セキュリティ コントロール V2:バックアップと回復
注意
最新の Azure セキュリティ ベンチマークはこちらからご利用いただけます。
バックアップと回復により、データと構成のバックアップがさまざまなサービス レベルで確実に実行、検証、保護されるようにコントロールがカバーされています。
該当する組み込み Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブの詳細: バックアップと回復」を参照してください。
BR-1:定期的な自動バックアップを保証する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-1 | 10.1 | CP-2、CP4、CP-6、CP-9 |
予期しないイベントが発生した後もビジネスが継続性されるよう、システムとデータが確実にバックアップします。 これは、目標復旧時点 (RPO) と目標復旧時間 (RTO) のすべての目標から定義する必要があります。
Azure Backup を有効にし、(Azure VM、SQL Server、HANA データベースまたはファイル共有などの) バックアップ ソース、希望の頻度および保持期間を構成します。
geo 冗長ストレージ オプションを有効にして、セカンダリ リージョンにバックアップ データをレプリケートし、リージョン間での復元を使用して復旧されるように、保護レベルを高くすることもできます。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
BR-2:バックアップ データを暗号化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-2 | 10.2 | CP-9 |
攻撃に対してバックアップが保護されていることを確認します。 これには、機密性が失われるのを防ぐためにバックアップを暗号化することも含まれます。
Azure Backup を使用するオンプレミスのバックアップによって、指定したパスフレーズを使用した保存時の暗号化が提供されます。 通常の Azure サービスのバックアップでは、バックアップ データは Azure プラットフォーム マネージド キーを使用して自動的に暗号化されます。 バックアップに、カスタマー マネージド キーを選択することもできます。 この場合は、キー コンテナー内のこのカスタマー マネージド キーも確実にバックアップ対象にします。
バックアップおよびカスタマー マネージド キーを保護するには、Azure Backup、Azure Key Vault、またはその他のリソースで Azure ロールベースのアクセス制御を使用します。 さらに、バックアップが変更または削除される前に MFA を求める、高度なセキュリティ機能を有効にすることもできます。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-3 | 10.3 | CP-4、CP-9 |
自分のバックアップ データを定期的に復旧します。 バックアップされたカスタマー マネージド キーを復元できることを確認します。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
BR-4:キー紛失のリスクを軽減する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| BR-4 | 10.4 | CP-9 |
キーの紛失を回避および回復する手段を設けておきます。 Azure Key Vault で論理的な削除と消去保護を有効にして、キーが偶発的または悪意から削除されないようにします。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):