CIS 基准由全球网络安全专业人员社区开发,是用于安全配置 IT 系统、软件、网络和云基础架构的最佳实践。
CIS 基准是用于安全配置 IT 系统、软件、网络和云基础架构的最佳实践集合。
CIS 基准由互联网安全中心 (CIS) 发布。 截至本文撰写之时,共有 140 多个 CIS 基准,涵盖七个核心技术类别。 CIS 基准的开发流程独具特色、基于共识,涉及世界各地的网络安全专业人员和主题专家社区,他们都致力于在各自关注的领域内不断识别、完善和验证安全最佳实践。
每个 CIS 基准都包括基于两个配置文件级别之一的多个配置建议。 一级基准概要文件涵盖更易于实施且对业务功能影响最小的基本配置。 二级基准概要文件适用于高度安全的环境,实施时需要更多的协调和规划,并且出现业务中断的可能性最小。
CIS 基准有七 (7) 个核心类别
- 操作系统基准涵盖核心操作系统的安全配置,如 Microsoft Windows、Linux 和 Apple OSX。 其中包括有关本地和远程访问限制、用户档案、驱动程序安装协议和 Internet 浏览器配置的最佳实践指南。
- 服务器软件基准涵盖广泛使用的服务器软件的安全配置,包括 Microsoft Windows Server、SQL Server、VMware、Docker 和 Kubernetes。 这些基准包括有关配置 Kubernetes PKI 证书、API 服务器设置、服务器管理控制、vNetwork 策略和存储限制的建议。
- 云提供商基准为 Amazon Web Services (AWS)、Microsoft Azure、Google、IBM 和其他受欢迎的公有云提供安全配置。 其中包括配置身份和访问管理 (IAM)、系统日志记录协议、网络配置和合规性保护的准则。
- 移动设备基准解决移动操作系统(包括 iOS 和 Android)的问题,关注开发人员选项和设置、操作系统隐私配置、浏览器设置和应用权限等领域。
- 网络设备基准为 Cisco、Palo Alto Networks、Juniper 等公司的网络设备和适用硬件提供一般及特定于供应商的安全配置指南。
- 桌面软件基准涵盖一些最常用的桌面软件应用的安全配置,包括 Microsoft Office 和 Exchange Server、Google Chrome、Mozilla Firefox 和 Safari 浏览器。 这些基准侧重于电子邮件隐私和服务器设置、移动设备管理、默认浏览器设置和第三方软件拦截。
- 多功能打印设备基准概述在办公室环境中配置多功能打印机的安全最佳实践,涵盖固件更新、TCP/IP 配置、无线访问配置、用户管理和文件共享等主题。
CIS 基准与安全和数据隐私监管框架保持一致或一一“对应”,包括 NIST(美国国家标准技术研究院)网络安全框架、PCI DSS(支付卡行业数据安全标准)(PCI DSS)、HIPAA(健康保险可移植性和责任法案)以及 ISO/EIC 2700。 因此,在受这些类型法规约束的行业中运营的任何组织都可以通过遵循 CIS 基准,在合规性方面取得重大进展。 此外,CIS 控制措施和 CIS 强化映像有助于组织遵守 GDPR(欧盟的《通用数据保护条例》)。
虽然企业始终可以自由做出安全配置选择,但 CIS 基准可提供:
- 来自全球 IT 和网络安全专业人员社区的专业知识
- 定期更新的分步指南,用于保护 IT 基础架构的各个区域
- 一致的合规性管理
- 用于安全采用新型云服务和执行数字化转型策略的灵活模板
- 易于部署的配置,可提高运营效率和可持续性。