什么是 CIS Benchmarks?
来自互联网安全中心(CIS)的 CIS Benchmarks 是一套全球公认的共识驱动型最佳实践,旨在帮助安全从业者实施和管理他们的网络安全防御。该指南由全球安全专家社区共同制定,可帮助组织主动防范新出现的风险。公司实施 CIS Benchmarks 指南来限制其数字资产中基于配置的安全漏洞。
为什么 CIS Benchmarks 非常重要?
CIS Benchmarks 之类的工具非常重要,因为它们概述了安全专业人员和主题专家为部署超过 25 种不同供应商产品而开发的安全最佳实践。这些最佳实践是创建新产品或服务部署计划或验证现有部署是否安全的良好起点。
当您实施 CIS Benchmarks 时,可以通过执行以下步骤来更好地保护您的遗留系统免受常见和新出现的风险影响:
- 禁用未使用的端口
- 移除不必要的应用程序权限
- 限制管理权限
当您禁用不必要的服务时,IT 系统和应用程序也会运行得更好。
CIS Benchmarks 示例
例如,管理员可以遵循 CIS AWS Foundations Benchmark 分步指南,帮助他们为 AWS Identity and Access Management(IAM)设置强密码策略。密码策略实施、多重身份验证(MFA)使用、禁用根访问、确保访问密钥每 90 天轮换一次,以及其他策略都是不同但相关的身份指南,以提高 AWS 账户的安全性。
通过采用 CIS Benchmarks,您的组织可以获得多项网络安全优势,例如:
专家网络安全指南
CIS Benchmarks 为组织提供了一个经过专家审查和验证的安全配置框架。公司可以避免将安全置于风险之中的试错场景,并从多样化的 IT 和网络安全社区的专业知识中受益。
全球公认的安全标准
CIS Benchmarks 是唯一得到全球政府、企业、研究和学术机构认可和接受的最佳实践指南。由于全球和多元化的社区致力于基于共识的决策模式,CIS Benchmarks 的适用性和可接受性远远超过区域法律和安全标准。
经济高效的威胁防御
任何人都可以免费下载 CIS Benchmarks 文档并进行实施。您的公司可以免费获得各种 IT 系统的最新分步说明。您可以实现 IT 治理,避免可预防的网络威胁造成的财务和声誉损失。
法规合规性
CIS Benchmarks 与主要的安全和数据隐私框架保持一致,例如:
- 美国国家标准与技术研究院(NIST)网络安全框架
- 健康保险流通与责任法案(HIPAA)
- 支付卡行业数据安全标准(PCI DSS)
对于在严格监管的行业中运营的组织来说,实施 CIS Benchmarks 是实现合规性的重要一步。他们可以防止因 IT 系统配置不当而导致的合规性失败。
CIS Benchmarks 涵盖哪些类型的 IT 系统?
CIS 发布了 100 多项基准,涵盖 25 个以上的供应商产品系列。当您在所有类型的 IT 系统中应用和监控 CIS Benchmarks 时,您就构建了一个内在安全的 IT 环境,您可以用安全解决方案进行更多防御。CIS Benchmarks 涵盖的技术可以大致分为以下七类:
操作系统
操作系统的 CIS Benchmarks 为常用的操作系统提供标准的安全配置,包括 Amazon Linux。这些基准包括以下功能的最佳实践:
- 操作系统访问控制
- 组策略
- Web 浏览器设置
- 补丁管理
云基础设施和服务
云基础设施的 CIS Benchmarks 提供了安全标准,公司可以使用这些标准安全地配置云环境,例如 AWS 提供的云环境。指南包括虚拟网络设置、AWS Identity and Access Management(IAM)配置、合规性和安全控制等方面的最佳实践指南。
服务器软件
服务器软件的 CIS Benchmarks 为服务器设置、服务器管理控制、存储设置和来自热门供应商的服务器软件提供配置基准和建议。
桌面软件
CIS Benchmarks 涵盖了组织通常使用的大多数桌面软件。指南包括管理桌面软件功能的最佳实践,例如:
- 第三方桌面软件
- 浏览器设置
- 访问权限
- 用户账户
- 客户端设备管理
移动设备
移动设备的 CIS Benchmarks 涵盖了运行在手机、平板电脑和其他手持设备上的操作系统的安全配置。它们为移动浏览器设置、应用程序权限、隐私设置等提供建议。
网络设备
CIS Benchmarks 还为防火墙、路由器、交换机和虚拟专用网络(VPN)等网络设备提供安全配置。其中包含供应商中立和供应商特定的建议,以确保这些网络设备的安全设置和管理。
多功能打印设备
多功能打印机、扫描仪和复印机等网络外围设备的 CIS Benchmarks 涵盖了安全配置最佳实践,例如文件共享设置、访问限制和固件更新。
什么是 CIS Benchmarks 级别?
为了帮助组织实现其独特的安全目标,CIS 为每个 CIS Benchmarks 指南指定一个配置文件级别。每个 CIS 配置文件都包括提供不同安全级别的建议。组织可以根据其安全性和合规性需求选择配置文件。
1 级配置文件
1 级配置文件的配置建议是配置 IT 系统的基本安全建议。它们易于遵循,不会影响业务功能或正常运行时间。这些建议减少了 IT 系统的接入点数量,从而降低了网络安全风险。
2 级配置文件
2 级配置文件配置建议最适用于高度敏感的数据,对于这些数据来说,安全性是重中之重。实施这些建议需要专业知识和勤勉的规划,以实现全面的安全性,并将中断降至最低。实施 2 级配置文件建议也有助于实现法规合规性。
STIG 配置文件
安全技术实施指南(STIG)是美国国防信息系统局(DISA)的一组配置基准。美国国防部发布并维护这些安全标准。STIG 是专门为满足美国政府要求而编写的。
CIS Benchmarks 还指定了 3 级 STIG 配置文件,旨在帮助组织遵守 STIG。STIG 配置文件包含 STIG 特定的 1 级和 2 级配置文件建议,并提供了其他两个配置文件未涵盖但 DISA 的 STIG 要求的更多建议。
当您根据 CIS STIG Benchmarks 配置系统时,您的 IT 环境将同时符合 CIS 和 STIG 标准。
CIS Benchmarks 是如何开发的?
