Nouvelles Du Monde

Référence de sécurité cloud Microsoft – Sauvegarde et restauration

Référence de sécurité cloud Microsoft – Sauvegarde et restauration

  • Article

  • 10/12/2022
  • 7 minutes de lecture

<!– –>

La sauvegarde et la restauration couvrent les contrôles pour garantir que les sauvegardes de données et de configuration aux différents niveaux de service sont effectuées, validées et protégées.

BR-1 : Assurer des sauvegardes automatisées régulières

CIS Controls v8 ID(s)ID NIST SP 800-53 r4ID PCI-DSS v3.2.1
11.2CP-2, CP-4, CP-9N / A

Principe de sécurité: Garantit la sauvegarde des ressources critiques pour l’entreprise, soit lors de la création des ressources, soit appliquée par le biais d’une stratégie pour les ressources existantes.

Orientation Azure: Pour les ressources prises en charge par Azure Backup, activez Azure Backup et configurez la source de sauvegarde (telle que les machines virtuelles Azure, SQL Server, les bases de données HANA, la base de données Azure PostgreSQL, les partages de fichiers, les blobs ou les disques) sur la fréquence et la période de conservation souhaitées. Pour Azure VM, vous pouvez utiliser Azure Policy pour activer automatiquement la sauvegarde à l’aide d’Azure Policy.

Pour les ressources ou les services non pris en charge par Azure Backup, utilisez la fonctionnalité de sauvegarde native fournie par la ressource ou les services. Par exemple, Azure Key Vault fournit une fonctionnalité de sauvegarde native.

Pour les ressources/services qui ne sont ni pris en charge par Azure Backup ni dotés d’une capacité de sauvegarde native, évaluez vos besoins en matière de sauvegarde et de sinistre, et créez votre propre mécanisme en fonction des besoins de votre entreprise. Par exemple,

  • Si vous utilisez Azure Storage pour le stockage de données, activez la gestion des versions d’objets blob pour vos objets blob de stockage, ce qui vous permettra de conserver, de récupérer et de restaurer chaque version de chaque objet stocké dans votre stockage Azure.
  • Les paramètres de configuration de service peuvent généralement être exportés vers des modèles Azure Resource Manager.

Implémentation Azure et contexte supplémentaire :

Conseils AWS: Pour les ressources prises en charge par AWS Backup, activez AWS Backup et configurez la source de sauvegarde (telle que EC2, S3, EBS ou RDS) sur la fréquence et la période de conservation souhaitées.

Pour les ressources/services non pris en charge par AWS Backup, comme AWS KMS, activez la fonction de sauvegarde native dans le cadre de sa création de ressource.

Pour les ressources/services qui ne sont ni pris en charge par AWS Backup ni dotés d’une capacité de sauvegarde native, évaluez vos besoins en matière de sauvegarde et de sinistre, et créez votre propre mécanisme en fonction des besoins de votre entreprise. Par exemple,

  • Si Amazon S3 est utilisé pour le stockage de données, activez la gestion des versions S3 pour votre compartiment de stockage, ce qui vous permettra de conserver, de récupérer et de restaurer chaque version de chaque objet stocké dans votre compartiment S3.
  • Les paramètres de configuration de service peuvent généralement être exportés vers des modèles CloudFormation.

Implémentation d’AWS et contexte supplémentaire:

Acteurs de la sécurité client (En savoir plus):

BR-2 : Protéger les données de sauvegarde et de restauration

CIS Controls v8 ID(s)ID NIST SP 800-53 r4ID PCI-DSS v3.2.1
11.3CP-6, CP-93.4

Principe de sécurité: Assurez-vous que les données et les opérations de sauvegarde sont protégées contre l’exfiltration de données, la compromission des données, les ransomwares/malwares et les initiés malveillants. Les contrôles de sécurité qui doivent être appliqués incluent le contrôle d’accès des utilisateurs et du réseau, le chiffrement des données au repos et en transit.

Orientation Azure: utilisez l’authentification multifacteur et Azure RBAC pour sécuriser les opérations critiques de sauvegarde Azure (telles que la suppression, la conservation des modifications, les mises à jour de la configuration de sauvegarde). Pour les ressources prises en charge par Azure Backup, utilisez Azure RBAC pour séparer les tâches et permettre un accès précis, et créez des points de terminaison privés au sein de votre réseau virtuel Azure pour sauvegarder et restaurer en toute sécurité les données de vos coffres Recovery Services.

Pour les ressources prises en charge par Azure Backup, les données de sauvegarde sont automatiquement chiffrées à l’aide de clés gérées par la plateforme Azure avec un chiffrement AES 256 bits. Vous pouvez également choisir de chiffrer les sauvegardes à l’aide de la clé gérée par le client. Dans ce cas, assurez-vous que cette clé gérée par le client dans Azure Key Vault se trouve également dans l’étendue de la sauvegarde. Si vous utilisez des options de clé gérées par le client, utilisez la protection contre la suppression réversible et la purge dans Azure Key Vault pour protéger les clés contre la suppression accidentelle ou malveillante. Pour les sauvegardes sur site à l’aide d’Azure Backup, le chiffrement au repos est fourni à l’aide de la phrase secrète que vous fournissez.

Protégez les données de sauvegarde contre les suppressions accidentelles ou malveillantes (telles que les attaques/tentatives de ransomware pour chiffrer ou falsifier les données de sauvegarde. Pour les ressources prises en charge par Azure Backup, activez la suppression réversible pour garantir la récupération des éléments sans perte de données jusqu’à 14 jours après une suppression non autorisée, et activez l’authentification multifacteur à l’aide d’un code PIN généré dans le portail Azure. Activez également le stockage géo-redondant ou la restauration entre régions pour vous assurer que les données de sauvegarde peuvent être restaurées en cas de sinistre dans la région principale. Vous pouvez également activer le stockage redondant dans une zone (ZRS) pour s’assurer que les sauvegardes sont restaurables pendant les pannes de zone.

