Güvenlik Denetimi: Yedekleme ve kurtarma
Yedekleme ve Kurtarma, farklı hizmet katmanlarında veri ve yapılandırma yedeklemelerinin gerçekleştirildiğinden, doğrulandığından ve korunduğundan emin olmak için denetimleri kapsar.
BR-1: Düzenli otomatik yedeklemelerden emin olun
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
11.2 | CP-2, CP-4, CP-9 | Yok |
Güvenlik ilkesi: Kaynak oluşturma sırasında veya mevcut kaynaklar için ilke aracılığıyla zorlanan iş açısından kritik kaynakların yedeklenmiş olduğundan emin olun.
Azure kılavuzu: Desteklenen Azure Backup kaynak için (Azure VM'leri, SQL Server, HANA veritabanları, Azure PostgreSQL Veritabanı, Dosya Paylaşımları, Bloblar veya Diskler gibi), Azure Backup etkinleştirin ve istenen sıklığı ve saklama süresini yapılandırın. Azure VM'de yedeklemenin Azure İlkesi kullanarak otomatik olarak etkinleştirilmesi için Azure İlkesi kullanabilirsiniz.
Azure Backup tarafından desteklenmeyen kaynaklar veya hizmetler için kaynak veya hizmet tarafından sağlanan yerel yedekleme özelliğini kullanın. Örneğin, Azure Key Vault yerel bir yedekleme özelliği sağlar.
Azure Backup tarafından desteklenmeyen veya yerel yedekleme özelliği olmayan kaynaklar/hizmetler için yedekleme ve olağanüstü durum gereksinimlerinizi değerlendirin ve iş gereksinimlerinize göre kendi mekanizmanızı oluşturun. Örnek:
- Veri depolama için Azure Depolama'yı kullanıyorsanız depolama bloblarınız için blob sürümü oluşturmayı etkinleştirin. Bu, Azure Depolama alanınızda depolanan her nesnenin her sürümünü korumanıza, almanıza ve geri yüklemenize olanak tanır.
- Hizmet yapılandırma ayarları genellikle Azure Resource Manager şablonlarına aktarılabilir.
Azure uygulaması ve ek bağlam:
- Azure Backup etkinleştirme
- Azure İlkesi’ni Kullanarak VM Oluştururken Yedeklemeyi Otomatik Olarak Etkinleştirme
AWS kılavuzu: AWS Backup tarafından desteklenen kaynaklar (EC2, S3, EBS veya RDS gibi) için AWS Backup'ı etkinleştirin ve istenen sıklığı ve saklama süresini yapılandırın.
AWS KMS gibi AWS Backup tarafından desteklenmeyen kaynaklar/hizmetler için, kaynak oluşturma işleminin bir parçası olarak yerel yedekleme özelliğini etkinleştirin.
AWS Backup tarafından desteklenmeyen veya yerel yedekleme özelliği olmayan kaynaklar/hizmetler için yedekleme ve olağanüstü durum gereksinimlerinizi değerlendirin ve iş gereksinimlerinize göre kendi mekanizmanızı oluşturun. Örnek:
- Veri depolama için Amazon S3 kullanılıyorsa, S3 demetinizde depolanan her nesnenin her sürümünü korumanıza, almanıza ve geri yüklemenize olanak tanıyan depolama arka takımınız için S3 sürümü oluşturmayı etkinleştirin.
- Hizmet yapılandırma ayarları genellikle CloudFormation şablonlarına aktarılabilir.
AWS uygulaması ve ek bağlamı:
- AWS Backup tarafından desteklenen kaynaklar ve üçüncü taraf uygulamalar Amazon S3 sürümü oluşturma: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- AWS CloudFormation en iyi yöntemleri
GCP kılavuzu: Google Cloud Backup tarafından desteklenen kaynaklar (Bilgisayar Altyapısı, Bulut Depolama ve Kapsayıcılar gibi) için GCP Yedekleme'yi etkinleştirin ve istenen sıklığı ve saklama süresini yapılandırın.
Google Cloud Backup tarafından desteklenmeyen kaynaklar veya hizmetler için kaynak veya hizmet tarafından sağlanan yerel yedekleme özelliğini kullanın. Örneğin, Gizli Dizi Yöneticisi yerel bir yedekleme özelliği sağlar.
