nexus/wiki/concepts/CIS-Benchmark.md

---
title: "CIS Benchmark"
type: concept
tags:
  - Security
  - Compliance
  - Hardening
  - Standards
sources:
  - public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w
last_updated: 2026-04-24
---

# CIS Benchmark

CIS Benchmark（Center for Internet Security Benchmark）是全球最具权威的 IT 基础设施安全加固指南，由非营利组织 CIS（Center for Internet Security）维护，涵盖操作系统、数据库、Web 服务器、容器平台等数百种技术的安全配置标准。

## 核心特点

- **社区驱动**：基于全球安全专家的共识实践，经多轮评审和测试
- **中立性**：独立于厂商，为任何组织提供客观的安全配置建议
- **分级设计**：Level 1（基础安全，适合大多数环境）和 Level 2（深度防御，适合高安全要求环境）
- **广泛覆盖**：涵盖 100+ 技术类别，包括 Linux、Windows、macOS、AWS、GCP、Azure、Kubernetes、Docker 等

## 典型检查项示例（Linux）

| 类别 | Level | 检查项 |
|------|-------|--------|
| 初始设置 | 1 | 确认是否禁用不必要的服务（如 telnet、rsh） |
| 服务配置 | 1 | 配置 SSH 禁用 root 登录和密码认证 |
| 日志配置 | 1 | 启用审计日志并配置适当的日志轮转 |
| 文件系统 | 2 | 配置 `/tmp` 目录为 noexec、nosuid、nodev |
| 访问控制 | 1 | 配置 PAM 强制密码复杂度 |
| 网络配置 | 2 | 配置防火墙规则限制入站流量 |

## 在 Bottlerocket 中的支持

Bottlerocket OS 提供专用的 CIS Benchmark 安全加固指南：
- 预配置的 SE Linux 策略覆盖大部分容器相关检查项
- 只读根文件系统和 dm-verity 自动满足多项文件系统完整性要求
- 分区设计满足审计日志分离存储要求
- 最佳实践：使用 CIS Benchmark 自动化工具（如 CIS-CAT）定期扫描 Bottlerocket 节点合规性

## 认证与合规

CIS Benchmark 是多项安全合规框架的重要组成部分：

| 合规框架 | 与 CIS Benchmark 的关系 |
|---------|------------------------|
| PCI-DSS | 引用 CIS Benchmarks 作为技术控制要求 |
| SOC 2 | 推荐 CIS Benchmarks 作为安全配置基线 |
| ISO 27001 | 参考 CIS Benchmarks 满足访问控制要求 |
| NIST CSF | CIS Benchmarks 映射到 NIST Cybersecurity Framework |
| FedRAMP | 使用 CIS Benchmarks 作为云服务安全基线 |

## 工具支持

- **CIS-CAT Pro**：官方自动化评估工具，支持扫描并生成合规报告
- **InSpec**：Chef 的合规性即代码框架，有 CIS Benchmark 配置文件
- **OpenSCAP**：开源 CVE/配置扫描工具，有 CIS Benchmark 配置文件
- **kube-bench**：Kubernetes CIS Benchmark 自动化评估工具

## 与其他安全标准的对比

| 标准 | 侧重点 | 适用范围 |
|------|--------|---------|
| CIS Benchmark | 安全配置最佳实践 | 操作系统、应用、云服务 |
| NIST SP 800-53 | 联邦信息安全控制 | 美国政府机构 |
| ISO 27001/27002 | 信息安全管理体系 | 所有组织 |
| DISA STIG | 国防部安全技术实施指南 | 美国国防部系统 |
| SOC 2 Trust Criteria | 服务组织控制 | SaaS/云服务提供商 |