Remarque : si vous utilisez la fonctionnalité de sauvegarde native de la ressource ou des services de sauvegarde autres que Azure Backup, reportez-vous au Microsoft Cloud Security Benchmark (et aux lignes de base des services) pour implémenter les contrôles ci-dessus.

Implémentation Azure et contexte supplémentaire :

Conseils AWS: Utilisez le contrôle d’accès AWS IAM pour sécuriser AWS Backup. Cela inclut l’accès sécurisé au service AWS Backup et les points de sauvegarde et de restauration. Les exemples de contrôles incluent :

  • Utilisez l’authentification multifacteur (MFA) pour les opérations critiques telles que la suppression d’un point de sauvegarde/restauration.
  • Utilisez Secure Sockets Layer (SSL)/Transport Layer Security (TLS) pour communiquer avec les ressources AWS.
  • Utilisez AWS KMS conjointement avec AWS Backup pour chiffrer les données de sauvegarde à l’aide d’une clé gérée par le client ou d’une CMK gérée par AWS associée au service AWS Backup.
  • Utilisez AWS Backup Vault Lock pour un stockage immuable des données critiques.
  • Sécurisez le compartiment S3 via la politique d’accès, en désactivant l’accès public, en appliquant le chiffrement des données au repos et le contrôle des versions (pour empêcher

Implémentation d’AWS et contexte supplémentaire:

Acteurs de la sécurité client (En savoir plus):

BR-3 : Surveiller les sauvegardes

CIS Controls v8 ID(s)ID NIST SP 800-53 r4ID PCI-DSS v3.2.1
11.3CP-9N / A

Principe de sécurité: Assurez-vous que toutes les ressources protégeables critiques pour l’entreprise sont conformes à la politique et à la norme de sauvegarde définies.

Orientation Azure: surveillez votre environnement Azure pour vous assurer que toutes vos ressources critiques sont conformes du point de vue de la sauvegarde. Utilisez Azure Policies pour la sauvegarde afin d’auditer et d’appliquer ce contrôle. Pour les ressources prises en charge par Azure Backup : Backup Center vous aide à gérer de manière centralisée votre domaine de sauvegarde.

Assurez-vous que les opérations de sauvegarde critiques (suppression, conservation des modifications, mises à jour de la configuration de sauvegarde) sont surveillées, auditées et que des alertes sont en place. Pour les ressources prises en charge par Azure Backup, surveillez l’intégrité globale de la sauvegarde, soyez alerté des incidents de sauvegarde critiques, auditez les actions déclenchées par l’utilisateur sur les coffres.

Remarque : le cas échéant, utilisez également des politiques intégrées (politique Azure) pour vous assurer que vos ressources Azure sont configurées pour la sauvegarde.

Implémentation Azure et contexte supplémentaire :

Conseils AWS: AWS Backup fonctionne avec d’autres outils AWS pour vous permettre de surveiller ses charges de travail. Ces outils incluent les éléments suivants :

  • Utilisez AWS Backup Audit Manager pour surveiller les opérations de sauvegarde afin de garantir la conformité.
  • Utilisez CloudWatch et Amazon EventBridge pour surveiller les processus AWS Backup.
  • Utilisez CloudWatch pour suivre les métriques, créer des alarmes et afficher des tableaux de bord.
  • Utilisez EventBridge pour afficher et surveiller les événements AWS Backup.
  • Utilisez Amazon Simple Notification Service (Amazon SNS) pour vous abonner aux rubriques liées à AWS Backup telles que les événements de sauvegarde, de restauration et de copie.

Implémentation d’AWS et contexte supplémentaire:

Acteurs de la sécurité client (En savoir plus):

BR-4 : tester régulièrement la sauvegarde

CIS Controls v8 ID(s)ID NIST SP 800-53 r4ID PCI-DSS v3.2.1
11.5CP-4, CP-9N / A

Principe de sécurité: Effectuez périodiquement des tests de récupération de données de votre sauvegarde pour vérifier que les configurations de sauvegarde et la disponibilité des données de sauvegarde répondent aux besoins de récupération définis dans le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective).

Orientation Azure: Effectuez périodiquement des tests de récupération de données de votre sauvegarde pour vérifier que les configurations de sauvegarde et la disponibilité des données de sauvegarde répondent aux besoins de récupération tels que définis dans le RTO et le RPO.

Vous devrez peut-être définir votre stratégie de test de récupération de sauvegarde, y compris la portée, la fréquence et la méthode du test, car il peut être difficile d’effectuer le test de récupération complet à chaque fois.

Implémentation Azure et contexte supplémentaire :

Conseils AWS: Effectuez périodiquement des tests de récupération de données de votre sauvegarde pour vérifier que les configurations de sauvegarde et la disponibilité des données de sauvegarde répondent aux besoins de récupération tels que définis dans le RTO et le RPO.

Vous devrez peut-être définir votre stratégie de test de récupération de sauvegarde, y compris la portée, la fréquence et la méthode du test, car il peut être difficile d’effectuer le test de récupération complet à chaque fois.

Implémentation d’AWS et contexte supplémentaire:

Acteurs de la sécurité client (En savoir plus):

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bourse Bundesliga Chine Culture Des sports Divertissement Divertissement entreprise Football funny fyp Guerre International Israël Journal sud-allemand la criminalité MLB monde musique Médias nba NFL NOUS nouvelles politique Pomme publicité Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie