Update nexus: fix conflicts and sync local changes
This commit is contained in:
Shen Wei
@@ -1,71 +1,71 @@
|
||||
---
|
||||
title: "CIS Benchmark"
|
||||
type: concept
|
||||
tags:
|
||||
- Security
|
||||
- Compliance
|
||||
- Hardening
|
||||
- Standards
|
||||
sources:
|
||||
- public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w
|
||||
last_updated: 2026-04-24
|
||||
---
|
||||
|
||||
# CIS Benchmark
|
||||
|
||||
CIS Benchmark(Center for Internet Security Benchmark)是全球最具权威的 IT 基础设施安全加固指南,由非营利组织 CIS(Center for Internet Security)维护,涵盖操作系统、数据库、Web 服务器、容器平台等数百种技术的安全配置标准。
|
||||
|
||||
## 核心特点
|
||||
|
||||
- **社区驱动**:基于全球安全专家的共识实践,经多轮评审和测试
|
||||
- **中立性**:独立于厂商,为任何组织提供客观的安全配置建议
|
||||
- **分级设计**:Level 1(基础安全,适合大多数环境)和 Level 2(深度防御,适合高安全要求环境)
|
||||
- **广泛覆盖**:涵盖 100+ 技术类别,包括 Linux、Windows、macOS、AWS、GCP、Azure、Kubernetes、Docker 等
|
||||
|
||||
## 典型检查项示例(Linux)
|
||||
|
||||
| 类别 | Level | 检查项 |
|
||||
|------|-------|--------|
|
||||
| 初始设置 | 1 | 确认是否禁用不必要的服务(如 telnet、rsh) |
|
||||
| 服务配置 | 1 | 配置 SSH 禁用 root 登录和密码认证 |
|
||||
| 日志配置 | 1 | 启用审计日志并配置适当的日志轮转 |
|
||||
| 文件系统 | 2 | 配置 `/tmp` 目录为 noexec、nosuid、nodev |
|
||||
| 访问控制 | 1 | 配置 PAM 强制密码复杂度 |
|
||||
| 网络配置 | 2 | 配置防火墙规则限制入站流量 |
|
||||
|
||||
## 在 Bottlerocket 中的支持
|
||||
|
||||
Bottlerocket OS 提供专用的 CIS Benchmark 安全加固指南:
|
||||
- 预配置的 SE Linux 策略覆盖大部分容器相关检查项
|
||||
- 只读根文件系统和 dm-verity 自动满足多项文件系统完整性要求
|
||||
- 分区设计满足审计日志分离存储要求
|
||||
- 最佳实践:使用 CIS Benchmark 自动化工具(如 CIS-CAT)定期扫描 Bottlerocket 节点合规性
|
||||
|
||||
## 认证与合规
|
||||
|
||||
CIS Benchmark 是多项安全合规框架的重要组成部分:
|
||||
|
||||
| 合规框架 | 与 CIS Benchmark 的关系 |
|
||||
|---------|------------------------|
|
||||
| PCI-DSS | 引用 CIS Benchmarks 作为技术控制要求 |
|
||||
| SOC 2 | 推荐 CIS Benchmarks 作为安全配置基线 |
|
||||
| ISO 27001 | 参考 CIS Benchmarks 满足访问控制要求 |
|
||||
| NIST CSF | CIS Benchmarks 映射到 NIST Cybersecurity Framework |
|
||||
| FedRAMP | 使用 CIS Benchmarks 作为云服务安全基线 |
|
||||
|
||||
## 工具支持
|
||||
|
||||
- **CIS-CAT Pro**:官方自动化评估工具,支持扫描并生成合规报告
|
||||
- **InSpec**:Chef 的合规性即代码框架,有 CIS Benchmark 配置文件
|
||||
- **OpenSCAP**:开源 CVE/配置扫描工具,有 CIS Benchmark 配置文件
|
||||
- **kube-bench**:Kubernetes CIS Benchmark 自动化评估工具
|
||||
|
||||
## 与其他安全标准的对比
|
||||
|
||||
| 标准 | 侧重点 | 适用范围 |
|
||||
|------|--------|---------|
|
||||
| CIS Benchmark | 安全配置最佳实践 | 操作系统、应用、云服务 |
|
||||
| NIST SP 800-53 | 联邦信息安全控制 | 美国政府机构 |
|
||||
| ISO 27001/27002 | 信息安全管理体系 | 所有组织 |
|
||||
| DISA STIG | 国防部安全技术实施指南 | 美国国防部系统 |
|
||||
