для поддерживаемых ресурсов AWS Backup (например, EC2, S3, EBS или RDS), включите резервное копирование AWS и настройте нужную частоту и период хранения.
Для ресурсов и служб, не поддерживаемых AWS Backup, например AWS KMS, включите встроенную функцию резервного копирования в рамках создания ресурса.
Для ресурсов/служб, которые не поддерживаются AWS Backup и не имеют встроенной функции резервного копирования, оцените свои потребности в резервном копировании и восстановлении после аварий и создайте собственный механизм в соответствии с вашими бизнес-требованиями. Например:
- Если Amazon S3 используется для хранения данных, включите управление версиями S3 для контейнера хранилища, что позволит сохранять, извлекать и восстанавливать каждую версию каждого объекта, хранящегося в контейнере S3.
- Параметры конфигурации службы обычно можно экспортировать в шаблоны CloudFormation.
Реализация AWS и дополнительный контекст:
- Поддерживаемые ресурсы AWS Backup и сторонние приложения Управление версиями Amazon S3: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- Рекомендации по aws CloudFormation
Руководство по GCP. Для поддерживаемых ресурсов Google Cloud Backup (таких как подсистема компьютеров, облачное хранилище и контейнеры), включите службу архивации GCP и настройте нужную частоту и период хранения.
Для ресурсов или служб, не поддерживаемых Google Cloud Backup, используйте собственную возможность резервного копирования, предоставляемую ресурсом или службой. Например, Secret Manager предоставляет встроенную функцию резервного копирования.
Для ресурсов и служб, которые не поддерживаются Google Cloud Backup и не имеют собственных возможностей резервного копирования, оцените ваши потребности в резервном и аварийном копировании и создайте собственный механизм в соответствии с вашими бизнес-требованиями. Например:
- Если вы используете Google Storage для хранения резервных копий, включите управление версиями хранилища для управления версиями объектов, что позволит сохранять, извлекать и восстанавливать каждую версию каждого объекта, хранящегося в хранилище Google.
Реализация GCP и дополнительный контекст:
- Решения для резервного копирования и аварийного восстановления с помощью Google Cloud
- Создание и автоматическое резервное копирование и управление ими по запросу
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Политика и стандарты
- Архитектура безопасности
- Безопасность инфраструктуры и конечной точки
- Подготовка к инциденту
BR-2. Защита данных резервного копирования и восстановления
| Элементы управления CIS версии 8 | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.3 | CP-6, CP-9 | 3.4 |
Принцип безопасности: Обеспечение защиты данных и операций резервного копирования от кражи данных, компрометации данных, программ-вымогателей, вредоносных программ и внутренних злоумышленников. К элементам управления безопасностью, которые следует применять, относятся управление доступом пользователей и сети, шифрование данных в состоянии покоя и при передаче.
Руководство по Azure. Использование многофакторной идентификации и Azure RBAC для защиты критически важных операций Azure Backup (например, удаления, хранения изменений, обновлений конфигурации резервного копирования). Для поддерживаемых ресурсов Azure Backup используйте Azure RBAC для разделения обязанностей и обеспечения детального доступа и создания частных конечных точек в виртуальной сети Azure для безопасного резервного копирования и восстановления данных из хранилищ служб восстановления.
Для поддерживаемых ресурсов Azure Backup данные резервного копирования автоматически шифруются с помощью ключей, управляемых платформой Azure, с 256-разрядным шифрованием AES. Вы также можете зашифровать резервные копии с помощью управляемого клиентом ключа. В этом случае убедитесь, что ключ, управляемый клиентом, в Azure Key Vault также находится в области резервного копирования. Если вы используете ключ под управлением клиента, применяйте мягкое удаление и защиту от очистки в Azure Key Vault для защиты ключей от случайного или вредоносного удаления. Для локальных резервных копий с помощью Azure Backup шифрование неактивных данных осуществляется с использованием парольной фразы, которую вы предоставляете.
