CIS Karşılaştırmaları nedir?
İnternet Güvenliği Merkezi'nin (CIS) CIS Karşılaştırmaları, güvenlik uygulayıcılarının siber güvenlik savunmalarını uygulamalarına ve yönetmelerine yardımcı olmak için dünya çapında tanınan ve fikir birliğine dayalı bir dizi en iyi uygulamadır. Güvenlik uzmanlarından oluşan küresel bir topluluk tarafından geliştirilen yönergeler, kuruluşların ortaya çıkan risklere karşı proaktif olarak korunmasına yardımcı olur. Şirketler, dijital varlıklarında yapılandırmaya dayalı güvenlik açıklarını sınırlandırmak için CIS Karşılaştırmaları yönergelerini uygular.
CIS Karşılaştırmaları neden önemlidir?
CIS Karşılaştırmaları gibi araçların önemli olmasının nedeni, 25'ten fazla tedarikçi ürününde dağıtım için güvenlik uzmanları ve bu alanda uzman olan kişiler tarafından geliştirilmiş en iyi güvenlik uygulamalarının bir özeti olmasıdır. Bu en iyi uygulamalar, yeni bir ürün veya hizmet dağıtımı oluşturmak ya da mevcut dağıtımların güvenli olduğunu doğrulamak için iyi bir başlangıç noktasıdır.
CIS Karşılaştırmalarını uyguladığınızda, aşağıdakiler gibi adımlar atarak eski sistemlerinizi sık karşılaşılan ve yeni ortaya çıkan risklere karşı daha iyi koruyabilirsiniz:
- Kullanılmayan bağlantı noktalarını devre dışı bırakma
- Gereksiz uygulama izinlerini kaldırma
- Yönetim ayrıcalıklarını kısıtlama
Ayrıca, gereksiz hizmetleri devre dışı bıraktığınızda BT sistemleri ve uygulamaları daha iyi performans gösterir.
CIS Karşılaştırmaları örneği
Örneğin yöneticiler, AWS Kimlik ve Erişim Yönetimi (IAM) için güçlü bir parola politikası ayarlamalarına yardımcı olması için adım adım CIS AWS Temelleri Karşılaştırması yönergelerini takip edebilir. Parola politikası uygulama, çok faktörlü kimlik doğrulama (MFA) kullanımı, kök erişimini devre dışı bırakma, erişim anahtarlarının her 90 günde bir değişmesini sağlama ve diğer taktikler, bir AWS hesabının güvenliğini iyileştirme yönergelerinden farklı olsa da bunlarla alakalıdır.
Kuruluşunuz, CIS Karşılaştırmalarını benimseyerek aşağıdakiler gibi birçok siber güvenlik avantajı elde edebilir:
Uzman siber güvenlik yönergeleri
CIS Karşılaştırmaları, kuruluşlara uzmanlar tarafından incelenip onaylanan bir güvenlik yapılandırmaları çerçevesi sağlar. Şirketler, güvenlik riski yaratan deneme-yanılma senaryolarından kaçınabilir ve geniş bir BT ve siber güvenlik topluluğunun uzmanlığından yararlanabilir.
Dünya genelinde kabul edilen güvenlik standartları
CIS Karşılaştırmaları; devletler, şirketler, araştırma kuruluşları ve akademik kurumlar tarafından dünya genelinde tanınan ve kabul edilen tek en iyi uygulama yönergeleridir. CIS Karşılaştırmaları, fikir birliğine dayalı bir karar verme modeli üzerinde çalışan küresel ve geniş topluluk sayesinde, bölgesel kanunlara ve güvenlik standartlarına kıyasla çok daha geniş bir uygulanabilirliğe ve kabul edilebilirliğe sahiptir.
Uygun maliyetli tehdit önleme
İsteyen herkes CIS Karşılaştırma belgelerini ücretsiz bir şekilde indirip uygulayabilir. Şirketiniz, hiçbir maliyet olmadan, her türlü BT sistemi için güncel ve adım adım talimatlar alabilir. BT yönetimini kolaylaştırabilir ve önlenebilir siber tehditlerin neden olduğu maliyet ve itibar hasarlarının önüne geçebilirsiniz.
Mevzuata uygunluk
CIS Karşılaştırmaları, aşağıdakiler gibi önemli güvenlik ve veri gizliliği çerçeveleriyle uyumludur:
- Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi
- Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA)
- Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS)
CIS Karşılaştırmalarını uygulamak, sıkı bir şekilde denetlenen sektörlerde faaliyet gösteren kuruluşların uygunluk gerekliliklerini karşılaması açısından büyük bir adımdır. Bu karşılaştırmalar, yanlış yapılandırılmış BT sistemleri nedeniyle uygunluk sorunlarını önleyebilir.