| SOC 2 Trust Criteria | 服务组织控制 | SaaS/云服务提供商 |
|
||||
---
|
||||
title: "CIS Benchmark"
|
||||
type: concept
|
||||
tags:
|
||||
- Security
|
||||
- Compliance
|
||||
- Hardening
|
||||
- Standards
|
||||
sources:
|
||||
- public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w
|
||||
last_updated: 2026-04-24
|
||||
---
|
||||
|
||||
# CIS Benchmark
|
||||
|
||||
CIS Benchmark(Center for Internet Security Benchmark)是全球最具权威的 IT 基础设施安全加固指南,由非营利组织 CIS(Center for Internet Security)维护,涵盖操作系统、数据库、Web 服务器、容器平台等数百种技术的安全配置标准。
|
||||
|
||||
## 核心特点
|
||||
|
||||
- **社区驱动**:基于全球安全专家的共识实践,经多轮评审和测试
|
||||
- **中立性**:独立于厂商,为任何组织提供客观的安全配置建议
|
||||
- **分级设计**:Level 1(基础安全,适合大多数环境)和 Level 2(深度防御,适合高安全要求环境)
|
||||
- **广泛覆盖**:涵盖 100+ 技术类别,包括 Linux、Windows、macOS、AWS、GCP、Azure、Kubernetes、Docker 等
|
||||
|
||||
## 典型检查项示例(Linux)
|
||||
|
||||
| 类别 | Level | 检查项 |
|
||||
|------|-------|--------|
|
||||
| 初始设置 | 1 | 确认是否禁用不必要的服务(如 telnet、rsh) |
|
||||
| 服务配置 | 1 | 配置 SSH 禁用 root 登录和密码认证 |
|
||||
| 日志配置 | 1 | 启用审计日志并配置适当的日志轮转 |
|
||||
| 文件系统 | 2 | 配置 `/tmp` 目录为 noexec、nosuid、nodev |
|
||||
| 访问控制 | 1 | 配置 PAM 强制密码复杂度 |
|
||||
| 网络配置 | 2 | 配置防火墙规则限制入站流量 |
|
||||
|
||||
## 在 Bottlerocket 中的支持
|
||||
|
||||
Bottlerocket OS 提供专用的 CIS Benchmark 安全加固指南:
|
||||
- 预配置的 SE Linux 策略覆盖大部分容器相关检查项
|
||||
- 只读根文件系统和 dm-verity 自动满足多项文件系统完整性要求
|
||||
- 分区设计满足审计日志分离存储要求
|
||||
- 最佳实践:使用 CIS Benchmark 自动化工具(如 CIS-CAT)定期扫描 Bottlerocket 节点合规性
|
||||
|
||||
## 认证与合规
|
||||
|
||||
CIS Benchmark 是多项安全合规框架的重要组成部分:
|
||||
|
||||
| 合规框架 | 与 CIS Benchmark 的关系 |
|
||||
|---------|------------------------|
|
||||
| PCI-DSS | 引用 CIS Benchmarks 作为技术控制要求 |
|
||||
| SOC 2 | 推荐 CIS Benchmarks 作为安全配置基线 |
|
||||
| ISO 27001 | 参考 CIS Benchmarks 满足访问控制要求 |
|
||||
| NIST CSF | CIS Benchmarks 映射到 NIST Cybersecurity Framework |
|
||||
| FedRAMP | 使用 CIS Benchmarks 作为云服务安全基线 |
|
||||
|
||||
## 工具支持
|
||||
|
||||
- **CIS-CAT Pro**:官方自动化评估工具,支持扫描并生成合规报告
|
||||
- **InSpec**:Chef 的合规性即代码框架,有 CIS Benchmark 配置文件
|
||||
- **OpenSCAP**:开源 CVE/配置扫描工具,有 CIS Benchmark 配置文件
|
||||
- **kube-bench**:Kubernetes CIS Benchmark 自动化评估工具
|
||||
|
||||
## 与其他安全标准的对比
|
||||
|
||||
| 标准 | 侧重点 | 适用范围 |
|
||||
|------|--------|---------|
|
||||
| CIS Benchmark | 安全配置最佳实践 | 操作系统、应用、云服务 |
|
||||
| NIST SP 800-53 | 联邦信息安全控制 | 美国政府机构 |
|
||||
| ISO 27001/27002 | 信息安全管理体系 | 所有组织 |
|
||||
| DISA STIG | 国防部安全技术实施指南 | 美国国防部系统 |
|
||||
| SOC 2 Trust Criteria | 服务组织控制 | SaaS/云服务提供商 |
|
||||
|
||||
Reference in New Issue
Block a user