什麼是 CIS 基準?

來自網際網路安全中心 (CIS) 的 CIS 基準是一組全球公認的共識驅動型最佳實務,可幫助安全從業人員實作和管理他們的網路安全防禦。該指南由全球安全專家社群開發,可幫助組織主動防範新興風險。公司實作 CIS 基準指南以限制其數位資產中以組態為基礎的安全漏洞。

為什麼 CIS 基準很重要?

CIS 基準等工具非常重要,因為它們概述了由安全專業人員和領域專家開發的安全最佳實務,可用於部署超過 25 種不同的供應商產品。這些最佳實務為建立新產品或服務部署計劃或驗證現有部署是否安全提供了一個不錯的起點。

當您實作 CIS 基準時,您可以透過採取以下步驟更好地保護您的舊式系統免受常見和新興風險: 

  • 停用未使用的連接埠
  • 刪除不必要的應用程式權限
  • 限制管理權限

當您停用不必要的服務時,IT 系統和應用程式的效能亦會更佳。 

CIS 基準範例

例如,管理員可以按照 CIS AWS 基準參考指標的逐步指南來幫助他們為 AWS Identity and Access Management (IAM) 設定強密碼政策。密碼政策執行、多重要素驗證 (MFA) 使用、停用根、確保存取金鑰每 90 天輪換一次,以及其他策略,與身分指南不同但具相關性,可用於改善 AWS 帳戶的安全性。

透過採用 CIS 基準,您的組織可以獲得多項網路安全優勢,例如:

專家網路安全指南

CIS 基準為組織提供經過專家審核與驗證的安全組態框架。公司可以避免會危及安全的試錯方案,並從多元化的 IT 和網路安全社群的專業知識中受益。

全球公認的安全標準

CIS 基準是全球唯一獲政府、企業、研究和學術機構等認可和接受的最佳實務指南。幸虧有全球多元化社群一直尋求基於共識的決策模型,CIS 基準才能比區域法律和安全標準具有更廣泛的適用性和可接受性。 

經濟實惠的威脅防護

CIS 基準文件可供任何人免費下載和實作。您的公司可以免費獲得各種 IT 系統的最新逐步指示。您可以實現 IT 管控並避免可預防的網路威脅對財務和聲譽造成損害。

法律合規

CIS 基準與主要的安全和資料隱私權框架保持一致,例如:

  • 國家標準技術研究所 (NIST) 網路安全框架 
  • 健康保險流通與責任法案 (HIPAA)
  • 支付卡產業資料安全標準 (PCI DSS)

對於為在受到嚴格監管的產業中營運的組織實現合規性而言,實作 CIS 基準即是邁出了一大步。它們可以防止由於 IT 系統組態錯誤而導致的合規性失敗。

CIS 基準涵蓋哪些類型的 IT 系統?

CIS 發佈了 100 多個基準,涵蓋逾 25 個供應商產品系列。當您在所有類型的 IT 系統中套用和監控 CIS 基準時,您即建置了一個固有安全的 IT 環境,您可以使用安全解決方案進一步防禦。CIS 基準涵蓋的技術可大致分為以下七類。 

作業系統

作業系統的 CIS 基準可為熱門的作業系統 (包括 Amazon Linux) 提供標準安全組態。這些基準包括以下功能的最佳實務:

  • 作業系統存取控制 
  • 群組政策
  • Web 瀏覽器設定
  • 修補程式管理 

雲端基礎設施和服務

雲端基礎設施的 CIS 基準提供了公司可用來安全設定雲端環境的安全標準,例如 AWS 提供的標準。這些指南包括虛擬網路設定、AWS Identity and Access Management (IAM) 組態、合規和安全控制等方面的最佳實務指南。 

伺服器軟體

伺服器軟體的 CIS 基準可為來自熱門供應商的伺服器設定、伺服器管理控制、儲存設定和伺服器軟體提供組態基準和建議。 

桌面軟體 

CIS 基準涵蓋了組織通常使用的大多數桌面軟體。這些指南包括管理桌面軟體功能的最佳實務,例如:

