CIS 基准安全强化评估
CIS 基准是安全配置强化的黄金标准,被 PCI DSS、FedRAMP、HIPAA 以及几乎所有主要安全框架所引用。 KENSAI 在整个基础设施(从 Windows 服务器到 Kubernetes 集群)中自动进行 CIS 基准评估,并确定首先要修复的内容的优先级。
运行 CIS 评估 → 请参阅 CIS 仪表板什么是 CIS 基准?
互联网安全中心 (CIS) 发布了与全球网络安全专家达成共识后制定的与供应商无关的安全配置指南。 CIS 基准涵盖 100 多种技术,并定义了可减少攻击面的具体、可测试的配置建议。
CIS 基准分为两个实施级别:
- 1 级:对运营影响最小的基本安全配置。这些是每个组织都应该实施的“必须做”的设置。未通过 1 级检查意味着尚未应用基本强化。
- 2 级:针对高安全环境的更全面的安全设置。某些 2 级建议可能会影响功能或需要更改工作流程。推荐用于敏感或受监管的系统。
💡 CIS 控制与 CIS 基准:CIS 控制(以前称为关键安全控制)是高级最佳实践 —什么去做。 CIS 基准是规范性配置指南 —如何针对特定技术进行此操作。两者是互补的。 KENSAI 支持针对两者进行评估。
主要 CIS 基准覆盖范围
帐户策略、审核策略、用户权限分配、安全选项、Windows 防火墙、高级审核策略 — 300 多项单独检查。
文件系统配置、软件更新、特殊用途服务、网络配置、日志记录、访问控制、系统维护 — 每个发行版进行 250 多项检查。
API 服务器配置、控制器管理器、调度程序、etcd、工作节点、RBAC 策略、网络策略——对于云原生安全至关重要。
主机配置、守护程序配置、Docker 守护程序文件、容器映像、容器运行时 — 保护整个容器堆栈。
IAM 配置、日志记录和监控、网络、存储——每个云部署都应该通过的特定于云的基准。
服务器配置、SSL/TLS 设置、HTTP 标头、访问控制、日志记录 — 显着减少 Web 服务器的攻击面。
身份验证、访问控制、审核、网络配置、加密 — 保护您最有价值的数据资产。
CIS 基准分数:什么是好的
新加入组织的平均 CIS 1 级合规分数
行业平均水平——基础硬化仍有很大改进空间
| CIS 分数范围 | 成熟度水平 | 典型状态 |
|---|---|---|
| 90–100% | 出色的 | 成熟的硬化方案,持续监控 |
| 75–89% | 好的 | 积极的强化工作,一些技术债务 |
| 50–74% | 公平的 | 即席强化、配置管理不一致 |
| <50% | 贫穷的 | 默认配置普遍存在,攻击面很大 |
CIS 基准和监管合规性
CIS 基准几乎被所有主要合规框架引用或接受:
| 框架 | CIS 基准参考 |
|---|---|
| PCI DSS v4.0 | 要求 2.2:应用行业认可的强化标准(CIS 已明确列出) |
| 美联储RAMP | CM-6:所有组件均需要 USGCB 或 CIS 基准 |
| 健康保险流通与责任法案 | 技术保障——CIS基准满足配置管理要求 |
| SOC 2 | CC6.1:逻辑访问控制——CIS强化是有力的证据 |
| ISO 27001:2022 | 附件 A 8.9:配置管理 — CIS 基准被接受实施 |
| 美国国家标准技术研究所脑脊液 | PR.IP-1:基准配置 - CIS 基准是标准 |
常见的 CIS 基准测试失败
- 未强制执行密码策略:最大期限、复杂性和锁定设置保留默认值
- 运行不必要的服务:不需要时启用 FTP、Telnet、rsh、NFS
- 禁用审核日志记录:系统事件、登录事件和权限使用不被记录
- 世界可写文件:具有过多权限的文件允许任何用户修改关键系统文件
- 默认帐户处于活动状态:来宾帐户、默认数据库用户未禁用
- 过时的 TLS 配置:TLS 1.0/1.1 和弱密码套件仍然启用
- 缺少安全标头:HSTS、X-Frame-Options、CSP 未在 Web 服务器上配置
- 以 root 身份运行的容器:以 root 权限执行 Docker 容器
- Kubernetes RBAC 过于宽松:默认服务帐户权限不受限制
- 云存储公共访问:S3/GCS 存储桶缺少阻止公共访问设置
KENSAI 如何提供 CIS 基准评估
✓ 100+技术覆盖
根据当前 CIS 基准评估 Windows、Linux、macOS、主要数据库、Web 服务器、Kubernetes、Docker 以及所有三个主要云平台。
✓ 无代理和基于代理
基于网络的CIS评估,无需部署坐席即可快速覆盖。基于代理进行更深入的操作系统和应用程序级别检查。
✓ 优先修复
并非所有 CIS 失败都是一样的。 KENSAI 根据可利用性、监管影响和补救措施对调查结果进行优先排序,以最大限度地提高安全投资回报率。
✓ 基线漂移检测
当系统偏离其硬化基线时发出警报 - 对于检测未经授权的配置更改或未经硬化部署的新系统至关重要。
✓ CIS 分数趋势
随着时间的推移跟踪您的 CIS 合规性分数。向审核员展示持续改进并展示强化计划的价值。
✓ 合规性映射
每项 CIS 发现都映射到引用它的合规性框架 - 一项评估同时为 PCI DSS、FedRAMP、SOC 2 等提供证据。
CIS 强化入门
- 评估当前状态:运行 KENSAI 的 CIS 评估来建立您的基线分数并确定影响最大的差距
- 按风险划分优先级:首先关注 1 级故障,尤其是面向互联网和数据承载的系统
- 系统地修复:使用基础设施即代码(Ansible、Chef、Puppet、Terraform)大规模应用强化
- 验证更改:修复后重新扫描以确认配置生效
- 实施漂移检测:监视恢复强化的配置更改
- 定期重复:新系统、新基准和系统变化需要持续评估
了解整个基础设施的 CIS 基准分数
KENSAI 根据当前 CIS 基准扫描您的服务器、容器、云帐户和数据库,为您提供单一分数、优先结果以及合规计划所需的补救证据。
运行 CIS 评估 → 与硬化专家交谈