CIS 基準包含來自 Internet 安全中心 (CIS) 關于配置 IT 系統、網絡和軟件的最佳實踐的指南。在全球社區的網絡安全專業人士和主題專家的支持下，獨聯體發布了 140 多個基準。

CIS 基準的類別

獨聯體基準分為七組，包括：

• 操作系統基準：這些基準描述了如何安全地配置 Microsoft Windows、Linux、Apple OSX 和其他操作系統。指導包括訪問管理、驅動程序安裝、瀏覽器配置和其他具有安全影響的設置。
• 服務器軟件基準：這些基準涵蓋 Microsoft Windows Server、Kubernetes、SQL Server 和其他服務器軟件的安全配置。Kubernetes PKI 證書、API 服務器設置和服務器管理控制是涵蓋的一些主題。
• 云提供商基準：這些基準概述了配置公共云（如 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform）的安全最佳實踐。主題包括身份和訪問管理、日志記錄、法規遵從性和網絡。
• 移動設備基準：這些基準討論移動設備配置。一些最佳實踐包括開發人員設置、應用權限和操作系統隱私配置。
• 網絡設備基準：這些基準描述了如何安全地配置網絡設備。指南與供應商無關，并且普遍適用于不同供應商的系統。
• 桌面軟件基準：這些基準概述了廣泛使用的應用程序（如 Microsoft Office 和常見瀏覽器）的安全最佳實踐。主題包括電子郵件隱私、瀏覽器設置和移動設備管理(MDM)。
• 多功能打印設備基準：這些基準描述了配置和保護多功能打印機的最佳實踐，例如固件更新管理、無線網絡訪問配置等。

Kubernetes CIS 基準測試

圍繞 K8s 的討論絲毫沒有減弱的跡象，盡管 Kubernetes 是一個出色的容器和微服務平臺，但其整體安全性一直存在疑問，尤其是在早期。自 2017 年以來，CIS 一直致力于保護 Kubernetes，而互聯網安全中心基準測試已經是 1.23 版。

Kubernetes CIS 基準與其他 CIS 基準一樣，提供針對 Kubernetes 及其容器的獨特需求量身定制的安全狀態管理最佳實踐。Kubernetes 的 CIS 基準提供了廣泛的安全指導，分為兩個領域：主節點安全配置——涵蓋調度程序、控制器管理器、配置文件、etcd 和 PodSecurityPolicies——以及工作節點安全配置——針對 Kubelet 和配置文件。

防火墻 CIS 基準

CIS 基準是一系列 IT 系統和產品（包括防火墻）的最佳實踐網絡安全標準。防火墻基準提供了一個基線配置，以確保符合由 CIS 與行業和研究機構內的網絡安全專家社區共同開發的行業認可的網絡安全標準。系統和應用程序管理員、安全專家、審計員、幫助臺和平臺部署人員可以使用該基準來開發、部署、評估或保護他們的安全基礎設施。

獨聯體基準的好處

CIS 基準為組織提供了許多好處，包括：

• 收集的知識和專業知識：CIS 基準是在網絡安全和 IT 社區的投入下開發的，提供了他們所有專業知識的好處。
• 改進的安全性：CIS 基準概述了目標系統的安全最佳實踐，如果實施，可以幫助關閉漏洞并限制組織的攻擊漏洞。
• 最新指南：CIS 基準會定期更新，確保其分步說明隨著解決方案的變化和發展而保持相關性。
• 一致的安全性：CIS 基準描述了保護各種技術的最佳實踐，使組織能夠在其基礎設施中實現安全成熟度。
• 易于使用：CIS 基準測試旨在實現，使部署推薦的配置和控制變得簡單。

獨聯體基準和監管合規

公司必須實現、保持和證明對越來越多的法規的遵守。隨著監管環境變得越來越復雜，組織可能難以確保其符合所有適用要求。互聯網安全基準中心旨在通過概述符合和遵守主要法規的最佳實踐來幫助合規工作。例如，CIS 基準與 NIST 網絡安全框架、支付卡行業數據安全標準 ( PCI DSS )、健康保險可移植性和可訪問性法案 ( HIPAA ) 和 ISO 27001 密切相關。

除了提供有關最佳實踐的指導外，互聯網安全中心還提供 CIS 控制和 CIS 強化映像，它們是安全配置系統的預配置映像。這些資源還可以通過為組織提供對旨在符合適用法規的系統的訪問權限來簡化合規流程。

如何實現 CIS 合規性

組織可以通過實施 CIS 基準中概述的最佳實踐來實現 CIS 合規性。這些資源可免費獲得，并包含用于保護一系列系統的分步指南。或者，組織可以部署 CIS 強化映像，其中包含配置為符合 CIS 要求的不同操作系統的預構建版本。

然而，雖然手動實現對 CIS 基準的合規性是可能的，但很難大規模實現。合規性管理軟件可以通過識別和突出不合規配置以進行補救，從而幫助組織實現并保持對 CIS 基準的合規性。

獨聯體基準和檢查點

為組織的所有 IT 資產維護法規遵從性和系統安全性可能很困難，尤其是當企業基礎架構擴展到云時。多云環境具有有限的可見性和不熟悉的配置設置，是數據泄露和安全事件的常見原因。