CIS Karşılaştırmaları ne tür BT sistemlerini kapsar?
CIS, 25'in üzerinde ürün grubuna yönelik 100'den fazla karşılaştırma yayımlamıştır. Her türlü BT sisteminde CIS Karşılaştırmalarını uyguladığınızda ve izlediğinizde, güvenlik çözümleri sayesinde daha iyi koruyabileceğiniz, yapısı gereği güvenli bir BT ortamı oluşturursunuz. CIS Karşılaştırmalarının kapsadığı teknolojiler, temel olarak aşağıdaki yedi kategoriye ayrılabilir.
İşletim sistemleri
İşletim sistemleri için CIS Karşılaştırmaları, Amazon Linux dahil olmak üzere popüler işletim sistemleri için standart güvenlik yapılandırmaları sağlar. Bu karşılaştırmalara, aşağıdakiler gibi özelliklere yönelik en iyi uygulamalar dahildir:
- İşletim sistemi erişim denetimi
- Grup politikaları
- Web tarayıcısı ayarları
- Düzeltme eki yönetimi
Bulut altyapısı ve hizmetleri
Bulut altyapısı için CIS Karşılaştırmaları, AWS tarafından sağlananlar gibi, bulut ortamlarını güvenli bir şekilde yapılandırmak için şirketlerin kullanabileceği güvenlik standartları sağlar. Yönergeler; sanal ağ ayarları, AWS Kimlik ve Erişimi Yönetimi (IAM) yapılandırmaları, uygunluk ve güvenlik denetimlerinin yanı sıra daha birçok konuda en iyi uygulama yönergeleri içerir.
Sunucu yazılımı
Sunucu yazılımı için CIS Karşılaştırmaları; sunucu ayarları, sunucu yöneticisi denetimleri, depolama ayarları ve popüler tedarikçilerin sunucu yazılımları için yapılandırma temelleri ve önerileri sunar.
Masaüstü yazılımı
CIS Karşılaştırmaları, kuruluşların genellikle kullandığı masaüstü yazılımlarının çoğunu kapsar. Yönergeler, aşağıdakiler gibi, masaüstü yazılımlarını yönetmeye ilişkin en iyi uygulamalar sağlar:
- Üçüncü taraf masaüstü yazılımı
- Tarayıcı ayarları
- Erişim ayrıcalıkları
- Kullanıcı hesapları
- İstemci cihazı yönetimi
Mobil cihazlar
Mobil cihazlar için CIS Karşılaştırmaları; cep telefonları, tabletler ve diğer portatif cihazlarda çalışan işletim sistemleri için güvenlik yapılandırmalarını kapsar. Mobil tarayıcı ayarları, uygulama izinleri, gizlilik ayarları ve daha fazlası için öneriler sunar.
Ağ cihazları
CIS Karşılaştırmaları; güvenlik duvarları, yönlendiriciler, anahtarlar ve sanal özel ağlar (VPN'ler) gibi ağ cihazları için de güvenlik yapılandırmaları sağlar. Bu ağ cihazlarının güvenli kurulumunu ve yönetimini sağlamak için, tedarikçiden bağımsız ve tedarikçiye özel öneriler sunar.
Çok işlevli baskı cihazları
Çok işlevli yazıcılar, tarayıcılar ve fotokopi makineleri gibi ağ çevre birimi cihazları için CIS Karşılaştırmaları; dosya paylaşım ayarları, erişim kısıtlamaları ve cihaz yazılımı güncellemeleri gibi en iyi güvenli yapılandırma uygulamalarını kapsar.
CIS Karşılaştırması düzeyleri nelerdir?
CIS, kuruluşların kendilerine özel güvenlik hedeflerine ulaşmalarına yardımcı olmak için her CIS Karşılaştırma yönergesine bir profil düzeyi atar. Her CIS profili, farklı bir güvenlik düzeyi sağlayan öneriler içerir. Kuruluşlar, güvenlik ve uygunluk ihtiyaçlarına bağlı olarak bir profil seçebilir.
1. Düzey profil
1. Düzey profil için yapılandırma önerileri, BT sistemlerini yapılandırmaya yönelik temel güvenlik önerileridir. Bunlar, takip etmesi kolay önerilerdir ve işin işlevini ya da çalışma süresini etkilemez. Bu öneriler, BT sistemlerinizin giriş noktalarının sayısını azaltarak siber güvenlik risklerinizi de azaltır.
