Điểm quy chuẩn CIS là gì?

Những công cụ như Điểm quy chuẩn CIS có ý nghĩa quan trọng vì chúng phác thảo các biện pháp thực hành tốt nhất về bảo mật do các chuyên gia bảo mật và chuyên gia nghiệp vụ phát triển để phục vụ công tác triển khai hơn 25 sản phẩm khác nhau của nhà cung cấp. Những biện pháp thực hành tốt nhất này là điểm khởi đầu lý tưởng để tạo ra một kế hoạch triển khai sản phẩm hoặc dịch vụ mới hay để xác minh mức độ bảo mật của những bản triển khai hiện có.

Khi triển khai Điểm quy chuẩn CIS, bạn có thể bảo mật các hệ thống cũ tốt hơn để chống lại những rủi ro thông thường và mới nổi bằng cách thực hiện các bước như: 

• Tắt các cổng không sử dụng
• Loại bỏ các quyền ứng dụng không cần thiết
• Giới hạn các đặc quyền quản trị

Các hệ thống và ứng dụng CNTT cũng hoạt động tốt hơn khi bạn tắt các dịch vụ không cần thiết. 

Ví dụ về Điểm quy chuẩn CIS

Ví dụ: quản trị viên có thể thực hiện theo từng bước trong hướng dẫn Điểm quy chuẩn nền tảng AWS của CIS để giúp họ thiết lập chính sách mật khẩu mạnh cho dịch vụ Quản lý danh tính và truy cập trong AWS (IAM). Việc thực thi chính sách mật khẩu, sử dụng xác thực nhiều yếu tố (MFA), tắt quyền root, đảm bảo khóa truy cập được xoay vòng 90 ngày một lần, cùng với những chiến thuật khác là các hướng dẫn về danh tính riêng biệt nhưng có liên quan với nhau để cải thiện tính bảo mật của tài khoản AWS.

Nhờ việc áp dụng Điểm quy chuẩn CIS, tổ chức của bạn có thể thu về một số lợi ích an ninh mạng như sau:

Hướng dẫn an ninh mạng của chuyên gia

Điểm quy chuẩn CIS cung cấp cho các tổ chức khung cấu hình bảo mật đã được chuyên gia kiểm định và chứng minh. Các công ty có thể tránh được tình huống thử nghiệm và gặp lỗi khiến tính bảo mật bị đe dọa, đồng thời hưởng lợi từ kiến thức chuyên môn của cộng đồng CNTT và an ninh mạng đa dạng.

Các tiêu chuẩn bảo mật được công nhận trên toàn cầu

Điểm quy chuẩn CIS là hướng dẫn biện pháp thực hành tốt nhất duy nhất được các chính phủ, doanh nghiệp, viện nghiên cứu, tổ chức học thuật công nhận và chấp nhận trên toàn cầu. Nhờ có một cộng đồng toàn cầu và đa dạng hoạt động theo mô hình đưa ra quyết định dựa trên sự đồng thuận, Điểm quy chuẩn CIS có khả năng ứng dụng và chấp nhận sâu rộng hơn nhiều so với các luật và tiêu chuẩn bảo mật cấp độ khu vực. 

Ngăn chặn mối đe dọa với chi phí tiết kiệm

Tài liệu về Điểm quy chuẩn CIS được cung cấp miễn phí cho tất cả mọi người để tải về và triển khai. Công ty của bạn có thể nhận hướng dẫn miễn phí mới nhất, theo từng bước đối với tất cả các loại hình hệ thống CNTT. Bạn có thể giành được quyền quản trị CNTT cũng như tránh được thiệt hại về tài chính và danh tiếng bắt nguồn từ những mối đe dọa bảo mật mạng có thể ngăn chặn được.

Tuân thủ quy định

Điểm quy chuẩn CIS phù hợp với các khung bảo mật và quyền riêng tư dữ liệu chính, ví dụ:

• Khung an ninh mạng của Viện tiêu chuẩn và công nghệ quốc gia (NIST) 
• Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA)
• Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS)

Việc triển khai Điểm quy chuẩn CIS là một bước tiến lớn để đạt được khả năng tuân thủ đối với các tổ chức hoạt động trong những ngành chịu sự quản lý chặt chẽ. Họ có thể ngăn chặn sự cố về tuân thủ do hệ thống CNTT bị cấu hình sai.

Để giúp các tổ chức đạt được mục tiêu bảo mật duy nhất của mình, CIS chỉ định cấp độ cấu hình cho từng hướng dẫn Điểm quy chuẩn CIS. Mỗi cấu hình CIS bao gồm các đề xuất cung cấp một cấp độ bảo mật khác nhau. Các tổ chức có thể chọn cấu hình dựa trên những nhu cầu về bảo mật và tuân thủ của mình. 

Cấu hình cấp độ 1

Các đề xuất cấu hình dành cho cấu hình Cấp độ 1 là đề xuất bảo mật cơ bản để cấu hình hệ thống CNTT. Bạn có thể dễ dàng thực hiện theo những đề xuất đó mà không tác động đến chức năng kinh doanh hay thời gian hoạt động. Những đề xuất này giảm số lượng điểm truy cập hệ thống CNTT, qua đó giúp bạn giảm rủi ro về an ninh mạng.

