CIS 基準(zhǔn)包含來自 Internet 安全中心 (CIS) 關(guān)于配置 IT 系統(tǒng)、網(wǎng)絡(luò)和軟件的最佳實踐的指南。在全球社區(qū)的網(wǎng)絡(luò)安全專業(yè)人士和主題專家的支持下，獨聯(lián)體發(fā)布了 140 多個基準(zhǔn)。

CIS 基準(zhǔn)的類別

獨聯(lián)體基準(zhǔn)分為七組，包括：

• 操作系統(tǒng)基準(zhǔn)：這些基準(zhǔn)描述了如何安全地配置 Microsoft Windows、Linux、Apple OSX 和其他操作系統(tǒng)。指導(dǎo)包括訪問管理、驅(qū)動程序安裝、瀏覽器配置和其他具有安全影響的設(shè)置。
• 服務(wù)器軟件基準(zhǔn)：這些基準(zhǔn)涵蓋 Microsoft Windows Server、Kubernetes、SQL Server 和其他服務(wù)器軟件的安全配置。Kubernetes PKI 證書、API 服務(wù)器設(shè)置和服務(wù)器管理控制是涵蓋的一些主題。
• 云提供商基準(zhǔn)：這些基準(zhǔn)概述了配置公共云（如 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform）的安全最佳實踐。主題包括身份和訪問管理、日志記錄、法規(guī)遵從性和網(wǎng)絡(luò)。
• 移動設(shè)備基準(zhǔn)：這些基準(zhǔn)討論移動設(shè)備配置。一些最佳實踐包括開發(fā)人員設(shè)置、應(yīng)用權(quán)限和操作系統(tǒng)隱私配置。
• 網(wǎng)絡(luò)設(shè)備基準(zhǔn)：這些基準(zhǔn)描述了如何安全地配置網(wǎng)絡(luò)設(shè)備。指南與供應(yīng)商無關(guān)，并且普遍適用于不同供應(yīng)商的系統(tǒng)。
• 桌面軟件基準(zhǔn)：這些基準(zhǔn)概述了廣泛使用的應(yīng)用程序（如 Microsoft Office 和常見瀏覽器）的安全最佳實踐。主題包括電子郵件隱私、瀏覽器設(shè)置和移動設(shè)備管理(MDM)。
• 多功能打印設(shè)備基準(zhǔn)：這些基準(zhǔn)描述了配置和保護(hù)多功能打印機(jī)的最佳實踐，例如固件更新管理、無線網(wǎng)絡(luò)訪問配置等。

Kubernetes CIS 基準(zhǔn)測試

圍繞 K8s 的討論絲毫沒有減弱的跡象，盡管 Kubernetes 是一個出色的容器和微服務(wù)平臺，但其整體安全性一直存在疑問，尤其是在早期。自 2017 年以來，CIS 一直致力于保護(hù) Kubernetes，而互聯(lián)網(wǎng)安全中心基準(zhǔn)測試已經(jīng)是 1.23 版。

Kubernetes CIS 基準(zhǔn)與其他 CIS 基準(zhǔn)一樣，提供針對 Kubernetes 及其容器的獨特需求量身定制的安全狀態(tài)管理最佳實踐。Kubernetes 的 CIS 基準(zhǔn)提供了廣泛的安全指導(dǎo)，分為兩個領(lǐng)域：主節(jié)點安全配置——涵蓋調(diào)度程序、控制器管理器、配置文件、etcd 和 PodSecurityPolicies——以及工作節(jié)點安全配置——針對 Kubelet 和配置文件。

防火墻 CIS 基準(zhǔn)

CIS 基準(zhǔn)是一系列 IT 系統(tǒng)和產(chǎn)品（包括防火墻）的最佳實踐網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。防火墻基準(zhǔn)提供了一個基線配置，以確保符合由 CIS 與行業(yè)和研究機(jī)構(gòu)內(nèi)的網(wǎng)絡(luò)安全專家社區(qū)共同開發(fā)的行業(yè)認(rèn)可的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。系統(tǒng)和應(yīng)用程序管理員、安全專家、審計員、幫助臺和平臺部署人員可以使用該基準(zhǔn)來開發(fā)、部署、評估或保護(hù)他們的安全基礎(chǔ)設(shè)施。

獨聯(lián)體基準(zhǔn)的好處

CIS 基準(zhǔn)為組織提供了許多好處，包括：

• 收集的知識和專業(yè)知識：CIS 基準(zhǔn)是在網(wǎng)絡(luò)安全和 IT 社區(qū)的投入下開發(fā)的，提供了他們所有專業(yè)知識的好處。
• 改進(jìn)的安全性：CIS 基準(zhǔn)概述了目標(biāo)系統(tǒng)的安全最佳實踐，如果實施，可以幫助關(guān)閉漏洞并限制組織的攻擊漏洞。
• 最新指南：CIS 基準(zhǔn)會定期更新，確保其分步說明隨著解決方案的變化和發(fā)展而保持相關(guān)性。
• 一致的安全性：CIS 基準(zhǔn)描述了保護(hù)各種技術(shù)的最佳實踐，使組織能夠在其基礎(chǔ)設(shè)施中實現(xiàn)安全成熟度。
• 易于使用：CIS 基準(zhǔn)測試旨在實現(xiàn)，使部署推薦的配置和控制變得簡單。

獨聯(lián)體基準(zhǔn)和監(jiān)管合規(guī)

公司必須實現(xiàn)、保持和證明對越來越多的法規(guī)的遵守。隨著監(jiān)管環(huán)境變得越來越復(fù)雜，組織可能難以確保其符合所有適用要求?；ヂ?lián)網(wǎng)安全基準(zhǔn)中心旨在通過概述符合和遵守主要法規(guī)的最佳實踐來幫助合規(guī)工作。例如，CIS 基準(zhǔn)與 NIST 網(wǎng)絡(luò)安全框架、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) ( PCI DSS )、健康保險可移植性和可訪問性法案 ( HIPAA ) 和 ISO 27001 密切相關(guān)。

除了提供有關(guān)最佳實踐的指導(dǎo)外，互聯(lián)網(wǎng)安全中心還提供 CIS 控制和 CIS 強化映像，它們是安全配置系統(tǒng)的預(yù)配置映像。這些資源還可以通過為組織提供對旨在符合適用法規(guī)的系統(tǒng)的訪問權(quán)限來簡化合規(guī)流程。

如何實現(xiàn) CIS 合規(guī)性

組織可以通過實施 CIS 基準(zhǔn)中概述的最佳實踐來實現(xiàn) CIS 合規(guī)性。這些資源可免費獲得，并包含用于保護(hù)一系列系統(tǒng)的分步指南?；蛘?，組織可以部署 CIS 強化映像，其中包含配置為符合 CIS 要求的不同操作系統(tǒng)的預(yù)構(gòu)建版本。

然而，雖然手動實現(xiàn)對 CIS 基準(zhǔn)的合規(guī)性是可能的，但很難大規(guī)模實現(xiàn)。合規(guī)性管理軟件可以通過識別和突出不合規(guī)配置以進(jìn)行補救，從而幫助組織實現(xiàn)并保持對 CIS 基準(zhǔn)的合規(guī)性。

獨聯(lián)體基準(zhǔn)和檢查點

為組織的所有 IT 資產(chǎn)維護(hù)法規(guī)遵從性和系統(tǒng)安全性可能很困難，尤其是當(dāng)企業(yè)基礎(chǔ)架構(gòu)擴(kuò)展到云時。多云環(huán)境具有有限的可見性和不熟悉的配置設(shè)置，是數(shù)據(jù)泄露和安全事件的常見原因。