CIS 社区遵循独特的基于共识的流程来开发、批准和维护不同目标系统的 CIS Benchmarks。总体而言,CIS Benchmarks 开发流程如下所示:
- 社区确定对特定基准的需求。
- 他们确定基准的范围。
- 志愿者在 CIS WorkBench 社区网站上创建讨论主题。
- 来自特定 IT 系统 CIS 社区的专家花时间审查和讨论工作草案。
- 专家们创建、讨论并测试他们的建议,直到达成共识。
- 他们最终确定基准并在 CIS 网站上发布。
- 来自社区的更多志愿者加入到 CIS Benchmarks 讨论中。
- 共识团队考虑那些基准实施者提供的反馈。
- 他们对 CIS Benchmarks 的新版本进行修订和更新。
CIS Benchmarks 新版本的发布还取决于相应 IT 系统的变更或升级。
如何实施 CIS Benchmarks?
每个 CIS Benchmark 都包括建议的描述、建议的原因以及系统管理员可以遵循以正确实施建议的说明。每个基准可以包含几百页,因为它覆盖了目标 IT 系统的每个领域。
手动实施 CIS Benchmarks 并跟上所有版本的发布会变得很复杂。这就是许多组织使用自动化工具来监控 CIS 合规性的原因。CIS 还提供免费的高级工具,您可以使用这些工具来扫描 IT 系统并生成 CIS 合规性报告。如果现有配置不符合 CIS Benchmarks 建议,这些工具会提醒系统管理员。
CIS 基准测试还包括哪些其他安全资源?
CIS 还发布其他资源以改善组织的互联网安全,包括以下两个主要资源:
CIS Controls
CIS Controls(以前称为 CIS Critical Security Controls)是 CIS 作为系统和网络安全综合最佳实践指南发布的另一项资源。该指南包含一份 20 项安全措施和行动的清单,这些措施和行动具有很高的优先级,并已被证明能有效应对 IT 系统中最普遍和最具破坏性的网络安全威胁。
CIS Controls 对应于大多数主要标准和监管框架,例如:
- 美国国家标准与技术研究院(NIST)网络安全框架
- NIST 800-53
- 健康保险流通与责任法案(HIPAA)、支付卡行业数据安全标准(PCI DSS)、联邦信息安全管理法(FISMA)以及 ISO 27000 系列标准中的其他标准
CIS Controls 为您提供遵循以下任何合规框架的起点:
CIS Benchmarks 与CIS Controls
CIS Controls 是保护整个系统和网络安全的一般性指导,但 CIS Benchmarks 是针对安全系统配置的非常具体的建议。CIS Benchmarks 是实施 CIS Controls 的关键步骤,因为每个 CIS Benchmarks 建议都涉及一个或多个 CIS Controls。
例如,CIS Control 3 为计算机系统建议了安全的硬件和软件配置。CIS Benchmarks 提供了供应商中立和供应商特定的指导,以及管理员可以遵循以实施 CIS Control 3 的详细说明。
CIS Hardened Images
虚拟机(VM)是模拟专用计算机硬件的虚拟计算环境。VM 映像是系统管理员用来快速创建多个具有相似操作系统配置的 VM 的模板。但是,如果 VM 映像配置不正确,从它创建的 VM 实例也会配置错误且易受攻击。
CIS 提供 CIS Hardened Images,即已经按照 CIS Benchmarks 标准配置的 VM 映像。
使用 CIS Hardened Images 的优势
CIS Hardened Images 非常有用,因为它们提供以下功能:
- 根据 CIS Benchmarks 基准预配置
- 易于部署和管理
- 由 CIS 更新和修补
根据您的安全性和合规性需求,您可以选择配置为 1 级或 2 级配置文件的 CIS Hardened Images。
如何在 AWS 上使用 CIS Benchmarks?
CIS 是 AWS 独立软件供应商(ISV)合作伙伴,AWS 是 CIS 安全基准成员公司。CIS Benchmarks 包括 AWS 云服务子集和账户级别设置的安全配置指南。
例如,CIS 概述了 CIS Benchmarks 中 AWS 的最佳实践配置设置,例如:
- CIS AWS Foundations Benchmark
- CIS Amazon Linux 2 Benchmark
- CIS Amazon Elastic Kubernetes Service(EKS)Benchmark
- AWS End User Compute Benchmark
您还可以在 AWS Marketplace 中访问 CIS 强化的 Amazon Elastic Compute Cloud(EC2)映像,因此您可以确信您的 Amazon EC2 映像符合 CIS Benchmarks。
类似地,您可以自动执行检查,以确保您的 AWS 部署符合 CIS AWS Foundations Benchmark 标准中的建议。AWS Security Hub 支持 CIS AWS Foundations Benchmark 标准,该标准包括 43 项控制措施和 32 项支付卡行业数据安全标准(PCI DSS)要求,涵盖 14 项 AWS 服务。启用 AWS Security Hub 后,它会立即开始对每个控件以及与该控件关联的每个相关资源进行连续、自动的安全检查。
确保您的云基础设施符合 CIS 标准,并立即创建免费 AWS 账户,开始使用 AWS。
