> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/nl/verhard-uw-omgeving/readme/cloud-backup-solutions.md).

# Cloud-back-upoplossingen

Gebruik deze pagina om een cloud-back-upaanpak te kiezen die ook nog werkt na ransomware.

Focus: herstelbaarheid, bewaartermijn en bescherming tegen het verwijderen van back-ups.

## Google Drive en OneDrive

Google Drive- en OneDrive-omgevingen hebben geen native functies waarmee ze hun gegevens kunnen herstellen na een ransomware-aanval die hun vorige versies heeft verwijderd. Daarom is het noodzakelijk om bepaalde oplossingen te overwegen om hun gegevens regelmatig te back-uppen en te beschermen.

Er kunnen verschillende oplossingen worden overwogen om dit doel te bereiken, elk met zijn voor- en nadelen.

#### Oplossing #1: Harde schijf

Deze oplossing bestaat uit het handmatig back-uppen van bestanden uit de Google Drive- of OneDrive-omgeving naar een externe harde schijf. Idealiter moet er een back-up van een OneDrive- of Google Drive-omgeving worden gemaakt op ten minste twee externe harde schijven om gegevensverlies te voorkomen als een van de harde schijven defect raakt. Hoewel deze oplossing het eenvoudigst te implementeren is, is ze ook het meest beperkend.

#### Oplossing #2: NAS

Een NAS (Network Attached Storage) is een fysieke netwerkopslagserver. Deze oplossing bestaat uit het installeren van een synchronisatieapplicatie op de NAS — namelijk Google Drive Desktop voor een Google Workspace-omgeving en OneDrive voor een O365-omgeving — om gedeelde schijven (Google Drive) en SharePoint-sites (OneDrive) regelmatig te synchroniseren en back-ups te maken op de NAS-schijven. Het is ook mogelijk om bepaalde typen RAID te gebruiken om de schijveveiligheid of fouttolerantie op de NAS te verbeteren.

#### Oplossing #3: AWS/Azure-opslagruimte

Azure (Microsoft) en AWS (Amazon) bieden betaalbare cloudopslagruimtes aan om back-ups op te slaan. Het idee is om alle gegevens uit Google Drive- en OneDrive-omgevingen regelmatig over te zetten naar een van deze opslagruimtes, handmatig of automatisch met behulp van een script en een machine die is gekoppeld aan een van deze omgevingen. Voor dit doel zijn verschillende gratis tools ontwikkeld en worden ze regelmatig bijgewerkt, namelijk rclone en duplicity, die zijn ontworpen om dit soort overdracht mogelijk te maken.

#### Oplossing #4: Oplossingen van derden

Bepaalde oplossingen van derden kunnen worden overwogen als geen van de vorige oplossingen geschikt is. Deze oplossingen maken back-ups zeer eenvoudig in gebruik, maar brengen aanzienlijke kosten met zich mee. Bij dit type oplossing geeft u een externe dienst toegang tot uw Google Drive- en OneDrive-omgeving, zodat deze op regelmatige basis automatisch gegevens kan ophalen. Deze oplossingen bieden ook functies voor gegevensherstel. Voorbeelden zijn Afi, Backupify, Spanning en SpinBackup.

#### Samenvattingstabel

Door al deze scenario's te analyseren, is het mogelijk om bepaalde criteria te definiëren en al deze oplossingen dienovereenkomstig te classificeren, zoals geïllustreerd in de volgende tabel:

<figure><img src="/files/6ae0a6ac9b02f7b865be8901a5ef685c41d7b0a4" alt=""><figcaption></figcaption></figure>

## Azure

### Onveranderlijke Azure-back-ups

Azure-back-ups kunnen van twee soorten zijn, Backup Vault of Recovery Services, afhankelijk van uw datamodellen:

Er zijn 2 methoden om de onveranderlijkheid van deze back-ups te garanderen:

![datasources$ (1)](/files/3f767c8e4a000b30ff6ad1eafea4506cf052f5ea)

{% stepper %}
{% step %}

### Controleer of de functie Soft Delete is ingeschakeld.

Standaard is Soft Delete ingeschakeld voor Azure Recovery Services-kluizen. Deze functie beschermt back-ups tegen per ongeluk of kwaadwillig verwijderen gedurende een periode van 14 dagen zonder extra kosten. Als back-ups worden verwijderd en Soft Delete niet is ingeschakeld, kunnen noch u, noch Microsoft de verwijderde gegevens herstellen. Het is noodzakelijk om de volgende bescherming te implementeren om het volgende scenario te voorkomen:

1. Compromittering van de Azure-tenant en de kluizen;
2. Soft Delete uitschakelen;
3. Verwijderen van back-ups;
4. Herstel;
5. Definitieve verwijdering.
   {% endstep %}

{% step %}

### Gebruik Multi User Authorization (MUA) voor de Soft Delete-functie.

MUA voor Azure Backup gebruikt een nieuwe resource genaamd Resource Guard om ervoor te zorgen dat kritieke bewerkingen, zoals het uitschakelen van Soft Delete, het stoppen en verwijderen van back-ups, of het verkorten van de bewaartermijn van back-upbeleid, alleen met de juiste autorisatie worden uitgevoerd. Om het proces te begrijpen, is het noodzakelijk om 2 rollen te begrijpen die binnen de Azure-organisatie moeten worden gedefinieerd:

1. Backup Administrator: eigenaar van de Recovery Services Vault of Backup Vault die daarop beheer- en administratieve handelingen uitvoert;
2. Security Administrator: eigenaar van de Resource Guard, die optreedt als bewaker van kritieke bewerkingen op de kluis. Daarom beheert de Security Administrator de machtigingen die de Backup Administrator nodig heeft om kritieke bewerkingen op de kluis uit te voeren.

