CIS為云平臺提供了基于共識且與云計算供應商無關的配置標準。這些被稱為CIS基準的最佳實踐是為了幫助企業在帳戶級別保護公有云環境。
安全領導者和云計算工程團隊可以通過兩種方式將CIS基準用于云安全:首先,參考最佳實踐安全控制和配置的獨立標準可以幫助定義安全云計算部署的內部要求。在定義和批準所有業務部門和IT運營團隊在其自己的云帳戶和訂閱中應遵守的策略和標準時,這一點至關重要。其次,這些基準可以幫助企業為云計算控制平臺和資產合規性制定持續的監控和報告策略。
實施CIS基準如何提高安全性
公有云客戶可以從實施云安全的CIS基準測試中體驗到短期和長期的好處。短期回報包括安全態勢的改善和常見云計算資產類別(如虛擬機和其他工作負載)中漏洞數量的減少。實施這一框架還可以縮小與數據泄露的和可能配置錯誤的云控制平臺服務相關的直接攻擊面。
長期回報包括改善企業云計算環境中的總體安全狀況,以及增強對配置的監視和報告。這樣可以開發更準確的度量標準并報告漏洞,從而提高安全性和運營效率。
許多人質疑CIS云安全框架是應該被視為高級最終目標還是應被視為安全起點。在許多方面,其答案都是兩者兼有。CIS基準創建有兩個級別的項目:第一級項目旨在提供即時的安全利益。它們相對實用,易于實施,并且很少以任何方式抑制或破壞云服務或資產功能。第一級基準項目應該是所有企業的起點,并且被廣泛認為是基準最佳實踐,幾乎任何企業都可以快速而輕松地啟用。
但是,第二級項目提供了更強大的安全功能和更深入的縱深防御態勢。這一級別的CIS云安全控制可能會導致某些服務或資產在某些情況下表現不佳甚至中斷。對于安全有著更嚴格要求的企業可以將第二級CIS基準項目視為短期目標,但大多數企業會將其作為長期戰略的一部分。
CIS公有云基礎的范圍
當前可以為以下公有云環境下載CIS基準測試:
•阿里云
•AWS
•谷歌云平臺
•Google Workspace
•IBM云
•Microsoft Azure
•Oracle云計算基礎設施
盡管一個給定平臺的CIS基準可能與其他平臺的基準有所不同,但仍存在明顯的共性。公有云的所有CIS基準都有類似的控制建議類別,從虛擬機工作負載安全到存儲和數據安全設置,再到特權訪問控制。
CIS云安全的控制建議
普遍和可行的建議如下:
•創建符合行業最佳實踐和強化標準的安全云工作負載,存儲和監視這些新圖像。
•通過AWS CloudTrail或Google Cloud的操作套件(以前稱為Stackdriver)之類的工具啟用云計算控制平臺日志記錄,以提供對在云服務帳戶內進行的所有API調用的可見性。此外,應配置和啟用云原生監視和警報。
•對任何云管理界面(包括Web門戶或命令行)啟用強身份驗證。為不同的云計算操作角色實施最低特權身份策略。
•為云存儲服務啟用加密和其他數據保護措施。
•安全的云原生網絡訪問控制,以最大程度地減少訪問,并啟用網絡流數據以監視網絡行為。
CIS云安全框架如何改進
大型云服務環境正在以越來越快的速度發展。盡管CIS基準涵蓋了云安全控制和配置的核心基礎,但更頻繁地更新基于共識的指導原則將有助于通過提供更新的指導來更好地為企業服務。
此外,將基準與行業攻擊模型和框架(例如針對云計算的Mitre ATT&CK)結合起來,將有助于教育利益相關者在現實世界的云攻擊場景中采用哪些控件可以保護他們。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號