Điểm quy chuẩn CIS là gì?
Điểm quy chuẩn CIS từ Trung tâm bảo mật Internet (CIS) là một tập hợp các phương pháp tốt nhất được xây dựng từ sự đồng thuận và được công nhận trên toàn cầu để giúp các chuyên viên bảo mật triển khai cũng như quản lý hệ thống phòng vệ an ninh mạng. Được phát triển bởi một cộng đồng quốc tế gồm các chuyên gia bảo mật, hướng dẫn này giúp các tổ chức chủ động bảo vệ trước những rủi ro mới nổi lên. Các công ty triển khai hướng dẫn Điểm quy chuẩn CIS để giới hạn những lỗ hổng bảo mật dựa trên cấu hình trong các tài sản kỹ thuật số của họ.
Tại sao Điểm quy chuẩn CIS lại quan trọng?
Những công cụ như Điểm quy chuẩn CIS có ý nghĩa quan trọng vì chúng phác thảo các biện pháp thực hành tốt nhất về bảo mật do các chuyên gia bảo mật và chuyên gia nghiệp vụ phát triển để phục vụ công tác triển khai hơn 25 sản phẩm khác nhau của nhà cung cấp. Những biện pháp thực hành tốt nhất này là điểm khởi đầu lý tưởng để tạo ra một kế hoạch triển khai sản phẩm hoặc dịch vụ mới hay để xác minh mức độ bảo mật của những bản triển khai hiện có.
Khi triển khai Điểm quy chuẩn CIS, bạn có thể bảo mật các hệ thống cũ tốt hơn để chống lại những rủi ro thông thường và mới nổi bằng cách thực hiện các bước như:
- Tắt các cổng không sử dụng
- Loại bỏ các quyền ứng dụng không cần thiết
- Giới hạn các đặc quyền quản trị
Các hệ thống và ứng dụng CNTT cũng hoạt động tốt hơn khi bạn tắt các dịch vụ không cần thiết.
Ví dụ về Điểm quy chuẩn CIS
Ví dụ: quản trị viên có thể thực hiện theo từng bước trong hướng dẫn Điểm quy chuẩn nền tảng AWS của CIS để giúp họ thiết lập chính sách mật khẩu mạnh cho dịch vụ Quản lý danh tính và truy cập trong AWS (IAM). Việc thực thi chính sách mật khẩu, sử dụng xác thực nhiều yếu tố (MFA), tắt quyền root, đảm bảo khóa truy cập được xoay vòng 90 ngày một lần, cùng với những chiến thuật khác là các hướng dẫn về danh tính riêng biệt nhưng có liên quan với nhau để cải thiện tính bảo mật của tài khoản AWS.
Nhờ việc áp dụng Điểm quy chuẩn CIS, tổ chức của bạn có thể thu về một số lợi ích an ninh mạng như sau:
Hướng dẫn an ninh mạng của chuyên gia
Điểm quy chuẩn CIS cung cấp cho các tổ chức khung cấu hình bảo mật đã được chuyên gia kiểm định và chứng minh. Các công ty có thể tránh được tình huống thử nghiệm và gặp lỗi khiến tính bảo mật bị đe dọa, đồng thời hưởng lợi từ kiến thức chuyên môn của cộng đồng CNTT và an ninh mạng đa dạng.
Các tiêu chuẩn bảo mật được công nhận trên toàn cầu
Điểm quy chuẩn CIS là hướng dẫn biện pháp thực hành tốt nhất duy nhất được các chính phủ, doanh nghiệp, viện nghiên cứu, tổ chức học thuật công nhận và chấp nhận trên toàn cầu. Nhờ có một cộng đồng toàn cầu và đa dạng hoạt động theo mô hình đưa ra quyết định dựa trên sự đồng thuận, Điểm quy chuẩn CIS có khả năng ứng dụng và chấp nhận sâu rộng hơn nhiều so với các luật và tiêu chuẩn bảo mật cấp độ khu vực.
Ngăn chặn mối đe dọa với chi phí tiết kiệm
Tài liệu về Điểm quy chuẩn CIS được cung cấp miễn phí cho tất cả mọi người để tải về và triển khai. Công ty của bạn có thể nhận hướng dẫn miễn phí mới nhất, theo từng bước đối với tất cả các loại hình hệ thống CNTT. Bạn có thể giành được quyền quản trị CNTT cũng như tránh được thiệt hại về tài chính và danh tiếng bắt nguồn từ những mối đe dọa bảo mật mạng có thể ngăn chặn được.
Tuân thủ quy định
Điểm quy chuẩn CIS phù hợp với các khung bảo mật và quyền riêng tư dữ liệu chính, ví dụ:
- Khung an ninh mạng của Viện tiêu chuẩn và công nghệ quốc gia (NIST)
- Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA)
- Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS)
Việc triển khai Điểm quy chuẩn CIS là một bước tiến lớn để đạt được khả năng tuân thủ đối với các tổ chức hoạt động trong những ngành chịu sự quản lý chặt chẽ. Họ có thể ngăn chặn sự cố về tuân thủ do hệ thống CNTT bị cấu hình sai.
Điểm quy chuẩn CIS bao quát những loại hệ thống CNTT nào?