Защита данных резервного копирования от случайного или вредоносного удаления, например атак программ-шантажистов или попыток шифрования или изменения данных резервного копирования. Для поддерживаемых ресурсов Azure Backup включите обратимое удаление, чтобы обеспечить восстановление элементов без потери данных до 14 дней после несанкционированного удаления и включение многофакторной проверки подлинности с помощью ПИН-кода, созданного на портале Azure. Также включите геоизбыточное хранилище или восстановление между регионами, чтобы обеспечить возможность восстановления данных резервного копирования при возникновении аварии в основном регионе. Вы также можете включить зонированное избыточное хранилище (ZRS), чтобы гарантировать возможность восстановления резервных копий при отказе зоны.
Примечание. Если вы используете собственную функцию резервного копирования ресурса или службы резервного копирования, отличные от Azure Backup, обратитесь к microsoft Cloud Security Benchmark (и базовым планам служб) для реализации указанных выше элементов управления.
Реализация Azure и дополнительный контекст:
- Общие сведения о функциях безопасности в Azure Backup
- Шифрование данных резервного копирования с помощью ключей, управляемых клиентом
- Функции безопасности для защиты гибридных резервных копий от атак
- Azure Backup — установка восстановления между регионами
Руководство по AWS. Использование управления доступом AWS IAM для защиты aws Backup. Это включает защиту доступа к службе архивации AWS и точек резервного копирования и восстановления. Примеры элементов управления:
- Используйте многофакторную проверку подлинности (MFA) для критически важных операций, таких как удаление точки резервного копирования и восстановления.
- Используйте протокол TLS для обмена данными с ресурсами AWS.
- Используйте AWS KMS в сочетании с AWS Backup для шифрования данных резервного копирования с помощью управляемого клиентом CMK или управляемого AWS CMK, связанного со службой архивации AWS.
- Используйте блокировку AWS Backup Vault для неизменяемого хранилища критически важных данных.
- Защита контейнеров S3 с помощью политики доступа, отключение общедоступного доступа, применение шифрования неактивных данных и управление версиями.
Реализация AWS и дополнительный контекст:
Руководство по GCP. Использование выделенных учетных записей с самой надежной проверкой подлинности для выполнения критически важных операций резервного копирования и восстановления, таких как удаление, хранение изменений, обновления конфигурации резервного копирования. Это позволит защитить данные резервного копирования от случайного или вредоносного удаления, например атак программ-шантажистов или попыток шифрования или изменения данных резервного копирования.
Для поддерживаемых ресурсов GCP Backup используйте Google IAM с ролями и разрешениями для разделения обязанностей и обеспечения детального доступа и настройки подключения частных служб к VPC для безопасного резервного копирования и восстановления данных с устройства Backup/Recovery.
Данные резервного копирования автоматически шифруются по умолчанию на уровне платформы с помощью алгоритма AES (AES), AES-256.
Примечание. Если вы используете собственную функцию резервного копирования ресурса или службы резервного копирования, отличные от GCP Backup, обратитесь к соответствующему руководству для реализации элементов управления безопасностью. Например, можно также защитить определенные экземпляры виртуальных машин от удаления, задав свойство deletionProtection в ресурсе экземпляра виртуальной машины.
Реализация GCP и дополнительный контекст:
- Политики хранения и блокировки политик хранения
- Служба резервного копирования и аварийного восстановления
- Предотвращение случайного удаления виртуальной машины
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
BR-3. Мониторинг резервных копий
| Элементы управления CIS версии 8 | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.3 | СР-9 | Не применимо |
Принцип безопасности. Убедитесь, что все критически важные для бизнеса ресурсы соответствуют определенной политике резервного копирования и стандарту.
Руководство по Azure. Мониторинг среды Azure для обеспечения соответствия всех критически важных ресурсов с точки зрения резервного копирования. Используйте политику Azure для резервного копирования для аудита и применения таких элементов управления. Для поддерживаемых ресурсов Azure Backup Центр архивации помогает централизованно управлять хранилищем резервных копий.
Убедитесь, что критически важные операции резервного копирования (удаление, хранение изменений, обновления конфигурации резервной копии) отслеживаются, проверяются и имеют оповещения. Для поддерживаемых ресурсов Azure Backup отслеживайте общую работоспособность резервного копирования, получайте оповещения о критических инцидентах резервного копирования и выполняйте аудит действий пользователей в хранилищах.
Примечание. Если применимо, используйте встроенные политики (политика Azure), чтобы убедиться, что ресурсы Azure настроены для резервного копирования.