Om MUA te configureren, moet u:

* Controleren of Resource Guard en de Azure Recovery Services Vault zich in dezelfde Azure-regio bevinden;
* Controleren of de Backup Administrator geen contributor-rechten heeft op Resource Guard. U kunt Resource Guard in een andere Subscription van dezelfde Tenant of in een andere Tenant hebben;
* Volg de [officiële Azure-procedure](https://learn.microsoft.com/en-us/azure/backup/multi-user-authorization?pivots=vaults-recovery-services-vault\&tabs=azure-portal).
  {% endstep %}
  {% endstepper %}

### Bescherming van uw kritieke Azure-bewerkingen

Het configureren van onveranderlijke kluizen maakt de volgende beschermingen mogelijk:

* Recovery Services: Beschermt gegevens tegen verwijdering; Voorkomt wijziging of verwijdering van het back-upbeleid om de bewaartermijn van gegevens te verkorten.
* Backup Vaults: Beschermt gegevens tegen verwijdering

{% stepper %}
{% step %}

### Log in op uw Azure Portal en zoek naar Recovery Services Vaults, Backup Vaults of de kluis die u wilt beschermen:

<figure><img src="/files/28cf80c6e5b834e0eef714a56f79fe400bea7c18" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Klik op het tabblad Eigenschappen om de onveranderlijke kluis in te schakelen en de kluis te vergrendelen voor de duur van het back-upbeleid

<figure><img src="/files/908ee32c1459c501989d593b2d767900dfde58ac" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/0368ef61b03bb11e9b43b4531ddc03ebeeb70720" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Opmerking: deze stap kan niet ongedaan worden gemaakt; gebruik deze met voorzichtigheid voor gevoelige gegevens.
{% endhint %}
{% endstep %}

{% step %}

### Herhaal deze handeling voor de andere kluizen die nodig zijn voor bedrijfscontinuïteit.

{% endstep %}
{% endstepper %}

## AWS

### Beperkte oplossing (zonder SCP-rechten)

Opmerking: de eerste stap moet worden herhaald voor elke S3-bucket met gevoelige of technische gegevens die mogelijk nodig zijn voor productie.

{% stepper %}
{% step %}

### Maak een S3-bucketbeleid dat het verwijderen van versies van de S3-bucket voorkomt.

1. In het [Amazon S3-console](https://console.aws.amazon.com/s3/), open de bucket en ga vervolgens naar **Machtigingen**.

   <figure><img src="/files/77551d516f579f0371f3413567ba4b6b19a239fd" alt=""><figcaption></figcaption></figure>
2. Onder **Bucketbeleid**, klik op **Bewerken**.
3. Vervang het bestaande bucketbeleid (indien aanwezig) door de onderstaande JSON.

```json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyVersionDeletion",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:DeleteObject*",
            "Resource": "arn:aws:s3:::my-bucket-name/*"
        }
    ]
}
```

{% hint style="info" %}
Vervang `my-bucket-name` door uw bucketnaam.
{% endhint %}
{% endstep %}

{% step %}

### Maak een waarschuwingsmechanisme om elke wijziging of verwijdering van deze bucket te detecteren.

1. Inschakelen [AWS CloudTrail](https://console.aws.amazon.com/cloudtrail/) als dit nog niet is ingeschakeld.
2. Open de [Amazon EventBridge-console](https://console.aws.amazon.com/events/) (CloudWatch Events) en ga vervolgens naar **Regels**.

   <figure><img src="/files/f3d21e7d63f05cab480e1ef4a5be8b41f99ec30c" alt=""><figcaption></figcaption></figure>
3. Klik op **Regel maken**. Selecteer **AWS API Call via CloudTrail** als gebeurtenistype.

   <figure><img src="/files/21646b6d48b43102d6c209a6cac5d3884cd00ca3" alt=""><figcaption></figcaption></figure>
4. Kies **Specifieke bewerkingen** en voeg toe:
   1. PutBucketPolicy
   2. DeleteBucketPolicy
   3. DeleteBucketLifecycle
   4. DeleteBucketPublicAccessBlock
   5. PutBucketPublicAccessBlock
   6. DeleteBucket als de bewerkingen waarvoor we een waarschuwing willen ontvangen.
5. Gebruik het onderstaande gebeurtenispatroon:

```json
{
  "source": ["aws.s3"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["s3.amazonaws.com"],
    "eventName": ["DeleteBucket", "DeleteBucketLifecycle", "DeleteBucketPolicy", "PutBucketPolicy", "DeleteBucketPublicAccessBlock", "PutBucketPublicAccessBlock"],
    "requestParameters": {
      "bucketName": ["my-bucket-name"]
    }
  }
}
```

{% hint style="info" %}
Vervang `my-bucket-name` met de bucket die u wilt beschermen.
{% endhint %}
{% endstep %}
{% endstepper %}

6. Configureer het waarschuwingsdoel (bijvoorbeeld een SNS-topic voor meldingen of een Lambda-functie).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/nl/verhard-uw-omgeving/readme/cloud-backup-solutions.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
