Internet 安全中心 (CIS) 基准
关于 CIS 基准
Internet 安全中心是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网络防御的最佳做法解决方案”。 它借鉴了来自世界各地政府、企业和学术界网络安全及 IT 专业人员的专业知识。 为了制定标准和最佳做法(包括 CIS 基准、控制措施和强化映像),他们遵循一致的决策制定模型。
CIS 基准是安全配置系统的配置基线和最佳做法。 每则指导建议都参考了一个或多个 CIS 控制措施,可帮助组织改进其网络防御能力。 CIS 控制措施与许多已建立的标准和规章框架对应,包括 NIST 网络安全框架 (CSF) 和 NIST SP 800-53、ISO 27000 系列标准、PCI DSS、HIPAA 等等。
每个基准都经历了两个阶段的共识评审。 第一个阶段属于初始开发过程,专家聚集在一起,讨论、创建和测试工作草案,直到就基准达成一致。 在第二阶段中,在发布基准后,共识团队将审核 Internet 社区中的反馈,以纳入基准中。
CIS 基准提供两个级别的安全设置:
- “级别 1”推荐可在任何系统上配置的基本安全要求,这些要求应很少或不会导致服务中断或功能降低。
- “级别 2”推荐需要更高安全性的环境安全设置,这些设置可能会导致功能降低。
CIS 强化映像是安全配置的虚拟机映像,基于强化到级别 1 或级别 2 CIS 基准配置文件的 CI 基准测试进行配置。 强化是一种通过限制使系统易受网络攻击的潜在漏洞,帮助防止未经授权的访问、拒绝服务和其他网络威胁的过程。
Microsoft 和 CIS 基准
Internet 安全中心 (CIS) 已发布适用于 Microsoft 产品和服务的基准,其中包括 Microsoft Azure 和 Microsoft 365 Foundations 基准、Windows 10 基准和 Windows Server 2016 基准。 CIS Microsoft Azure Foundations Benchmark 适用于计划开发、部署、评估或保护包含 Azure 解决方案的客户。 该文档为建立 Azure 的安全基线配置提供了规范性的指导。
CIS 基准是国际公认的保护 IT 系统和数据免受网络攻击的安全标准。 这些标准被成千上万的企业所使用,为建立安全的基准配置提供了说明性指导。 系统和应用程序管理员、安全专家以及使用 Microsoft 产品和服务开发解决方案的其他人员,都可以使用这些最佳做法来评估和提高其应用程序的安全性。
与所有 CIS 基准一样,Microsoft 基准使用一致的审查流程所创建,汇集了具有多样背景知识(包括软件开发、审核和合规性、安全研究、运营、政府和法律)的主题专家的建议。 Microsoft 在这些 CIS 工作中是不可或缺的合作伙伴。 例如,已针对上架服务对 Office 365 进行了测试,生成的 Microsoft 365 Foundation 基准涵盖了一系列关于设置适当安全策略的建议,包括帐户和身份验证、数据管理、应用程序权限、存储和其他安全策略领域。
除了 Microsoft 产品和服务的基准之外,CIS 还发布了Azure 上的 CIS 强化映像,这些映像配置为符合 CIS 基准,可从 Microsoft Azure 商店获取。 这些映像包括用于 Windows Server 2016 和 Windows Server 2019 的 CIS 强化映像,以及许多版本的 Linux。 Azure 市场中提供的所有 CIS 强化映像都经过认证,可在 Microsoft Azure 上运行。 如 CIS 所述,“它们已预先测试了与 Microsoft Azure 公有云、服务提供商通过云 OS 网络托管的 Microsoft 云平台以及客户管理的本地私有云 Windows Server Hyper-V 部署的就绪性和兼容性。
CIS 强化映像是安全配置的虚拟机映像,基于强化到级别 1 或级别 2 CIS 基准配置文件的 CI 基准测试进行配置。 强化是一种通过限制使系统易受网络攻击的潜在漏洞,帮助防止未经授权的访问、拒绝服务和其他网络威胁的过程。 CIS 强化映像适用于 Azure 和 Azure 政府。