Google Cloud Backup tarafından desteklenmeyen veya yerel yedekleme özelliği olmayan kaynaklar/hizmetler için yedekleme ve olağanüstü durum gereksinimlerinizi değerlendirin ve iş gereksinimlerinize göre kendi mekanizmanızı oluşturun. Örnek:
- Yedekleme veri depolaması için Google Depolama'yı kullanıyorsanız, google depolama alanınızda depolanan her nesnenin her sürümünü korumanıza, almanıza ve geri yüklemenize olanak tanıyan nesne sürümü oluşturma işleminizde depolama sürümü oluşturmayı etkinleştirin.
GCP uygulaması ve ek bağlam:
- Google Cloud ile Yedekleme ve Olağanüstü Durum Kurtarma Çözümleri
- İsteğe bağlı ve otomatik yedeklemeler oluşturma ve yönetme
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
BR-2: Yedekleme ve kurtarma verilerini koruma
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
11.3 | CP-6, CP-9 | 3.4 |
Güvenlik ilkesi: Yedekleme verilerinin ve işlemlerinin veri sızdırma, veri güvenliğini tehlikeye atma, fidye yazılımı/kötü amaçlı yazılım ve kötü amaçlı insider'lardan korunduğundan emin olun. Uygulanması gereken güvenlik denetimleri kullanıcı ve ağ erişim denetimi, bekleyen ve aktarım sırasında veri şifrelemeyi içerir.
Azure kılavuzu: Kritik Azure Backup işlemlerinin (silme, saklamayı değiştirme, yedekleme yapılandırması güncelleştirmeleri gibi) güvenliğini sağlamak için çok faktörlü kimlik doğrulamasını ve Azure RBAC'yi kullanın. Desteklenen Azure Backup kaynak için Azure RBAC'yi kullanarak görevleri ayrıştırıp ayrıntılı erişim sağlayın ve Kurtarma Hizmetleri kasalarınızdan verileri güvenli bir şekilde yedeklemek ve geri yüklemek için Azure Sanal Ağ içinde özel uç noktalar oluşturun.
Desteklenen Azure Backup kaynak için yedekleme verileri, 256 bit AES şifrelemesi ile Azure platformu tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir. Yedekleri müşteri tarafından yönetilen bir anahtar kullanarak şifrelemeyi de seçebilirsiniz. Bu durumda Azure Key Vault müşteri tarafından yönetilen anahtarın da yedekleme kapsamında olduğundan emin olun. Müşteri tarafından yönetilen bir anahtar kullanıyorsanız, anahtarları yanlışlıkla veya kötü amaçlı silmeye karşı korumak için Azure Key Vault geçici silme ve temizleme koruması kullanın. Azure Backup kullanan şirket içi yedeklemeler için, sağladığınız parola kullanılarak bekleyen şifreleme sağlanır.
Fidye yazılımı saldırıları/yedekleme verilerini şifreleme veya kurcalama girişimleri gibi yedekleme verilerini yanlışlıkla veya kötü amaçlı silmeye karşı koruma. Desteklenen Azure Backup kaynak için, yetkisiz silme işleminden sonra 14 güne kadar veri kaybı olmayan öğelerin kurtarılmasını sağlamak için geçici silmeyi etkinleştirin ve Azure portal oluşturulan bir PIN kullanarak çok faktörlü kimlik doğrulamasını etkinleştirin. Ayrıca birincil bölgede olağanüstü durum olduğunda yedekleme verilerinin geri yüklenebilmesini sağlamak için coğrafi olarak yedekli depolamayı veya bölgeler arası geri yüklemeyi etkinleştirin. Bölgesel hatalar sırasında yedeklemelerin geri yüklenebilmesini sağlamak için Alanlar Arası Yedekli Depolama'yı (ZRS) de etkinleştirebilirsiniz.
Not: Bir kaynağın Azure Backup dışında yerel yedekleme özelliğini veya yedekleme hizmetlerini kullanıyorsanız, yukarıdaki denetimleri uygulamak için Microsoft Bulut Güvenliği Karşılaştırması'na (ve hizmet temellerine) bakın.
Azure uygulaması ve ek bağlam:
- Azure Backup'daki güvenlik özelliklerine genel bakış
- Müşteri tarafından yönetilen anahtarları kullanarak yedekleme verilerini şifreleme
- Karma yedeklemeleri saldırılardan korumaya yardımcı olan güvenlik özellikleri
- Azure Backup - bölgeler arası geri yüklemeyi ayarlama
AWS kılavuzu: AWS Backup'ın güvenliğini sağlamak için AWS IAM erişim denetimini kullanın. Bu, AWS Backup hizmeti erişim ve yedekleme ve geri yükleme noktalarının güvenliğini sağlamayı içerir. Örnek denetimler şunlardır:
- Yedekleme/geri yükleme noktasını silme gibi kritik işlemler için çok faktörlü kimlik doğrulamasını (MFA) kullanın.
