查看原文
其他

阿里云第三代操作系统安全基线正式通过 CIS 认证

伯纪 云巅论剑 2022-08-23

背景

近日,Alibaba Cloud Linux 3  CIS 安全基线正式通过 CIS 认证。Alibaba Cloud Linux 3 是阿里云官方基于龙蜥社区(OpenAnolis)的龙蜥操作系统(Anolis OS)打造的第三代发行版操作系统,兼容 RHEL/CentOS 8。随着 CentOS 8 的停服,使用 Anolis OS 或者 Alibaba Cloud Linux 3 来替代 CentOS 已经成为很多企业的第一选择。完成 CIS 安全基线的认证,能够更好地保障客户的安全性,帮助客户在停服后提高竞争力。
CIS(全称Center for Internet Security,即互联网安全中心),是一个具有几十年历史的全球知名非营利信息安全组织,致力于采用线上社区的模式与大公司、政府机构、学术机构一起打造优秀的安全实践解决方案(各种 benchmarks),详情可以参见维奇百科。当前发布的操作系统大多都已经提供 CIS benchmark,包括 CentOS、Ubuntu、Windows 等,详情可以参见 CIS 网站。当前完成 CIS benchmark 认证,已经成为很多阿里云客户对于 OS 安全的重要评判依据之一。
此外,在 2019 年我们完成了 Alibaba Cloud Linux 2 的 CIS 安全基线的认证,成为国内唯一完成 CIS 安全基线认证的 OSV。在 2021 年 6 月,我们与 ACK 合作发布了基于 Alibaba Cloud Linux 2 的 CIS 加固的 ACK 集群。ACK 集群的 CIS 加固方案能够满足客户对于阿里云更加简单、快捷、稳定、安全的使用的需求。当用户创建 ACK 集群时,如果选择 Alibaba Cloud Linux 2,就可以选择启动配置 CIS 加固,使集群在创建时自动执行对应的 CIS 加固项,直接满足 CIS benckmark 中对操作系统的大部分安全保护要求。Alibaba Cloud Linux 3 上完成 CIS 安全基线的认证将继续巩固我们的竞争力,提高 Alibaba Cloud Linux 3 的安全水位。

下载地址与步骤

CIS Alibaba Cloud Linux 3 Benchmark v1.0.0 在 2022 年 02 月 06 日正式通过了 CIS 的全部认证流程,CIS 对外发布 CIS Alibaba Cloud Linux 3 benchmark v1.0.0 (发布详情见文末链接)。您可以通过以下三种方式进行下载:

方式一:CIS下载页面下载

直接访问 CIS 下载页 , 找到下图中CIS Alibaba Cloud Linux 3 benchmark v1.0.0 点击进行下载。

方式二:注册 CIS 账号下载

您可以直接访问 CIS Alibaba Cloud Linux 3 benchmark v1.0.0 PDF 页面进行下载(或点击阅读原文直达下载界面)。这只需要注册 CIS 账号,然后登录并进行下载。这种方法相对比较简单,还能后续参与到 CIS 社区的讨论和开发中去。

方式三:邮件下载

此外,您也可以在 CIS Benchmarks 首页进行下载,然后按照以下步骤填写邮箱等信息,最后在邮件中下载对应的 benchmark,具体如下:
首先,按照图中所示选定分类

其次,找到 CIS Benchmark for Alibaba Cloud Linux 3

接下来,填写基本资料

最后,您将会在上面填写的邮箱里收到 CIS 发送的邮件,点击下载对应的 benchmark 即可。
特点

Baseline

Alibaba Cloud Linux 3 兼容 CentOS 8,  CIS benchmark 的 baseline 也尽可能与 CentOS 8 保持一致。

安全等级

CIS Alibaba Cloud Linux 3 Benchmark 分为 Level 1 和 Level 2。其中 Level 1 是说此加固条目是基础项加固且基本不会带来性能影响,Level 2 是说明此条目是安全性要求较高、且可能会带来一定的性能开销。