Cấu hình cấp độ 2

Các đề xuất cấu hình dành cho cấu hình Cấp độ 2 rất phù hợp với dữ liệu có độ nhạy cảm cao cần ưu tiên bảo mật. Quá trình triển khai những đề xuất này đòi hỏi kiến thức chuyên môn từ chuyên gia và một kế hoạch thấu đáo để đạt được khả năng bảo mật toàn diện mà chỉ bị gián đoạn ở mức tối thiểu. Việc triển khai các đề xuất của cấu hình Cấp độ 2 cũng góp phần đạt được khả năng tuân thủ quy định. 

Cấu hình STIG

Hướng dẫn triển khai kỹ thuật bảo mật (STIG) là một tập hợp các cấu hình mức cơ sở từ Cơ quan hệ thống thông tin quốc phòng (DISA). Bộ Quốc phòng Hoa Kỳ phát hành và duy trì những tiêu chuẩn bảo mật này. STIG được biên soạn riêng để đáp ứng các yêu cầu của chính phủ Hoa Kỳ. 

Điểm quy chuẩn CIS cũng chỉ định cấu hình STIG ở Cấp độ 3 được thiết kế để giúp các tổ chức tuân thủ STIG. Cấu hình STIG chứa đề xuất của cấu hình Cấp độ 1 và Cấp độ 2 dành riêng cho STIG, đồng thời cung cấp thêm nhiều đề xuất mà hai cấu hình còn lại không bao quát nhưng vẫn nằm trong yêu cầu STIG của DISA. 

Khi cấu hình hệ thống theo Điểm quy chuẩn CIS STIG, môi trường CNTT của bạn sẽ tuân thủ cả CIS và STIG.

Mỗi Điểm quy chuẩn CIS bao gồm một mô tả về đề xuất, lý do cho đề xuất đó và hướng dẫn mà quản trị viên hệ thống có thể thực hiện theo để triển khai đề xuất một cách chính xác. Mỗi điểm quy chuẩn có thể bao gồm vài trăm trang vì nó bao quát từng khía cạnh của hệ thống CNTT đích.  

Việc triển khai Điểm quy chuẩn CIS và cập nhật tất cả các phiên bản phát hành sẽ trở nên phức tạp nếu bạn thực hiện theo cách thủ công. Đó là lý do mà nhiều tổ chức sử dụng các công cụ tự động để theo dõi khả năng tuân thủ CIS. CIS cũng cung cấp các công cụ miễn phí và có trả phí mà bạn có thể sử dụng để quét hệ thống CNTT cũng như tạo báo cáo tuân thủ CIS. Những công cụ này sẽ cảnh báo quản trị viên hệ thống nếu cấu hình hiện tại không đáp ứng đề xuất Điểm quy chuẩn CIS.

CIS là đối tác Nhà cung cấp phần mềm độc lập (ISV) của AWS, còn AWS là Công ty thành viên của Điểm quy chuẩn bảo mật CIS. Điểm quy chuẩn CIS bao gồm các hướng dẫn để cấu hình bảo mật một tập con của dịch vụ đám mây AWS và các cài đặt ở cấp độ tài khoản. 

Ví dụ: CIS phác thảo các cài đặt cấu hình phương pháp tốt nhất cho AWS trong Điểm quy chuẩn CIS, ví dụ:

• Điểm quy chuẩn nền tảng AWS của CIS
• Điểm quy chuẩn Amazon Linux 2 của CIS
• Điểm quy chuẩn Dịch vụ Kubernetes linh hoạt (EKS) Amazon của CIS 
• Điểm quy chuẩn Điện toán người dùng cuối của AWS

Bạn cũng có thể truy cập các hình ảnh Đám mây điện toán linh hoạt (EC2) của Amazon được CIS tăng cường bảo mật trong Chợ điện tử AWS để có thể tự tin rằng các hình ảnh Amazon EC2 của bạn đáp ứng Điểm quy chuẩn CIS.

Tương tự, bạn có thể tự động hóa công tác kiểm tra để đảm bảo rằng bản triển khai AWS đáp ứng những đề xuất được đặt ra trong tiêu chuẩn Điểm quy chuẩn nền tảng AWS của CIS. Trung tâm bảo mật AWS hỗ trợ tiêu chuẩn Điểm quy chuẩn nền tảng AWS của CIS, bao gồm 43 biện pháp kiểm soát và 32 yêu cầu về Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) trên khắp 14 dịch vụ AWS. Sau khi được bật, Trung tâm bảo mật AWS lập tức bắt đầu chạy kiểm tra bảo mật liên tục và tự động đối với từng biện pháp kiểm soát và mỗi tài nguyên liên quan được liên kết với biện pháp kiểm soát đó.

Đảm bảo cơ sở hạ tầng đám mây của bạn tuân thủ CIS và bắt đầu sử dụng AWS bằng cách tạo tài khoản AWS miễn phí ngay hôm nay.