- AWS kaynaklarıyla iletişim kurmak için Güvenli Yuva Katmanı (SSL)/Aktarım Katmanı Güvenliği (TLS) kullanın.
- Müşteri tarafından yönetilen CMK veya AWS Backup hizmetiyle ilişkilendirilmiş AWS tarafından yönetilen bir CMK kullanarak yedekleme verilerini şifrelemek için AWS KMS'yi AWS Backup ile birlikte kullanın.
- Kritik verilerin sabit depolanması için AWS Backup Vault Lock kullanın.
- Erişim ilkesi aracılığıyla S3 demetlerinin güvenliğini sağlama, genel erişimi devre dışı bırakma, bekleyen verileri şifrelemeyi zorlama ve sürüm oluşturma denetimi.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Silme, saklamayı değiştirme, yedekleme yapılandırması güncelleştirmeleri gibi kritik yedekleme ve kurtarma işlemlerini gerçekleştirmek için en güçlü kimlik doğrulamasına sahip ayrılmış hesapları kullanın. Bu, yedekleme verilerini fidye yazılımı saldırıları/yedekleme verilerini şifreleme veya kurcalama girişimleri gibi yanlışlıkla veya kötü amaçlı silme işlemlerine karşı korur.
GCP Backup tarafından desteklenen kaynaklar için, Görevleri ayırma ve ayrıntılı erişime olanak tanımak için roller ve izinlerle Google IAM'yi kullanın ve Yedekleme/Kurtarma aletinden verileri güvenli bir şekilde yedeklemek ve geri yüklemek için VPC'ye özel hizmetler erişim bağlantısı ayarlayın.
Yedekleme verileri, Gelişmiş Şifreleme Standardı (AES) algoritması AES-256 kullanılarak varsayılan olarak platform düzeyinde otomatik olarak şifrelenir.
Not: Bir kaynağın GCP Yedeklemesi dışındaki yerel yedekleme özelliğini veya yedekleme hizmetlerini kullanıyorsanız, güvenlik denetimlerini uygulamak için ilgili kılavuza başvurmanız gerekir. Örneğin, bir VM örneği kaynağında deletionProtection özelliğini ayarlayarak belirli VM örneklerini silmeye karşı da koruyabilirsiniz.
GCP uygulaması ve ek bağlam:
- Bekletme ilkeleri ve bekletme ilkeleri kilitler
- Yedekleme ve Olağanüstü Durum Kurtarma Hizmeti
- Vm'nin yanlışlıkla silinmesini önleme
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
BR-3: Yedeklemeleri izleme
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
11.3 | CP-9 | Yok |
Güvenlik ilkesi: İş açısından kritik tüm korunabilir kaynakların tanımlı yedekleme ilkesi ve standart ile uyumlu olduğundan emin olun.
Azure kılavuzu: Tüm kritik kaynaklarınızın yedekleme açısından uyumlu olduğundan emin olmak için Azure ortamınızı izleyin. Bu tür denetimleri denetlemek ve zorunlu kılmak için yedekleme için Azure İlkesi kullanın. Desteklenen Azure Backup kaynak için Yedekleme Merkezi, yedekleme varlığınızı merkezi olarak yönetmenize yardımcı olur.
Kritik yedekleme işlemlerinin (silme, değişiklik saklama, yedekleme yapılandırması güncelleştirmeleri) izlendiğinden, denetlendiğinden ve uyarıların yerinde olduğundan emin olun. Desteklenen Azure Backup kaynak için genel yedekleme durumunu izleyin, kritik yedekleme olaylarına karşı uyarı alın ve kasalarda tetiklenen kullanıcı eylemlerini kontrol edin.
Not: Uygun olduğunda, Azure kaynaklarınızın yedekleme için yapılandırıldığından emin olmak için yerleşik ilkeleri de (Azure İlkesi) kullanın.
Azure uygulaması ve ek bağlamı:
- Yedekleme Merkezi'ni kullanarak tüm yedeklemelerinizi idare etme
- Yedekleme merkezini kullanarak yedeklemeleri izleme ve çalıştırma
- Azure Backup için izleme ve raporlama çözümleri
AWS kılavuzu: AWS Backup, iş yüklerini izlemenizi sağlamak için diğer AWS araçlarıyla birlikte çalışır. Bu araçlar şunları içerir:
- Uyumluluğu sağlamak üzere yedekleme işlemlerini izlemek için AWS Backup Denetim Yöneticisi'ni kullanın.