计分规则

CIS Alibaba Cloud Linux 3 Benchmark 分为 Automated 和 Manual 两类,Autmoated 表示该项能够通过 CIS-CAT 扫描器自动验证是否通过,因此计分;Manual 则表示该项无法自动验证是否通过,因此不计分(即使加固了也不加分,不加固也不丢分)。

另外我们根据 Alibaba Cloud Linux 2 CIS 的产品化经验,发现有些需要用户参与的 CIS 加固项(比如配置防火墙规则)、CIS-CAT 扫描不能较好地检测出是否通过或者失败,并且这些项也不能通过通用的脚本修复。经过跟 CIS 讨论后,在 CIS Alibaba Cloud Linux 3 Benchmark 中将一部分需要用户参与的13项由 Automated 改成 Manual。

    每一项的内容

    CIS Alibaba Cloud Linux 3 Benchmark 一共 266 项,相比 Alibaba Cloud Linux 2 的 204 项增加了 30.39%;在内容上由之前的 358 页增加到 647 页,增加了 80.72% 左右。
    其中每一项包含:
    • Profile Applicability:安全等级,其分为了 Level 1 和 Level 2;

    • Description:加固条目的简单介绍;

    • Rationale:用于描述条目的细节和背景,告诉读者这么加固的意义和原因;

    • Audit:关键项,用于判断检测系统是否达标的脚本。根据此脚本的运行返回值来判断是否需要加固;

    • Remediation:关键项,如果 Audit 环节判断系统需要进行加固,那此环节就是执行脚本进行安全处理;

    • Impact:影响,主要来描述如果不进行正确配置可能会导致的影响;

    • References:参考文献;

    • CIS Controls:此条目对应的 CIS control 文档的讲解,需要注册后才能下载。

    整个benchmark所包含的内容非常多并且非常详细,用户可以参考指导并结合自己的需求进行配置,或者也可以联系阿里云操作系统团队进行配置。

    总结与展望

    完成 CIS Alibaba Cloud Linux 3 Benchmark 认证的意义重大。但这只是一个开始,后面我们还将继续完善对应的产品化工具,比如与 CIS 一起完善 Build Kit 加固工具、CIS-CAT 扫描验证工具等,进而提高 Alibaba Cloud Linux 3 的安全水位和巩固其竞争力。

    相关链接地址

    【1】Alibaba Cloud Linux 3 链接地址:

    https://help.aliyun.com/document_detail/212631.html

    【2】邮件下载链接:

    https://www.cisecurity.org/cis-benchmarks/

    【3】CIS下载页地址:

    https://downloads.cisecurity.org/#/

    【4】CIS Alibaba Cloud Linux 3 benchmark v1.0.0 PDF页面地址:

    https://workbench.cisecurity.org/files/3700 

    【5】Benchmarks首页地址: 

    https://www.cisecurity.org/cis-benchmarks/
    【6】CIS 网站地址:

    https://workbench.cisecurity.org/

    【7】维奇百科链接地址:

    https://en.wikipedia.org/wiki/Center_for_Internet_Security?spm=ata.13261165.0.0.752c759eSNyukl

    【8】Alibaba Cloud Linux 2 CIS Benchmark 链接:

    https://workbench.cisecurity.org/benchmarks/2228

    【9】Alibaba Cloud Linux 2 的 CIS 加固的 ACK 集群链接:

    https://help.aliyun.com/document_detail/223744.html

    【10】Alibaba Cloud Linux 3 CIS Benchmark链接
    https://workbench.cisecurity.org/files/3700

    联系方式:打开钉钉扫描下方二维码或搜索钉钉群号(23149462 )入群联系配置

    往期精彩推荐

    1.展望操作系统的2022:加速驶向快车道,云、XPU和开源成“催化剂”

    2.揭秘 cache 访问延迟背后的计算机原理

    3.2021 OS2ATC 技术回顾来了,阿里云专篇技术盛宴硬核上线(内附PPT)
    4.业务与芯片垂直整合的一点思考

    5.CentOS 停服,龙蜥社区已上线解决方案专区

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存