Aliyun Linux 2(注1) CIS benchmark在2019年8月16日正式通過了CIS組織的全部認證流程對外釋出,詳情參見: https://workbench.cisecurity.org/benchmarks/2228
。
關于Aliyun Linux 2的介紹可以參見:
https://www.aliyun.com/product/alinux 是以在這裡給大家介紹一下整個認證的一些詳細資訊。首先介紹一下CIS認證
CIS全名Center for Internet Security,是一個美國的第三方安全組織,他們緻力于采用線上社群的模式與大公司、政府機構、學術機構一起打造優秀的安全實踐解決方案(各種benchmarks),詳情可以參見維奇百科(注2)。目前各個公司釋出的Linux作業系統大多都已經提供CIS benchmark和CIS Hardened image,包括CentOS、Ubuntu、Windows等,詳情可以參見CIS網站(注3)。目前釋出CIS benchmark已經成為很多阿裡雲客戶對于OS安全的重要評判依據之一。
Aliyun Linux 2 CIS benchmark釋出流程
從2019年3月收到需求到2019年8月完成最終的認證,總共耗時6個月,詳細流程如下:
Aliyun Linux 2 CIS benchmark詳細資訊
關于Aliyun Linux 2 CIS benchmark的詳細内容可以通過CIS官網下載下傳(注4)。
Aliyun Linux 2 CIS Benchmark中主要分為了八大類:Profile Applicability,Description,Rationale,Audit,Remediation,Impact,References和CIS Controls。
- Profile Applicability:其分為了Level 1和Level 2。Level 1是說明此加強條目是基礎項加強且基本不會帶來較大的性能影響,Level 2是說明此條目是安全性較重的、且如果管理者設定有稍偏差可能會帶來很大的性能開銷。
- Decription:加強條目的簡單介紹。
- Rationale:用于描述條目的細節和背景,告訴讀者這麼加強的意義和原因。
- Audit:關鍵項,用于判斷檢測系統是否達标的腳本。根據此腳本的運作傳回值來判斷是否需要加強。
- Remediation:關鍵項,如果Audit環節判斷系統需要進行加強,那此環節就是執行腳本進行安全處理。
- Impact:影響,主要來描述如果不進行正确配置可能會導緻的影響。
- References:參考文獻。
- CIS Controls:此條目對應的CIS control文檔的講解,需要注冊後才能下載下傳。
每一個條目分為了Scored和Not Scored兩類:
- Scored:意味着此條目會納入計分項,如果驗證系統是安全的,則加分,如果不安全,則減分。
- Not Scored:意味着無論是否安全,都不納入計分項,也就是說不增減分。
簡單以1.1.2章節為例列舉一下:
由于内容較多就不一一列舉,詳情可以參見附件或者CIS網站
Aliyun Linux 2 CIS benchmark使用
那麼使用者肯定會問如何使用Aliyun Linux 2的CIS benchmark呢?
首先使用者在準備使用Aliyun Linux 2 CIS benchmark的時候需要問自己兩個問題:
- 我使用Aliyun Linux 2 CIS benchmark是為了滿足什麼需求?
- 我的專業能力能否支援我完成我的鏡像的Aliyun Linux 2 CIS benchmark改造?
第一個問題主要是因為該benchmark裡面包含的内容非常多,如果所有項都進行改造來滿足了可能會反而适得其反,是以需要使用者分析清楚自己的真實安全需求再參考該benchmark進行改造。
第二個問題主要是因為該benchmark涉及到Linux作業系統的方方面面,如果沒有非常專業的作業系統能力,可能在實施過程中出現各種各樣的問題,比如性能惡化、功能丢失等。
是以如果有使用該benchmark訴求的業務,可以按照如下建議實施:
- 如果有充足的作業系統專業能力,那麼可以直接參考附件中的benchmark按照自己的需求進行配置;
- 如果沒有充足的作業系統運維能力,那麼可以尋求作業系統團隊(工單或者釘釘(注5)聯系)的支援,後續作業系統團隊也會釋出自動化修複工具(可能無法覆寫所有修複項)來簡化實施難度;
- 如果有客戶隻是需要一個配置了CIS benchmark的OS來使用,不需要考慮其他,那麼可以直接使用CIS釋出的Aliyun Linux 2的加強鏡像(需要額外收費,目前還在制作中)。
備注:
注1:Aliyun Linux 2即現在的Alibaba Cloud Linux 2,隻是名稱發生了改變,内容沒有任何變更,部分介紹可以參見:
https://yq.aliyun.com/articles/719814注2:CIS維奇百科,網址:
https://en.wikipedia.org/wiki/Center_for_Internet_Security注3:CIS網站,網址:
https://workbench.cisecurity.org/files?q=linux&tags=注4:CIS官網下載下傳,網址:
https://workbench.cisecurity.org/files/2449注5:作業系統團隊釘釘,群号:Alibaba Cloud Linux OS 開發者&使用者群;群二維碼: