天天看點
傳回

Aliyun Linux 2 CIS benchmark正式釋出首先介紹一下CIS認證Aliyun Linux 2 CIS benchmark釋出流程Aliyun Linux 2 CIS benchmark詳細資訊Aliyun Linux 2 CIS benchmark使用

Aliyun Linux 2(注1) CIS benchmark在2019年8月16日正式通過了CIS組織的全部認證流程對外釋出,詳情參見: https://workbench.cisecurity.org/benchmarks/2228

關于Aliyun Linux 2的介紹可以參見:

https://www.aliyun.com/product/alinux 是以在這裡給大家介紹一下整個認證的一些詳細資訊。

首先介紹一下CIS認證

CIS全名Center for Internet Security,是一個美國的第三方安全組織,他們緻力于采用線上社群的模式與大公司、政府機構、學術機構一起打造優秀的安全實踐解決方案(各種benchmarks),詳情可以參見維奇百科(注2)。目前各個公司釋出的Linux作業系統大多都已經提供CIS benchmark和CIS Hardened image,包括CentOS、Ubuntu、Windows等,詳情可以參見CIS網站(注3)。目前釋出CIS benchmark已經成為很多阿裡雲客戶對于OS安全的重要評判依據之一。

Aliyun Linux 2 CIS benchmark釋出流程

從2019年3月收到需求到2019年8月完成最終的認證,總共耗時6個月,詳細流程如下:

Aliyun Linux 2 CIS benchmark正式釋出首先介紹一下CIS認證Aliyun Linux 2 CIS benchmark釋出流程Aliyun Linux 2 CIS benchmark詳細資訊Aliyun Linux 2 CIS benchmark使用

Aliyun Linux 2 CIS benchmark詳細資訊

關于Aliyun Linux 2 CIS benchmark的詳細内容可以通過CIS官網下載下傳(注4)。

Aliyun Linux 2 CIS Benchmark中主要分為了八大類:Profile Applicability,Description,Rationale,Audit,Remediation,Impact,References和CIS Controls。

  • Profile Applicability:其分為了Level 1和Level 2。Level 1是說明此加強條目是基礎項加強且基本不會帶來較大的性能影響,Level 2是說明此條目是安全性較重的、且如果管理者設定有稍偏差可能會帶來很大的性能開銷。
  • Decription:加強條目的簡單介紹。
  • Rationale:用于描述條目的細節和背景,告訴讀者這麼加強的意義和原因。
  • Audit:關鍵項,用于判斷檢測系統是否達标的腳本。根據此腳本的運作傳回值來判斷是否需要加強。
  • Remediation:關鍵項,如果Audit環節判斷系統需要進行加強,那此環節就是執行腳本進行安全處理。
  • Impact:影響,主要來描述如果不進行正确配置可能會導緻的影響。
  • References:參考文獻。
  • CIS Controls:此條目對應的CIS control文檔的講解,需要注冊後才能下載下傳。

每一個條目分為了Scored和Not Scored兩類:

  • Scored:意味着此條目會納入計分項,如果驗證系統是安全的,則加分,如果不安全,則減分。
  • Not Scored:意味着無論是否安全,都不納入計分項,也就是說不增減分。

簡單以1.1.2章節為例列舉一下:

Aliyun Linux 2 CIS benchmark正式釋出首先介紹一下CIS認證Aliyun Linux 2 CIS benchmark釋出流程Aliyun Linux 2 CIS benchmark詳細資訊Aliyun Linux 2 CIS benchmark使用

由于内容較多就不一一列舉,詳情可以參見附件或者CIS網站

Aliyun Linux 2 CIS benchmark使用

那麼使用者肯定會問如何使用Aliyun Linux 2的CIS benchmark呢?

首先使用者在準備使用Aliyun Linux 2 CIS benchmark的時候需要問自己兩個問題:

  1. 我使用Aliyun Linux 2 CIS benchmark是為了滿足什麼需求?
  2. 我的專業能力能否支援我完成我的鏡像的Aliyun Linux 2 CIS benchmark改造?

第一個問題主要是因為該benchmark裡面包含的内容非常多,如果所有項都進行改造來滿足了可能會反而适得其反,是以需要使用者分析清楚自己的真實安全需求再參考該benchmark進行改造。

第二個問題主要是因為該benchmark涉及到Linux作業系統的方方面面,如果沒有非常專業的作業系統能力,可能在實施過程中出現各種各樣的問題,比如性能惡化、功能丢失等。

是以如果有使用該benchmark訴求的業務,可以按照如下建議實施:

  1. 如果有充足的作業系統專業能力,那麼可以直接參考附件中的benchmark按照自己的需求進行配置;
  2. 如果沒有充足的作業系統運維能力,那麼可以尋求作業系統團隊(工單或者釘釘(注5)聯系)的支援,後續作業系統團隊也會釋出自動化修複工具(可能無法覆寫所有修複項)來簡化實施難度;
  3. 如果有客戶隻是需要一個配置了CIS benchmark的OS來使用,不需要考慮其他,那麼可以直接使用CIS釋出的Aliyun Linux 2的加強鏡像(需要額外收費,目前還在制作中)。

備注:

注1:Aliyun Linux 2即現在的Alibaba Cloud Linux 2,隻是名稱發生了改變,内容沒有任何變更,部分介紹可以參見:

https://yq.aliyun.com/articles/719814

注2:CIS維奇百科,網址:

https://en.wikipedia.org/wiki/Center_for_Internet_Security

注3:CIS網站,網址:

https://workbench.cisecurity.org/files?q=linux&tags=

注4:CIS官網下載下傳,網址:

https://workbench.cisecurity.org/files/2449

注5:作業系統團隊釘釘,群号:Alibaba Cloud Linux OS 開發者&使用者群;群二維碼:

Aliyun Linux 2 CIS benchmark正式釋出首先介紹一下CIS認證Aliyun Linux 2 CIS benchmark釋出流程Aliyun Linux 2 CIS benchmark詳細資訊Aliyun Linux 2 CIS benchmark使用
安全 Linux linux安全 linux問題安全 Linux誤删除 linux線程安全 linux安全錯誤
上一篇: SAP Marketing Cloud功能簡述(四) : 線索和客戶管理Marketing Lead ManagementLead stage(線索階段)Transfer LeadsAccount Based MarketingSpotlighting Accounts - 焦點客戶更多閱讀
下一篇: Spring Boot 2.x基礎教程:建構RESTful API與單元測試

繼續閱讀