2. Düzey profil
2. Düzey profil yapılandırma önerileri, en çok güvenliğin öncelikli olduğu son derece hassas veriler için işe yarar. Bu önerilerin uygulanmasında, en az kesintiyle kapsamlı bir güvenlik elde etmek için profesyonel uzmanlık ve dikkatli bir planlama gerekir. 2. Düzey profil önerilerini uygulamak, mevzuata uygunluk sağlamada da yardımcı olur.
STIG profili
Güvenlik Teknik Uygulama Kılavuzu (STIG), Savunma Bilgi Sistemleri Ajansı'nın (DISA) yapılandırma temelleri kümesidir. ABD Savunma Bakanlığı, bu güvenlik standartlarını yayımlar ve sürdürür. STIG'ler, özellikle ABD hükümetinin gerekliliklerini karşılayacak şekilde yazılmıştır.
CIS Karşılaştırmaları, kuruluşların STIG'e uyumlu olmasına yardımcı olmak için tasarlanan 3. Düzey STIG profilini de belirtir. STIG profili, STIG'e özel 1. Düzey ve 2. Düzey öneriler içerir ve diğer iki profilin kapsamadığı ancak DISA'nın STIG'lerinin gerektirdiği başka öneriler de sağlar.
Sistemlerinizi CIS STIG Karşılaştırmaları'na göre yapılandırdığınızda, BT ortamınız hem CIS hem de STIG uyumlu olacaktır.
CIS Karşılaştırmaları nasıl geliştirilir?
CIS toplulukları, farklı hedef sistemler için CIS Karşılaştırmaları geliştirme, onaylama ve sürdürme amacıyla benzersiz bir fikir birliğine dayalı süreç izler. Genel anlamda CIS Karşılaştırma geliştirme süreci şu şekilde görünür:
- Topluluk, belirli bir karşılaştırmaya yönelik ihtiyacı belirler.
- Karşılaştırmanın kapsamını belirlerler.
- Gönüllüler, CIS WorkBench topluluğu web sitesinde tartışma ileti dizileri oluşturur.
- Belirli bir BT sisteminin CIS topluluğundaki uzmanlar, çalışma taslağını incelemek ve üzerinde tartışmak için vakit ayırır.
- Uzmanlar, bir fikir birliğine erişene kadar öneriler oluşturur, bunlar üzerine tartışır ve bunları test eder.
- Karşılaştırma son haline geldiğinde CIS web sitesinde yayımlanır.
- Topluluktan daha fazla gönüllü, CIS Karşılaştırma tartışmasına katılır.
- Fikir birliği ekibi, karşılaştırmayı uygulayanların geri bildirimlerini değerlendirir.
- CIS Karşılaştırmasının yeni sürümlerinde revizyonlar ve güncellemeler yaparlar.
CIS Karşılaştırmalarının yeni sürümlerinin kullanıma sunulması, ilgili BT sistemlerine yönelik değişikliklere ve yükseltmelere de bağlıdır.
CIS Karşılaştırmalarını nasıl uygulayabilirsiniz?
Her CIS Karşılaştırması; önerinin bir açıklamasını, önerinin nedenini, sistem yöneticilerinin öneriyi doğru bir şekilde uygulamak için izleyebileceği talimatları içerir. Her karşılaştırma, hedef BT sisteminin her alanını kapsadığı için birkaç yüz sayfadan oluşabilir.
CIS Karşılaştırmalarını uygulamak ve yeni sürümlerin hepsini takip etmek, bunları manuel olarak yapıyorsanız karmaşık olabilir. Bu nedenle birçok kuruluş, CIS uygunluğunu izlemek için otomatik araçlar kullanır. CIS, BT sistemlerini taramak ve CIS uygunluk raporlarını uygulamak için kullanabileceğiniz ücretsiz ve birinci sınıf araçlar da sunar. Bu araçlar, mevcut yapılandırmalar CIS Karşılaştırma önerilerini karşılamadığında sistem yöneticilerini uyarır.
CIS Karşılaştırmalarına başka hangi güvenlik kaynakları dahildir?
CIS ayrıca bir kuruluşun internet güvenliğini iyileştirmek için, aşağıdaki iki ana kaynak dahil olmak üzere başka kaynaklar da yayınlar.
CIS Denetimleri
CIS Denetimleri (eski adıyla CIS Kritik Güvenlik Denetimleri), CIS'nin sistem ve ağ güvenliği için kapsamlı en iyi uygulama kılavuzu olarak yayınladığı başka bir kaynaktır. Kılavuz, yüksek önceliğe sahip olan ve BT sistemlerindeki en çok nüfuz eden ve en yıkıcı siber güvenlik tehditlerine karşı etkili olduğu kanıtlanmış 20 adet koruma ve eylem kontrol listesi içerir.
