注意
此处提供了最 up-to日期的 Azure 安全基准。
备份和恢复涵盖确保执行、验证和保护不同服务层级的数据和配置备份的控制措施。
若要查看适用的内置 Azure Policy,请参阅 Azure 安全基准法规合规性内置计划的详细信息:备份和恢复
BR-1:确保定期自动备份
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-1 系列 | 10.1 | CP-2、CP4、CP-6、CP-9 |
确保备份系统和数据,以在发生意外事件后保持业务连续性。 这应由恢复点目标(RPO)和恢复时间目标(RTO)的任何目标定义。
启用 Azure 备份并配置备份源(例如 Azure VM、SQL Server、HANA 数据库或文件共享),以及所需的频率和保留期。
为了提高保护级别,可以启用异地冗余存储选项,以便将备份数据复制到次要区域,并使用跨区域还原进行恢复。
责任:客户
客户安全利益干系人 (了解详细信息):
BR-2:加密备份数据
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-2 系列 | 10.2 | CP-9 系列 |
确保备份受攻击保护。 这应包括备份的加密,以防止机密丢失。
对于使用 Azure 备份的本地备份,使用你提供的密码提供静态加密。 对于常规 Azure 服务备份,备份数据使用 Azure 平台管理的密钥自动加密。 可以选择使用客户管理的密钥加密备份。 在这种情况下,请确保密钥保管库中的此客户管理的密钥也位于备份范围内。
在 Azure 备份、Azure Key Vault 或其他资源中使用 Azure 基于角色的访问控制来保护备份和客户管理的密钥。 此外,还可以启用高级安全功能以要求进行 MFA,然后才能更改或删除备份。
责任:客户
客户安全利益干系人 (了解详细信息):
BR-3:验证所有备份,包括客户管理的密钥
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-3 系列 | 10.3 | CP-4、CP-9 |
定期执行备份的数据还原。 确保可以还原备份的客户管理的密钥。
责任:客户
客户安全利益干系人 (了解详细信息):
BR-4:降低丢失密钥的风险
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-4 系列 | 10.4 | CP-9 系列 |
确保已采取措施来防止和恢复密钥丢失。 在 Azure Key Vault 中启用软删除和清除保护,防止密钥意外或恶意删除。
责任:客户
客户安全利益干系人 (了解详细信息):