美文网首页互联网科技程序员大数据
Aliyun Linux 2 CIS benchmark正式发布

Aliyun Linux 2 CIS benchmark正式发布

作者: 阿里云技术 | 来源:发表于2019-09-30 13:59 被阅读0次

    Aliyun Linux 2(注1) CIS benchmark在2019年8月16日正式通过了CIS组织的全部认证流程对外发布,详情参见:https://workbench.cisecurity.org/benchmarks/2228

    关于Aliyun Linux 2的介绍可以参见:https://www.aliyun.com/product/alinux
    所以在这里给大家介绍一下整个认证的一些详细信息。

    首先介绍一下CIS认证

    CIS全名Center for Internet Security,是一个美国的第三方安全组织,他们致力于采用线上社区的模式与大公司、政府机构、学术机构一起打造优秀的安全实践解决方案(各种benchmarks),详情可以参见维奇百科(注2)。当前各个公司发布的Linux操作系统大多都已经提供CIS benchmark和CIS Hardened image,包括CentOS、Ubuntu、Windows等,详情可以参见CIS网站(注3)。当前发布CIS benchmark已经成为很多阿里云客户对于OS安全的重要评判依据之一。

    Aliyun Linux 2 CIS benchmark发布流程

    从2019年3月收到需求到2019年8月完成最终的认证,总共耗时6个月,详细流程如下:

    Aliyun Linux 2 CIS benchmark详细信息

    关于Aliyun Linux 2 CIS benchmark的详细内容可以通过CIS官网下载(注4)。
    Aliyun Linux 2 CIS Benchmark中主要分为了八大类:Profile Applicability,Description,Rationale,Audit,Remediation,Impact,References和CIS Controls。

    • Profile Applicability:其分为了Level 1和Level 2。Level 1是说明此加固条目是基础项加固且基本不会带来较大的性能影响,Level 2是说明此条目是安全性较重的、且如果管理员设置有稍偏差可能会带来很大的性能开销。
    • Decription:加固条目的简单介绍。
    • Rationale:用于描述条目的细节和背景,告诉读者这么加固的意义和原因。
    • Audit:关键项,用于判断检测系统是否达标的脚本。根据此脚本的运行返回值来判断是否需要加固。
    • Remediation:关键项,如果Audit环节判断系统需要进行加固,那此环节就是执行脚本进行安全处理。
    • Impact:影响,主要来描述如果不进行正确配置可能会导致的影响。
    • References:参考文献。
    • CIS Controls:此条目对应的CIS control文档的讲解,需要注册后才能下载。

    每一个条目分为了Scored和Not Scored两类:

    • Scored:意味着此条目会纳入计分项,如果验证系统是安全的,则加分,如果不安全,则减分。
    • Not Scored:意味着无论是否安全,都不纳入计分项,也就是说不增减分。

    简单以1.1.2章节为例列举一下:

    由于内容较多就不一一列举,详情可以参见附件或者CIS网站

    Aliyun Linux 2 CIS benchmark使用

    那么用户肯定会问如何使用Aliyun Linux 2的CIS benchmark呢?

    首先用户在准备使用Aliyun Linux 2 CIS benchmark的时候需要问自己两个问题:

    1. 我使用Aliyun Linux 2 CIS benchmark是为了满足什么需求?
    2. 我的专业能力能否支持我完成我的镜像的Aliyun Linux 2 CIS benchmark改造?

    第一个问题主要是因为该benchmark里面包含的内容非常多,如果所有项都进行改造来满足了可能会反而适得其反,所以需要用户分析清楚自己的真实安全需求再参考该benchmark进行改造。

    第二个问题主要是因为该benchmark涉及到Linux操作系统的方方面面,如果没有非常专业的操作系统能力,可能在实施过程中出现各种各样的问题,比如性能恶化、功能丢失等。

    所以如果有使用该benchmark诉求的业务,可以按照如下建议实施:

    1. 如果有充足的操作系统专业能力,那么可以直接参考附件中的benchmark按照自己的需求进行配置;
    2. 如果没有充足的操作系统运维能力,那么可以寻求操作系统团队(工单或者钉钉(注5)联系)的支持,后续操作系统团队也会发布自动化修复工具(可能无法覆盖所有修复项)来简化实施难度;
    3. 如果有客户只是需要一个配置了CIS benchmark的OS来使用,不需要考虑其他,那么可以直接使用CIS发布的Aliyun Linux 2的加固镜像(需要额外收费,当前还在制作中)。

    备注:

    注1:Aliyun Linux 2即现在的Alibaba Cloud Linux 2,只是名称发生了改变,内容没有任何变更,部分介绍可以参见:https://yq.aliyun.com/articles/719814
    注2:CIS维奇百科,网址:https://en.wikipedia.org/wiki/Center_for_Internet_Security
    注3:CIS网站,网址:https://workbench.cisecurity.org/files?q=linux&tags=
    注4:CIS官网下载,网址:https://workbench.cisecurity.org/files/2449
    注5:操作系统团队钉钉,群号:Alibaba Cloud Linux OS 开发者&用户群

    阅读原文
    本文为云栖社区原创内容,未经允许不得转载。

    相关文章

      网友评论

        本文标题:Aliyun Linux 2 CIS benchmark正式发布

        本文链接:https://www.haomeiwen.com/subject/exocpctx.html