7

Aliyun Linux 2 CIS benchmark正式发布

 3 years ago
source link: https://kernel.taobao.org/2019/09/Alinux-CIS-benchmark/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

Sep 30, 2019 • 贾正华

Aliyun Linux 2 CIS benchmark正式发布

Aliyun Linux 2(注1) CIS benchmark在2019年8月16日正式通过了CIS组织的全部认证流程对外发布,详情参见:https://workbench.cisecurity.org/benchmarks/2228。

关于Aliyun Linux 2的介绍可以参见:https://www.aliyun.com/product/alinux。 所以在这里给大家介绍一下整个认证的一些详细信息。

首先介绍一下CIS认证

CIS全名Center for Internet Security,是一个美国的第三方安全组织,他们致力于采用线上社区的模式与大公司、政府机构、学术机构一起打造优秀的安全实践解决方案(各种benchmarks),详情可以参见维奇百科(注2)。当前各个公司发布的Linux操作系统大多都已经提供CIS benchmark和CIS Hardened image,包括CentOS、Ubuntu、Windows等,详情可以参见CIS网站(注3)。当前发布CIS benchmark已经成为很多阿里云客户对于OS安全的重要评判依据之一。

Aliyun Linux 2 CIS benchmark发布流程

从2019年3月收到需求到2019年8月完成最终的认证,总共耗时6个月,详细流程如下:

1.png

Aliyun Linux 2 CIS benchmark详细信息

关于Aliyun Linux 2 CIS benchmark的详细内容可以通过CIS官网下载(注4)。

Aliyun Linux 2 CIS Benchmark中主要分为了八大类:Profile Applicability,Description,Rationale,Audit,Remediation,Impact,References和CIS Controls。

  1. Profile Applicability:其分为了Level 1和Level 2。Level 1是说明此加固条目是基础项加固且基本不会带来较大的性能影响,Level 2是说明此条目是安全性较重的、且如果管理员设置有稍偏差可能会带来很大的性能开销。
  2. Decription:加固条目的简单介绍。
  3. Rationale:用于描述条目的细节和背景,告诉读者这么加固的意义和原因。
  4. Audit:关键项,用于判断检测系统是否达标的脚本。根据此脚本的运行返回值来判断是否需要加固。
  5. Remediation:关键项,如果Audit环节判断系统需要进行加固,那此环节就是执行脚本进行安全处理。
  6. Impact:影响,主要来描述如果不进行正确配置可能会导致的影响。
  7. References:参考文献。
  8. CIS Controls:此条目对应的CIS control文档的讲解,需要注册后才能下载。

每一个条目分为了Scored和Not Scored两类:

  1. Scored:意味着此条目会纳入计分项,如果验证系统是安全的,则加分,如果不安全,则减分。
  2. Not Scored:意味着无论是否安全,都不纳入计分项,也就是说不增减分。 简单以1.1.2章节为例列举一下:
    2.png

由于内容较多就不一一列举,详情可以参见附件或者CIS网站

Aliyun Linux 2 CIS benchmark使用

那么用户肯定会问如何使用Aliyun Linux 2的CIS benchmark呢?

首先用户在准备使用Aliyun Linux 2 CIS benchmark的时候需要问自己两个问题:

  1. 我使用Aliyun Linux 2 CIS benchmark是为了满足什么需求?
  2. 我的专业能力能否支持我完成我的镜像的Aliyun Linux 2 CIS benchmark改造? 第一个问题主要是因为该benchmark里面包含的内容非常多,如果所有项都进行改造来满足了可能会反而适得其反,所以需要用户分析清楚自己的真实安全需求再参考该benchmark进行改造。

第二个问题主要是因为该benchmark涉及到Linux操作系统的方方面面,如果没有非常专业的操作系统能力,可能在实施过程中出现各种各样的问题,比如性能恶化、功能丢失等。

所以如果有使用该benchmark诉求的业务,可以按照如下建议实施:

  1. 如果有充足的操作系统专业能力,那么可以直接参考附件中的benchmark按照自己的需求进行配置;
  2. 如果没有充足的操作系统运维能力,那么可以寻求操作系统团队(工单或者钉钉(注5)联系)的支持,后续操作系统团队也会发布自动化修复工具(可能无法覆盖所有修复项)来简化实施难度;
  3. 如果有客户只是需要一个配置了CIS benchmark的OS来使用,不需要考虑其他,那么可以直接使用CIS发布的Aliyun Linux 2的加固镜像(需要额外收费,当前还在制作中)。 备注:

注1:Aliyun Linux 2即现在的Alibaba Cloud Linux 2,只是名称发生了改变,内容没有任何变更,部分介绍可以参见:https://yq.aliyun.com/articles/719814

注2:CIS维奇百科,网址:https://en.wikipedia.org/wiki/Center_for_Internet_Security

注3:CIS网站,网址:https://workbench.cisecurity.org/files?q=linux&tags=

注4:CIS官网下载,网址:https://workbench.cisecurity.org/files/2449

注5:操作系统团队钉钉,群号:Alibaba Cloud Linux OS 开发者&用户群;群二维码:

3.png

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK