Aliyun Linux 2 CIS benchmark正式发布
Aliyun Linux 2(注1) CIS benchmark在2019年8月16日正式通过了CIS组织的全部认证流程对外发布,详情参见:https://workbench.cisecurity.org/benchmarks/2228。
关于Aliyun Linux 2的介绍可以参见:https://www.aliyun.com/product/alinux。
所以在这里给大家介绍一下整个认证的一些详细信息。
首先介绍一下CIS认证
CIS全名Center for Internet Security,是一个美国的第三方安全组织,他们致力于采用线上社区的模式与大公司、政府机构、学术机构一起打造优秀的安全实践解决方案(各种benchmarks),详情可以参见维奇百科(注2)。当前各个公司发布的Linux操作系统大多都已经提供CIS benchmark和CIS Hardened image,包括CentOS、Ubuntu、Windows等,详情可以参见CIS网站(注3)。当前发布CIS benchmark已经成为很多阿里云客户对于OS安全的重要评判依据之一。
Aliyun Linux 2 CIS benchmark发布流程
从2019年3月收到需求到2019年8月完成最终的认证,总共耗时6个月,详细流程如下:
Aliyun Linux 2 CIS benchmark详细信息
关于Aliyun Linux 2 CIS benchmark的详细内容可以通过CIS官网下载(注4)。
Aliyun Linux 2 CIS Benchmark中主要分为了八大类:Profile Applicability,Description,Rationale,Audit,Remediation,Impact,References和CIS Controls。
- Profile Applicability:其分为了Level 1和Level 2。Level 1是说明此加固条目是基础项加固且基本不会带来较大的性能影响,Level 2是说明此条目是安全性较重的、且如果管理员设置有稍偏差可能会带来很大的性能开销。
- Decription:加固条目的简单介绍。
- Rationale:用于描述条目的细节和背景,告诉读者这么加固的意义和原因。
- Audit:关键项,用于判断检测系统是否达标的脚本。根据此脚本的运行返回值来判断是否需要加固。
- Remediation:关键项,如果Audit环节判断系统需要进行加固,那此环节就是执行脚本进行安全处理。
- Impact:影响,主要来描述如果不进行正确配置可能会导致的影响。
- References:参考文献。
- CIS Controls:此条目对应的CIS control文档的讲解,需要注册后才能下载。
每一个条目分为了Scored和Not Scored两类:
- Scored:意味着此条目会纳入计分项,如果验证系统是安全的,则加分,如果不安全,则减分。
- Not Scored:意味着无论是否安全,都不纳入计分项,也就是说不增减分。
简单以1.1.2章节为例列举一下:
由于内容较多就不一一列举,详情可以参见附件或者CIS网站
Aliyun Linux 2 CIS benchmark使用
那么用户肯定会问如何使用Aliyun Linux 2的CIS benchmark呢?
首先用户在准备使用Aliyun Linux 2 CIS benchmark的时候需要问自己两个问题:
- 我使用Aliyun Linux 2 CIS benchmark是为了满足什么需求?
- 我的专业能力能否支持我完成我的镜像的Aliyun Linux 2 CIS benchmark改造?
第一个问题主要是因为该benchmark里面包含的内容非常多,如果所有项都进行改造来满足了可能会反而适得其反,所以需要用户分析清楚自己的真实安全需求再参考该benchmark进行改造。
第二个问题主要是因为该benchmark涉及到Linux操作系统的方方面面,如果没有非常专业的操作系统能力,可能在实施过程中出现各种各样的问题,比如性能恶化、功能丢失等。
所以如果有使用该benchmark诉求的业务,可以按照如下建议实施:
- 如果有充足的操作系统专业能力,那么可以直接参考附件中的benchmark按照自己的需求进行配置;
- 如果没有充足的操作系统运维能力,那么可以寻求操作系统团队(工单或者钉钉(注5)联系)的支持,后续操作系统团队也会发布自动化修复工具(可能无法覆盖所有修复项)来简化实施难度;
- 如果有客户只是需要一个配置了CIS benchmark的OS来使用,不需要考虑其他,那么可以直接使用CIS发布的Aliyun Linux 2的加固镜像(需要额外收费,当前还在制作中)。
备注:
注1:Aliyun Linux 2即现在的Alibaba Cloud Linux 2,只是名称发生了改变,内容没有任何变更,部分介绍可以参见:https://yq.aliyun.com/articles/719814
注2:CIS维奇百科,网址:https://en.wikipedia.org/wiki/Center_for_Internet_Security
注3:CIS网站,网址:https://workbench.cisecurity.org/files?q=linux&tags=
注4:CIS官网下载,网址:https://workbench.cisecurity.org/files/2449
注5:操作系统团队钉钉,群号:Alibaba Cloud Linux OS 开发者&用户群
阅读原文
本文为云栖社区原创内容,未经允许不得转载。
