什么是CIS基准？

CIS 基准包含来自 Internet 安全中心 (CIS) 关于配置 IT 系统、网络和软件的最佳实践的指南。在全球社区的网络安全专业人士和主题专家的支持下，独联体发布了 140 多个基准。

CIS 基准的类别

独联体基准分为七组，包括：

• 操作系统基准：这些基准描述了如何安全地配置 Microsoft Windows、Linux、Apple OSX 和其他操作系统。指导包括访问管理、驱动程序安装、浏览器配置和其他具有安全影响的设置。
• 服务器软件基准：这些基准涵盖 Microsoft Windows Server、Kubernetes、SQL Server 和其他服务器软件的安全配置。Kubernetes PKI 证书、API 服务器设置和服务器管理控制是涵盖的一些主题。
• 云提供商基准：这些基准概述了配置公共云（如 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform）的安全最佳实践。主题包括身份和访问管理、日志记录、法规遵从性和网络。
• 移动设备基准：这些基准讨论移动设备配置。一些最佳实践包括开发人员设置、应用权限和操作系统隐私配置。
• 网络设备基准：这些基准描述了如何安全地配置网络设备。指南与供应商无关，并且普遍适用于不同供应商的系统。
• 桌面软件基准：这些基准概述了广泛使用的应用程序（如 Microsoft Office 和常见浏览器）的安全最佳实践。主题包括电子邮件隐私、浏览器设置和移动设备管理(MDM)。
• 多功能打印设备基准：这些基准描述了配置和保护多功能打印机的最佳实践，例如固件更新管理、无线网络访问配置等。

Kubernetes CIS 基准测试

围绕 K8s 的讨论丝毫没有减弱的迹象，尽管 Kubernetes 是一个出色的容器和微服务平台，但其整体安全性一直存在疑问，尤其是在早期。自 2017 年以来，CIS 一直致力于保护 Kubernetes，而互联网安全中心基准测试已经是 1.23 版。

Kubernetes CIS 基准与其他 CIS 基准一样，提供针对 Kubernetes 及其容器的独特需求量身定制的安全状态管理最佳实践。Kubernetes 的 CIS 基准提供了广泛的安全指导，分为两个领域：主节点安全配置——涵盖调度程序、控制器管理器、配置文件、etcd 和 PodSecurityPolicies——以及工作节点安全配置——针对 Kubelet 和配置文件。

防火墙 CIS 基准

CIS 基准是一系列 IT 系统和产品（包括防火墙）的最佳实践网络安全标准。防火墙基准提供了一个基线配置，以确保符合由 CIS 与行业和研究机构内的网络安全专家社区共同开发的行业认可的网络安全标准。系统和应用程序管理员、安全专家、审计员、帮助台和平台部署人员可以使用该基准来开发、部署、评估或保护他们的安全基础设施。

独联体基准的好处

CIS 基准为组织提供了许多好处，包括：

• 收集的知识和专业知识：CIS 基准是在网络安全和 IT 社区的投入下开发的，提供了他们所有专业知识的好处。
• 改进的安全性：CIS 基准概述了目标系统的安全最佳实践，如果实施，可以帮助关闭漏洞并限制组织的攻击漏洞。
• 最新指南：CIS 基准会定期更新，确保其分步说明随着解决方案的变化和发展而保持相关性。
• 一致的安全性：CIS 基准描述了保护各种技术的最佳实践，使组织能够在其基础设施中实现安全成熟度。
• 易于使用：CIS 基准测试旨在实现，使部署推荐的配置和控制变得简单。

独联体基准和监管合规

公司必须实现、保持和证明对越来越多的法规的遵守。随着监管环境变得越来越复杂，组织可能难以确保其符合所有适用要求。互联网安全基准中心旨在通过概述符合和遵守主要法规的最佳实践来帮助合规工作。例如，CIS 基准与 NIST 网络安全框架、支付卡行业数据安全标准 ( PCI DSS )、健康保险可移植性和可访问性法案 ( HIPAA ) 和 ISO 27001 密切相关。

除了提供有关最佳实践的指导外，互联网安全中心还提供 CIS 控制和 CIS 强化映像，它们是安全配置系统的预配置映像。这些资源还可以通过为组织提供对旨在符合适用法规的系统的访问权限来简化合规流程。

如何实现 CIS 合规性

组织可以通过实施 CIS 基准中概述的最佳实践来实现 CIS 合规性。这些资源可免费获得，并包含用于保护一系列系统的分步指南。或者，组织可以部署 CIS 强化映像，其中包含配置为符合 CIS 要求的不同操作系统的预构建版本。

然而，虽然手动实现对 CIS 基准的合规性是可能的，但很难大规模实现。合规性管理软件可以通过识别和突出不合规配置以进行补救，从而帮助组织实现并保持对 CIS 基准的合规性。

独联体基准和检查点

为组织的所有 IT 资产维护法规遵从性和系统安全性可能很困难，尤其是当企业基础架构扩展到云时。多云环境具有有限的可见性和不熟悉的配置设置，是数据泄露和安全事件的常见原因。