- AWS Backup işlemlerini izlemek için CloudWatch ve Amazon EventBridge kullanın.
- Ölçümleri izlemek, alarm oluşturmak ve panoları görüntülemek için CloudWatch'u kullanın.
- AWS Backup olaylarını görüntülemek ve izlemek için EventBridge'i kullanın.
- Yedekleme, geri yükleme ve kopyalama olayları gibi AWS Backup ile ilgili konulara abone olmak için Amazon Simple Notification Service'i (Amazon SNS) kullanın.
AWS uygulaması ve ek bağlam:
- AWS Yedekleme İzleme
- EventBridge kullanarak AWS Backup olaylarını izleme
- CloudWatch ile AWS Backup ölçümlerini izleme
- AWS Backup olaylarını izlemek için Amazon SNS kullanma
- AWS Backup Audit Manager ile yedeklemeleri denetleme ve rapor oluşturma
GCP kılavuzu: Tüm kritik kaynaklarınızın yedekleme açısından uyumlu olduğundan emin olmak için Yedekleme ve Olağanüstü Durum Kurtarma ortamınızı izleyin. Bu tür denetimleri denetlemek ve zorunlu kılmak için yedekleme için Kuruluş İlkesi'ni kullanın. GCP Backup tarafından desteklenen kaynaklar için Yönetim Konsolu, yedekleme varlığınızı merkezi olarak yönetmenize yardımcı olur.
Kritik yedekleme işlemlerinin (silme, değişiklik saklama, yedekleme yapılandırması güncelleştirmeleri) izlendiğinden, denetlendiğinden ve uyarıların yerinde olduğundan emin olun. GCP Yedeklemesi tarafından desteklenen kaynaklar için genel yedekleme durumunu izleyin, kritik yedekleme olaylarına karşı uyarı alın ve tetiklenen kullanıcı eylemlerini kontrol edin.
Not: Uygun olduğunda, Google kaynaklarınızın yedekleme için yapılandırıldığından emin olmak için yerleşik ilkeleri (Kuruluş İlkesi) de kullanın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
BR-4: Yedeklemeyi düzenli olarak test edin
CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
---|---|---|
11,5 | CP-4, CP-9 | Yok |
Güvenlik ilkesi: Yedekleme yapılandırmalarının ve yedekleme verilerinin kullanılabilirliğinin RTO (Kurtarma Süresi Hedefi) ve RPO'da (Kurtarma Noktası Hedefi) tanımlanan kurtarma gereksinimlerini karşıladığını doğrulamak için düzenli aralıklarla yedeklemenizin veri kurtarma testlerini gerçekleştirin.
Azure kılavuzu: Yedekleme yapılandırmalarının ve yedekleme verilerinin kullanılabilirliğinin RTO ve RPO'da tanımlanan kurtarma gereksinimlerini karşıladığını doğrulamak için düzenli aralıklarla yedeklemenizin veri kurtarma testlerini gerçekleştirin.
Her seferinde tam kurtarma testi gerçekleştirmek zor olabileceğinden, test kapsamı, sıklığı ve yöntemi dahil olmak üzere yedekleme kurtarma testi stratejinizi tanımlamanız gerekebilir.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: Yedekleme yapılandırmalarının ve yedekleme verilerinin kullanılabilirliğinin RTO ve RPO'da tanımlandığı şekilde kurtarma gereksinimlerini karşıladığını doğrulamak için düzenli aralıklarla yedeklemenizin veri kurtarma testlerini gerçekleştirin.
Her seferinde tam kurtarma testi gerçekleştirmek zor olabileceğinden, test kapsamı, sıklığı ve yöntemi dahil olmak üzere yedekleme kurtarma testi stratejinizi tanımlamanız gerekebilir. AWS uygulaması ve ek bağlam:
GCP kılavuzu: Yedekleme yapılandırmalarının ve yedekleme verilerinin kullanılabilirliğinin RTO ve RPO'da tanımlanan kurtarma gereksinimlerini karşıladığını doğrulamak için düzenli aralıklarla yedeklemenizin veri kurtarma testlerini gerçekleştirin.
Her seferinde tam kurtarma testi gerçekleştirmek zor olabileceğinden, test kapsamı, sıklığı ve yöntemi dahil olmak üzere yedekleme kurtarma testi stratejinizi tanımlamanız gerekebilir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):