  • 第三方桌面軟體
  • 瀏覽器設定
  • 存取權限
  • 使用者帳戶
  • 用戶端裝置管理

行動裝置

移動設備的 CIS 基準涵蓋了在行動電話、平板電腦和其他手持裝置上執行的作業系統的安全組態。它們為行動瀏覽器設定、應用程式權限、隱私權設定等提供了建議。 

網路裝置

CIS 基準還為防火牆、路由器、交換器和虛擬私有網路 (VPN) 等網路裝置提供安全組態。它們同時包含與廠商無關和廠商特定的建議,從而可確保安全設定和管理這些網路裝置。 

多功能列印裝置

針對多功能印表機、掃描儀和影印機等網路週邊設備的 CIS 基準涵蓋了安全組態最佳實務,例如檔案共享設定、存取限制和韌體更新。

什麼是 CIS 基準層級?

為了幫助組織實現其獨有的安全目標,CIS 為每個 CIS 基準指南指派了一個設定檔層級。每個 CIS 設定檔都包含提供不同安全層級的建議。組織可以根據其安全性和合規性需求選擇設定檔。 

1 級設定檔

1 級設定檔的組態建議是設定 IT 系統的基本安全建議。它們易於遵循,且不會影響業務功能或正常執行時間。這些建議可減少您 IT 系統的進入點數量,從而降低您的網路安全風險。

2 級設定檔

2 級設定檔組態建議最適用於安全性為首要考慮的高度敏感的資料。實作這些建議需要專業知識和審慎的規劃,以實現全方位安全,並將中斷時間降到最低。實作 2 級設定檔建議也有助於實現法律合規。 

STIG 設定檔

安全技術實作指南 (STIG) 是來自國防資訊系統局 (DISA) 的一組組態基準。美國國防部會發佈並維護這些安全標準。STIG 是專門為滿足美國政府要求而編寫的。 

CIS 基準還指定了 3 級 STIG 設定檔,旨在幫助組織遵循 STIG。STIG 設定檔包含 STIG 特定的 1 級和 2 級設定檔建議,並提供其他兩個設定檔未涵蓋但 DISA 的 STIG 要求的更多建議。 

當您根據 CIS STIG 基準設定系統時,您的 IT 環境將同時符合 CIS 和 STIG。

CIS 基準是如何開發的?

CIS 社群遵循獨特的基於共識的流程,為不同的目標系統開發、核准和維護 CIS 基準。總體而言,CIS 基準的開發流程如下所示:

  1. 社群確定對特定基準的需求。
  2. 他們建立基準的範圍。
  3. 志願者在 CIS WorkBench 社群網站上建立討論執行緒。 
  4. 來自特定 IT 系統的 CIS 社群的專家會花時間檢閱和討論工作草稿。 
  5. 專家會建立、討論和測試他們的建議,直到達成共識。
  6. 他們確定最終基準並將其發佈在 CIS 網站上。
  7. 來自社群的更多志願者加入 CIS 基準討論。
  8. 共識團隊會考慮實作基準的人的意見回饋。
  9. 他們在新版 CIS 基準中進行修訂和更新。

新版 CIS 基準的發佈也取決於相應 IT 系統的變更或升級。

如何實作 CIS 基準?

每個 CIS 基準都包含對建議的描述、建議的原因以及系統管理員可以遵循以正確實作建議的指示。每個基準可以包含數百頁,因為它涵蓋了目標 IT 系統的每個區域。  

如果您手動執行,實作 CIS 基準並始終跟上所有版本發佈會變得很複雜。這就是為什麼許多組織會使用自動化工具來監控 CIS 合規性。CIS 還提供了免費和高級的工具,可用於掃描 IT 系統並產生 CIS 合規性報告。如果現有組態不符合 CIS 基準建議,這些工具會提醒系統管理員。

CIS 基準還包含哪些其他安全資源?

