CIS基準：DevOps硬化雲端的指南

2024.03.21

DevOps與雲計算已變得密不可分。但是，雲計算最初主要是作為開發/測試環境而開始的——沒有嚴格的安全性和可用性要求——它已經發展成為運行生產工作負載的成熟平台。此外，像SolarWinds和Kaseya這樣的供應鏈攻擊教會了我們所有人，開發環境也必須是安全的。

如今，要實踐DevOps，你需要雲計算，而為了避免災難，你必須確保其安全性。互聯網安全中心（CIS）是一個研究機構，開發了一系列“基準”，本質上是保障計算系統配置安全的指南。所有主要的公共雲都有CIS基準。

每位DevOps專業人員都必須熟悉這些基準，並確保他們至少在開發、測試和生產環境中應用這些基準的基本建議。

CIS基準是什麼？

CIS基準包含了可以幫助確保系統配置安全的最佳實踐。CIS基準是透過一個獨特的共識基礎流程創建的，該流程包括來自世界各地的網絡安全專業人員和主題專家。

由來自學術界和政府、私人社區成員、各種企業和相關行業的專家組成的多樣化志願者池創建了它們。

這個流程是如何運作的？

最初的基準開發流程定義了基準的範圍，並導致了討論。
接下來，志願者創建和測試工作草案的過程。
CIS WorkBench社區網站允許貢獻者建立討論串以繼續對話，直到對提議的建議和工作草案達成共識。
一旦所有合作者達成共識，他們就會發布最終的基準並在線上發布。
目前有超過100個CIS基準，涵蓋了25多個廠商產品家族。您可以免費以PDF格式下載這些基準。

每個CIS基準包含分為兩個級別的配置建議：

第一級涵蓋基本配置，這些配置更容易實施，對業務功能的影響最小。
第二級旨在於高安全環境中使用。這一級別的建議需要更多的協調和規劃，以最小的業務中斷實施。

適用於雲環境的CIS基準類別

操作系統加固—覆蓋核心操作系統如Microsoft Windows、Linux和Apple OS X的安全配置。這包括限制本地和遠程訪問、用戶配置文件、驅動程序安裝協議和配置互聯網瀏覽器的最佳實踐指南。
伺服器軟體—涵蓋流行伺服器軟體如Microsoft Windows Server、SQL Server、VMware、Docker和Kubernetes的安全配置。這些基準包括配置Kubernetes PKI證書、API伺服器設置、伺服器管理控制、vNetwork政策和存儲限制的建議。
雲提供商安全性—支持安全配置Amazon Web Services (AWS)、Microsoft Azure、Google、IBM和其他公共雲。它包括關於配置身份和訪問管理（IAM）、系統日誌協議、網絡配置、合規管理、保護自動擴展等的指導。
移動設備—涵蓋移動操作系統如iOS和Android，並專注於開發者選項和設置、操作系統隱私配置、瀏覽器設置、應用許可權等。

使用CIS基準加固雲安全

雲服務提供商（CSPs）已改變了各種規模的組織設計和部署其IT環境的方式。然而，使用雲技術也引入了新的風險。CIS基準為組織提供指導，以建立政策、規劃和管理安全的雲環境。

CIS針對所有主要公共雲環境發布了基礎基準，包括AWS、Azure、Google Cloud Platform、Oracle Cloud Infrastructure、IBM Cloud和Alibaba Cloud。

用戶包括系統和應用管理員、安全專業人員、審計員、幫助台和DevOps人員，他們希望開發、部署、評估或保護雲解決方案或平台。

CIS基礎基準是針對特定CSPs量身定制的，但文件內容都有共同特點。每個基準至少提供有關身份和訪問管理（IAM）、日誌記錄、監控和網絡的規範指導。

獲取CIS基準

您可以點擊此處免費下載AWS CIS基準。CIS網站提供了一個簡單的途徑來訪問所有其他基準，您可以以PDF格式下載。

來自所有雲CIS基準的通用建議

創建符合行業最佳實踐的安全雲工作負載，保存您已測試且符合標準的映像並監控它們以避免篡改。
通過工具啟用雲控制平面日誌記錄，如AWS CloudTrail或Google Cloud Operations Suite。跟踪您的雲服務帳戶中進行的所有API調用。
為您的工作負載配置並啟用雲原生監控和警報工具。
為所有雲管理界面啟用強身份驗證，包括網頁門戶和命令行。
為各種雲操作角色實施最小權限的身份策略。
為雲存儲服務啟用加密和其他數據保護措施。
保護雲原生網絡訪問以最小化訪問，並確保監控所有網絡活動。
考慮配置偏移
CIS基準很棒。但是，它們不夠。嘗試手動配置公共雲基準的每一項（通常涵蓋數百頁）對於即使是最有經驗的DevOps專業人員來說也是不可行的。然而，有一些自動化工具，一些是免費和開源的，一些是商業解決方案的一部分，可以自動根據基準配置您的雲。