为了向客户提供更多的帮助,Microsoft 提供了 Azure 蓝图,这是一项服务,使用可组合项目,如 Azure 资源管理器模板预配资源、基于角色的访问控制和策略,有助于重复部署和更新云环境。 通过 Azure 蓝图预配的资源符合组织的标准、模式和合规性要求。 Azure 蓝图的总体目标是帮助实现云环境中合规性和网络安全风险管理的自动化。 为了帮助你部署任何基于 Azure 体系结构的一组核心策略,必须实施 CIS Azure Foundations 基准建议,Microsoft 发布了 CIS Microsoft Azure FoundationsBenchmark 的 Azure 蓝图。 当分配到体系结构时,Azure 策略会评估资源是否符合分配的策略定义。
Microsoft 范围内的云平台和云服务
- Azure 与 Azure 政府
- Office 和 Microsoft 365
- SQL Server
- Windows 10
- Windows 11
- Windows Server 2016
审核、报告和证书
获取适用于 Microsoft 产品和服务的 CIS 基准的完整列表。
- CIS Azure Foundations 基准
- CIS Microsoft 365 Foundations 基准
- Windows 10 基准
- Windows 11基准
- Windows Server 2016 基准
如何实现
- 适用于 Azure 的 CIS 基准:获取为 Azure 建立安全基线配置的说明性指导。
- Microsoft 365 安全路线图:遵循此路线图,可将数据泄露或泄露帐户的可能性降至最低。
- Windows 安全基线:遵循以下准则,可在组织中有效使用安全基线。
- CIS 控制措施云配套指南:获取有关将 CIS 控制措施版本 7 中的安全最佳做法应用到云环境的指南。
常见问题解答
以下 CIS 基准设置是否会确保应用程序的安全性?
CIS 基准为采用范围内 Microsoft 产品和服务的任何人员建立基本级别的安全性。 但是,不应将其视为所有可能的安全配置和体系结构的详尽列表,而应将其视为起点。 每个组织仍必须评估其具体情况、工作负载和合规性要求,并对其环境进行相应调整。
CIS 基准多久更新一次?
CIS 基准修订版的发布将因开发它的 IT 专业人员的社区以及该基准所支持技术的发布计划而变化。 CIS 会发布月度报告,宣布新的基准和对现有基准的更新。 如需接收这些报告,请免费注册 CIS 工作台,并在个人资料中选中“接收新闻稿”。
谁参与 Microsoft CIS 基准的开发?
CIS 指出,“基准是通过行业专家、技术供应商、公共和专用 CIS 基准社区成员以及 CIS 基准开发团队的大量志愿工作制定的。” 例如,在当前提供的 CIS Microsoft Azure Foundations 基准 v1.0.0 中可找到 Azure 参与者名单。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。
资源
- Azure 合规性文档
- Azure 实现合规性世界
- Microsoft 合规性产品/服务
- Microsoft 信任中心内的合规性
- CIS Microsoft Azure Foundations Benchmark 提供了用于保护 Azure 的步骤清单。
- Microsoft Azure 上的 CIS 强化映像 是 Azure 认证并预配置到 CIS 基准的安全建议。 它们可在 Azure 和 Azure 政府 上使用。
- CIS Microsoft Azure Foundations Benchmark 的 Azure 蓝图有助于客户为必须实施CIS Azure Foundations Benchmark 建议的任何基于 Azure 的体系结构部署一组核心策略。
- Azure 策略建议映射提供有关上述蓝图中包含的策略定义,以及这些策略定义映射到 CIS Microsoft Azure Foundations Benchmark 中的合规性域和控件的方式。 当分配到体系结构时,Azure 策略会评估资源是否符合分配的策略定义。
- CIS 控件云配套指南提供有关将 CIS 控件版本 7 中的安全最佳做法应用到云环境的指南。
- CIS Microsoft 365 Foundations Benchmark 提供了为 Microsoft 365 建立安全基线配置的规范性指导。
- Windows 10 安全策略设置
- Windows 10 企业安全性