CIS Denetimleri, aşağıdakiler gibi çoğu önemli standartla ve mevzuat çerçevesiyle uyumludur:
- Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi
- NIST 800-53
- Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), Federal Bilgi Güvenliği Yönetimi Yasası (FISMA) ve ISO 27000 standartlar serisindeki diğerleri
CIS Denetimleri, aşağıdaki uygunluk çerçevelerinden herhangi biri için size bir başlangıç noktası verir.
CIS Karşılaştırmaları ve CIS Denetimleri
CIS Denetimleri, tüm sistemlerin ve ağların güvenliğini sağlamak için daha genel yönergelerken, CIS Karşılaştırmaları güvenli sistem yapılandırmalarına yönelik son derece spesifik önerilerdir. Her CIS Karşılaştırma önerisi, bir veya daha fazla CIS Denetimine yönelik olduğundan, CIS Karşılaştırmaları, CIS Denetimlerini uygulamanın kritik bir adımıdır.
Örneğin CIS Denetimi 3, bilgisayar sistemleri için güvenli donanım ve yazılım yapılandırmaları önerir. CIS Karşılaştırmaları, yöneticilerin CIS Denetimi 3'ü uygulamak için izleyebilecekleri ayrıntılı talimatlarla birlikte tedarikçiden bağımsız ve tedarikçiye özgü yönergeler sağlar.
Güçlendirilmiş CIS Görüntüleri
Sanal makine (VM), ilgili bilgisayar donanımını taklit eden sanal bir bilişim ortamıdır. VM görüntüleri, sistem yöneticilerinin benzer işletim sistemleri yapılandırmalarıyla birden çok VM'yi hızlıca oluşturmak için kullandığı şablonlardır. Ancak VM görüntüsü yanlış şekilde yapılandırılırsa bu görüntüden oluşturulan VM bulut sunucuları da yanlış yapılandırılır ve savunmasız olur.
CIS, CIS Karşılaştırma standartlarıyla yapılandırılmış olan VM görüntüleri olan Güçlendirilmiş CIS Görüntüleri sunar.
Güçlendirilmiş CIS Görüntüleri kullanmanın avantajları
Güçlendirilmiş CIS Görüntüleri, aşağıdaki özellikleri sunduğu için faydalıdır:
- CIS Karşılaştırma temellerine göre önceden yapılandırılmıştır
- Dağıtımı ve yönetimi kolaydır
- CIS tarafından güncellenmiş ve düzeltme eki uygulanmıştır
Güvenlik ve uygunluk ihtiyaçlarınıza bağlı olarak 1. Düzey veya 2. Düzey profile yapılandırılmış Güçlendirilmiş CIS Görüntülerini seçebilirsiniz.
CIS Karşılaştırmaları AWS'de nasıl kullanılır?
CIS, AWS Bağımsız Yazılım Satıcısı (ISV) ortağıdır ve AWS, bir CIS Güvenlik Karşılaştırmaları Üye şirketidir. CIS Karşılaştırmaları, AWS Bulut hizmetlerinin bir alt kümesi ve hesap düzeyinde ayarlar için güvenli yapılandırmalara ilişkin yönergeler içerir.
Örneğin CIS, aşağıdakiler gibi, CIS Karşılaştırmalarında AWS için en iyi yapılandırma ayarları uygulamalarını özetler:
- CIS AWS Temelleri Karşılaştırması
- CIS Amazon Linux 2 Karşılaştırması
- CIS Amazon Esnek Kubernetes Hizmeti (EKS) Karşılaştırması
- AWS Son Kullanıcı Bilişimi Karşılaştırması
Ayrıca AWS Pazar Yeri'ndeki güçlendirilmiş CIS Amazon Esnek İşlem Bulutu (EC2) görüntülerine de erişebilir ve böylece, Amazon EC2 görüntülerinizin CIS Karşılaştırmalarına uyduğundan emin olabilirsiniz.
Benzer şekilde AWS dağıtımınızın, CIS AWS Temelleri Karşılaştırması standardında belirtilen önerilere uygun olduğundan emin olmak için denetimleri otomatikleştirebilirsiniz. AWS Güvenlik Merkezi, 14 AWS hizmetinde 43 denetimden ve 32 Ödeme Kartı Sektörü Veri Güvenliği Standardı'ndan (PCI DSS) oluşan CIS AWS Temelleri Karşılaştırması standardını destekler. AWS Güvenlik Merkezi etkinleştirildiğinde her denetim ve denetimle ilişkili her ilgili kaynak için sürekli ve otomatik güvenlik denetimleri çalıştırmaya derhal başlar.
Bulut altyapınızın CIS'ye uygun olduğundan emin olun ve hemen ücretsiz bir AWS hesabı oluşturarak AWS'yi kullanmaya başlayın.
