文档章节

Aliyun Linux 2 CIS benchmark正式发布

阿里云官方博客
 阿里云官方博客
发布于 2019/09/30 13:58
字数 1323
阅读 133
收藏 0

Aliyun Linux 2(注1) CIS benchmark在2019年8月16日正式通过了CIS组织的全部认证流程对外发布,详情参见:https://workbench.cisecurity.org/benchmarks/2228

关于Aliyun Linux 2的介绍可以参见:https://www.aliyun.com/product/alinux
所以在这里给大家介绍一下整个认证的一些详细信息。

首先介绍一下CIS认证

CIS全名Center for Internet Security,是一个美国的第三方安全组织,他们致力于采用线上社区的模式与大公司、政fu机构、学术机构一起打造优秀的安全实践解决方案(各种benchmarks),详情可以参见维奇百科(注2)。当前各个公司发布的Linux操作系统大多都已经提供CIS benchmark和CIS Hardened image,包括CentOS、Ubuntu、Windows等,详情可以参见CIS网站(注3)。当前发布CIS benchmark已经成为很多阿里云客户对于OS安全的重要评判依据之一。

Aliyun Linux 2 CIS benchmark发布流程

从2019年3月收到需求到2019年8月完成最终的认证,总共耗时6个月,详细流程如下:

Aliyun Linux 2 CIS benchmark详细信息

关于Aliyun Linux 2 CIS benchmark的详细内容可以通过CIS官网下载(注4)。
Aliyun Linux 2 CIS Benchmark中主要分为了八大类:Profile Applicability,Description,Rationale,Audit,Remediation,Impact,References和CIS Controls。

  • Profile Applicability:其分为了Level 1和Level 2。Level 1是说明此加固条目是基础项加固且基本不会带来较大的性能影响,Level 2是说明此条目是安全性较重的、且如果管理员设置有稍偏差可能会带来很大的性能开销。
  • Decription:加固条目的简单介绍。
  • Rationale:用于描述条目的细节和背景,告诉读者这么加固的意义和原因。
  • Audit:关键项,用于判断检测系统是否达标的脚本。根据此脚本的运行返回值来判断是否需要加固。
  • Remediation:关键项,如果Audit环节判断系统需要进行加固,那此环节就是执行脚本进行安全处理。
  • Impact:影响,主要来描述如果不进行正确配置可能会导致的影响。
  • References:参考文献。
  • CIS Controls:此条目对应的CIS control文档的讲解,需要注册后才能下载。

每一个条目分为了Scored和Not Scored两类:

  • Scored:意味着此条目会纳入计分项,如果验证系统是安全的,则加分,如果不安全,则减分。
  • Not Scored:意味着无论是否安全,都不纳入计分项,也就是说不增减分。

简单以1.1.2章节为例列举一下:

由于内容较多就不一一列举,详情可以参见附件或者CIS网站

Aliyun Linux 2 CIS benchmark使用

那么用户肯定会问如何使用Aliyun Linux 2的CIS benchmark呢?

首先用户在准备使用Aliyun Linux 2 CIS benchmark的时候需要问自己两个问题:

  1. 我使用Aliyun Linux 2 CIS benchmark是为了满足什么需求?
  2. 我的专业能力能否支持我完成我的镜像的Aliyun Linux 2 CIS benchmark改造?

第一个问题主要是因为该benchmark里面包含的内容非常多,如果所有项都进行改造来满足了可能会反而适得其反,所以需要用户分析清楚自己的真实安全需求再参考该benchmark进行改造。

第二个问题主要是因为该benchmark涉及到Linux操作系统的方方面面,如果没有非常专业的操作系统能力,可能在实施过程中出现各种各样的问题,比如性能恶化、功能丢失等。

所以如果有使用该benchmark诉求的业务,可以按照如下建议实施:

  1. 如果有充足的操作系统专业能力,那么可以直接参考附件中的benchmark按照自己的需求进行配置;
  2. 如果没有充足的操作系统运维能力,那么可以寻求操作系统团队(工单或者钉钉(注5)联系)的支持,后续操作系统团队也会发布自动化修复工具(可能无法覆盖所有修复项)来简化实施难度;
  3. 如果有客户只是需要一个配置了CIS benchmark的OS来使用,不需要考虑其他,那么可以直接使用CIS发布的Aliyun Linux 2的加固镜像(需要额外收费,当前还在制作中)。

备注:

注1:Aliyun Linux 2即现在的Alibaba Cloud Linux 2,只是名称发生了改变,内容没有任何变更,部分介绍可以参见:https://yq.aliyun.com/articles/719814
注2:CIS维奇百科,网址:https://en.wikipedia.org/wiki/Center_for_Internet_Security
注3:CIS网站,网址:https://workbench.cisecurity.org/files?q=linux&tags=
注4:CIS官网下载,网址:https://workbench.cisecurity.org/files/2449
注5:操作系统团队钉钉,群号:Alibaba Cloud Linux OS 开发者&用户群

 

阅读原文

本文为云栖社区原创内容,未经允许不得转载。

© 著作权归作者所有

阿里云官方博客
粉丝 215
博文 2513
码字总数 5704592
作品 0
杭州
程序员
私信 提问
加载中

评论(0)

Docker 架构介绍:docker安全最佳实践

简介 docker 赖以生存的“Secure by Default”,docker EE 默认的配置和策略提供基础雄厚的安全环境,因此,他们可以非常容易的修改来适应不同组织的特殊需求。 docker 把重点放到了容器安全...

warrior_0319
2018/05/08
0
0
[IOT] 自制蓝牙工牌办公室定位系统 (一)—— 阿里物联网平台概览及打通端到云(硬核·干货)

目录 1、快速入门创建产品 —— 小白,打包带走去吹牛 2、代码分析 —— 老炮,快速了解能用上 3、移植到ESP32上搞IOT —— 二营长,把老子的意大利炮拿上来 LINKS 字数: 59710个 系统: li...

beautifulzzzz
2019/01/25
0
0
docker-bench-security

Docker Bench for Security 是一个用来检测 CIS Docker 1.6 Benchmark 所有自动化测试的脚本。

叶秀兰
2015/06/05
804
0
Ubuntu 9.04 与 Fedora 11 性能对比测试

Fedora 11 正式版已经在本周发布了,著名的测评网站phoronix用旗下“Phoronix Test Suite”系统性能测试套件对 Ubuntu 9.04 和 Fedora 11 进行了一次对比的测试。测试的主要内容包括:编译源...

红薯
2009/06/13
3.3K
2
流行开源压缩软件 7-Zip 被曝严重漏洞,影响所有老版本

PC Gamer 消息,已发行 20 年的开源压缩软件 7-Zip 近日被非营利组织网络安全中心(Center for Internet Security,简称 CIS )发现旧版本存在重大安全漏洞,可导致任意代码在电脑上执行。 ...

王练
2018/05/05
5.8K
14

没有更多内容

加载失败,请刷新页面

加载更多

Ubuntu 18.04 的网络配置

netplan简介 目前,ubuntu18.04上使用了netplan 作为网络配置工具;在终端上配置网络参数跟之前的版本有比较大的差别 Netplan工作流程如下图所示;通过读取 /etc/netplan/*.yaml 下的配置文件...

osc_10loka5t
8分钟前
37
0
Docker底层网络经典文章分享

说明 关于 docker 底层网络的原理介绍,网上有很多的博客等资源,下面分享些经典实例文章, 望大家共同进步~ 分享 分享一 理解Docker单机容器网络 分享二 理解Docker跨多主机容器网络 大佬的...

osc_4myehtgl
9分钟前
12
0
VMWare Workstation上安装CentOS 8.1/RHEL 8.1 Linux实战系列

Linux系统运维实战系列 CentOS 8/RHEL 8 Linux系统实战系列原创持续更新中。。。。。。 请关注我的博客: grand.blog.51cto.com 1.下载CentOS8.1镜像: 实验虚拟机软件和CentOS8.1 ISO系统镜像...

osc_bskubcvl
10分钟前
9
0
在 Linux 上安装 Adobe Flash Player

1、访问flash官网,点击下载,选择你的操作系统和flash版本 2、下载后,解压下载的压缩包 tar -zx -f install_flash_player_11_linux.x86_64.tar.gz #解压下载好的压缩包 3、安装火狐浏览...

osc_xs2d5ls9
11分钟前
11
0
在 Linux 上安装 Adobe Flash Player

1、访问flash官网,点击下载,选择你的操作系统和flash版本 2、下载后,解压下载的压缩包 tar -zx -f install_flash_player_11_linux.x86_64.tar.gz #解压下载好的压缩包 3、安装火狐浏览...

osc_3iv3c4fo
13分钟前
32
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部