CIS 還發佈了其他資源,以提升組織的網際網路安全性,包括以下兩個主要資源。

CIS 控制項

CIS 控制項 (之前稱為 CIS 關鍵安全控制項) 是 CIS 發佈的另一個資源,可作為系統和網路安全的綜合最佳實務指南。該指南包含一個具有 20 項保護措施和動作的清單,這些保護措施和動作具有高優先順序,並且已通過驗證,可有效對抗 IT 系統上最普遍和最具破壞性的網路安全威脅。

CIS 控制項可與大多數主要標準和法規框架對應,例如:

  • 國家標準技術研究所 (NIST) 網路安全框架
  • NIST 800-53
  • 美國健康保險流通與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI DSS)、聯邦資訊安全管理法案 (FISMA) 以及 ISO 27000 系列標準中的其他標準

CIS 控制項可為您提供遵循以下任何合規框架的起點。 

CIS 基準與CIS 控制項

CIS 控制項是保護整個系統和網路的一般指南,但 CIS 基準是非常具體的建議,主要針對安全系統組態。CIS 基準是實作 CIS 控制項的關鍵步驟,因為每個 CIS 基準建議都涉及一個或多個 CIS 控制項。

例如,CIS 控制項 3 建議對電腦系統設定安全的硬體和軟體組態。CIS 基準提供了與廠商無關和廠商特定的指南,以及管理員可以遵循以實作 CIS 控制項 3 的詳細指示。 

CIS 強化映像

虛擬機器 (VM) 是模擬專用電腦軟體的虛擬運算環境。VM 映像是系統管理員用來快速建立具有相似作業系統組態的多個 VM 的範本。但是,如果 VM 映像設定不正確,則從中建立的 VM 執行個體也將設定不當且易受攻擊。 

CIS 提供 CIS 強化映像,而這些映像是已設定為 CIS 基準標準的 VM 映像。 

使用 CIS 強化映像的好處

CIS 強化映像很有用,因為它們可提供以下功能: 

  • 預先設定為 CIS 基準
  • 輕鬆部署和管理
  • 由 CIS 更新和修補

根據您的安全性和合規性需求,您可以選擇設定為 1 級或 2 級設定檔的 CIS 強化映像。 

如何在 AWS 上使用 CIS 基準?

CIS 是 AWS 獨立軟體開發廠商 (ISV) 合作夥伴,而 AWS 是 CIS 安全基準會員公司。CIS 基準包括 AWS 雲端服務子集和帳戶級設定的安全組態指南。 

例如,CIS 概述了適用於 CIS 基準中的 AWS 的最佳實務組態設定,例如:

  • CIS AWS 基準參考指標
  • CIS Amazon Linux 2 基準
  • CIS Amazon Elastic Kubernetes Service (EKS) 基準 
  • AWS 最終使用者運算基準

您還可以在 AWS Marketplace 中存取經過 CIS 強化的 Amazon Elastic Compute Cloud (EC2) 映像,這樣一來,您就可以確信您的 Amazon EC2 映像符合 CIS 基準。

同樣,您可以自動執行檢查以確認您的 AWS 部署符合 CIS AWS 基準參考指標標準中設定的建議。AWS Security Hub 支援 CIS AWS 基準參考指標標準,在 14 個 AWS 服務中由 43 個控制項和 32 個支付卡產業資料安全標準 (PCI DSS) 需求組成。啟用 AWS Security Hub 後,會對照每個控制項以及與控制項相關聯的每個相關資源,立即開始執行持續的自動化安全檢查。

立即建立免費的 AWS 帳戶,進而確認您的雲端基礎設施符合 CIS 並開始使用 AWS。

AWS CIS 基準後續步驟

查閱其他相關資源
進一步了解 AWS 雲端安全 
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
開始在主控台進行建置

開始在 AWS 管理主控台使用 AWS 進行建置。

登入