Реализация Azure и дополнительный контекст:
- Управление хранилищем резервных копий с помощью Центра резервного копирования
- Мониторинг резервных копий и управление ими с помощью центра резервного копирования
- Решения для мониторинга и создания отчетов для Azure Backup
Руководство по AWS. Служба архивации AWS работает с другими инструментами AWS для мониторинга рабочих нагрузок. К этим средствам относятся:
- Используйте диспетчер аудита резервного копирования AWS для мониторинга операций резервного копирования, чтобы обеспечить соответствие требованиям.
- Используйте CloudWatch и Amazon EventBridge для мониторинга процессов резервного копирования AWS.
- Используйте CloudWatch для отслеживания метрик, создания оповещений и просмотра панелей мониторинга.
- Используйте EventBridge для просмотра и мониторинга событий резервного копирования AWS.
- Используйте Службу уведомлений Amazon Simple Notification Service (Amazon SNS), чтобы подписаться на связанные с AWS Backup темы, такие как резервное копирование, восстановление и копирование событий.
Реализация AWS и дополнительный контекст:
- Мониторинг резервного копирования AWS
- Мониторинг событий резервного копирования AWS с помощью EventBridge
- Мониторинг метрик резервного копирования AWS с помощью CloudWatch
- Использование Amazon SNS для отслеживания событий резервного копирования AWS
- Аудит резервных копий и создание отчетов с помощью диспетчера аудита резервного копирования AWS
Руководство по GCP. Мониторинг среды резервного копирования и аварийного восстановления, чтобы обеспечить соответствие всех критически важных ресурсов с точки зрения резервного копирования. Используйте политику организации для резервного копирования для аудита и применения таких элементов управления. Для поддерживаемых ресурсов GCP Backup консоль управления помогает централизованно управлять хранилищем резервных копий.
Убедитесь, что критически важные операции резервного копирования (удаление, хранение изменений, обновления конфигурации резервной копии) отслеживаются, проверяются и имеют оповещения. Для поддерживаемых ресурсов GCP Backup отслеживайте общую работоспособность резервных копий, получайте оповещения о критически важных инцидентах резервного копирования и выполняйте аудит действий пользователя.
Примечание. Если применимо, также используйте встроенные политики (организационная политика), чтобы убедиться, что ресурсы Google настроены для резервного копирования.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
BR-4: регулярное тестирование резервного копирования
| Элементы управления CIS версии 8 | NIST SP 800-53 r4 Идентификатор(ы) | идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 11.5 | КП-4, СР-9 | Не применимо |
Принцип безопасности. Периодически выполняйте тесты восстановления данных резервного копирования, чтобы убедиться, что конфигурации резервных копий и доступность резервных копий соответствуют потребностям восстановления, определенным в RTO (целевой цели времени восстановления) и RPO (цель точки восстановления).
Руководство по Azure. Периодически выполняйте тесты восстановления данных резервной копии, чтобы убедиться, что конфигурации резервных копий и доступность резервных копий соответствуют потребностям восстановления, определенным в RTO и RPO.
Возможно, вам потребуется определить стратегию тестирования восстановления из резервной копии, включая объем теста, частоту и метод, так как выполнение полного теста восстановления каждый раз может быть затруднительным.
Реализация Azure и дополнительный контекст:
- Как восстановить файлы из резервной копии виртуальной машины Azure
- Восстановление ключей Key Vault в Azure
Руководство AWS. Периодически выполняйте тесты восстановления данных резервной копии, чтобы убедиться, что конфигурации резервных копий и доступность резервных копий соответствуют потребностям восстановления, определенным в RTO и RPO.
Возможно, вам потребуется определить стратегию тестирования восстановления из резервной копии, включая объем теста, частоту и метод, так как выполнение полного теста восстановления каждый раз может быть затруднительным. Реализация AWS и дополнительный контекст:
Руководство по GCP. Периодически выполняйте тесты восстановления данных резервной копии, чтобы убедиться, что конфигурации резервных копий и доступность резервных копий соответствуют потребностям восстановления, определенным в RTO и RPO.
Возможно, вам потребуется определить стратегию тестирования восстановления из резервной копии, включая объем теста, частоту и метод, так как выполнение полного теста восстановления каждый раз может быть затруднительным.
Реализация GCP и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Архитектура безопасности
- Подготовка к инциденту
- безопасность данных