CIS đã phát hành hơn 100 điểm quy chuẩn trải rộng trên 25 dòng sản phẩm của nhà cung cấp. Khi ứng dụng và theo dõi Điểm quy chuẩn CIS trên tất cả các loại hệ thống CNTT, bạn xây dựng một môi trường CNTT vốn đã bảo mật mà bạn có thể phòng vệ thêm bằng các giải pháp bảo mật. Nhìn chung, những công nghệ mà Điểm quy chuẩn CIS bao quát có thể được nhóm thành bảy hạng mục sau.
Hệ điều hành
Điểm quy chuẩn CIS dành cho hệ điều hành cung cấp các cấu hình bảo mật tiêu chuẩn cho những hệ điều hành phổ biến, bao gồm cả Amazon Linux. Những điểm quy chuẩn này bao gồm các biện pháp thực hành tốt nhất dành cho các tính năng, ví dụ:
- Biện pháp kiểm soát truy cập hệ điều hành
- Chính sách nhóm
- Cài đặt trình duyệt web
- Quản lý bản vá
Cơ sở hạ tầng và dịch vụ đám mây
Điểm quy chuẩn CIS dành cho cơ sở hạ tầng đám mây cung cấp các tiêu chuẩn bảo mật mà công ty có thể sử dụng để cấu hình bảo mật các môi trường đám mây, chẳng hạn như những môi trường do AWS cung cấp. Tài liệu bao gồm các hướng dẫn biện pháp thực hành tốt nhất để cài đặt mạng ảo, cấu hình Quản lý danh tính và truy cập AWS (IAM), kiểm soát tuân thủ và bảo mật, v.v..
Phần mềm máy chủ
Điểm quy chuẩn CIS dành cho phần mềm máy chủ cung cấp cấu hình mức cơ sở và đề xuất để cài đặt máy chủ, kiểm soát quản trị máy chủ, cài đặt lưu trữ và phần mềm máy chủ từ các nhà cung cấp phổ biến.
Phần mềm máy tính
Điểm quy chuẩn CIS bao quát hầu hết các phần mềm máy tính thường được tổ chức sử dụng. Hướng dẫn bao gồm các biện pháp thực hành tốt nhất để quản lý tính năng phần mềm máy tính, ví dụ:
- Phần mềm máy tính bên thứ ba
- Cài đặt trình duyệt
- Đặc quyền truy cập
- Tài khoản người dùng
- Quản lý thiết bị khách
Thiết bị di động
Điểm quy chuẩn CIS dành cho thiết bị di động bao quát cấu hình bảo mật cho các hệ điều hành chạy trên điện thoại di động, máy tính bảng và những thiết bị cầm tay khác. Chúng cung cấp các đề xuất cho cài đặt trình duyệt di động, quyền ứng dụng, cài đặt quyền riêng tư, v.v..
Thiết bị mạng
Điểm quy chuẩn CIS cũng cung cấp cấu hình bảo mật cho các thiết bị mạng như tường lửa, bộ định tuyến, bộ chuyển mạch và mạng riêng ảo (VPN). Chúng chứa cả đề xuất không phụ thuộc vào nhà cung cấp và đề xuất theo nhà cung cấp cụ thể để đảm bảo thiết lập và quản lý những thiết bị mạng này một cách an toàn.
Thiết bị in ấn đa chức năng
Điểm quy chuẩn CIS dành cho các thiết bị mạng ngoại vi như máy in đa chức năng, máy quét và máy photocopy bao quát các biện pháp thực hành tốt nhất về cấu hình bảo mật như cài đặt chia sẻ tệp, hạn chế quyền truy cập và cập nhật phần mềm điều khiển (firmware).
Cấp độ Điểm quy chuẩn CIS là gì?
Để giúp các tổ chức đạt được mục tiêu bảo mật duy nhất của mình, CIS chỉ định cấp độ cấu hình cho từng hướng dẫn Điểm quy chuẩn CIS. Mỗi cấu hình CIS bao gồm các đề xuất cung cấp một cấp độ bảo mật khác nhau. Các tổ chức có thể chọn cấu hình dựa trên những nhu cầu về bảo mật và tuân thủ của mình.
Cấu hình cấp độ 1
Các đề xuất cấu hình dành cho cấu hình Cấp độ 1 là đề xuất bảo mật cơ bản để cấu hình hệ thống CNTT. Bạn có thể dễ dàng thực hiện theo những đề xuất đó mà không tác động đến chức năng kinh doanh hay thời gian hoạt động. Những đề xuất này giảm số lượng điểm truy cập hệ thống CNTT, qua đó giúp bạn giảm rủi ro về an ninh mạng.
Cấu hình cấp độ 2
Các đề xuất cấu hình dành cho cấu hình Cấp độ 2 rất phù hợp với dữ liệu có độ nhạy cảm cao cần ưu tiên bảo mật. Quá trình triển khai những đề xuất này đòi hỏi kiến thức chuyên môn từ chuyên gia và một kế hoạch thấu đáo để đạt được khả năng bảo mật toàn diện mà chỉ bị gián đoạn ở mức tối thiểu. Việc triển khai các đề xuất của cấu hình Cấp độ 2 cũng góp phần đạt được khả năng tuân thủ quy định.
Cấu hình STIG
Hướng dẫn triển khai kỹ thuật bảo mật (STIG) là một tập hợp các cấu hình mức cơ sở từ Cơ quan hệ thống thông tin quốc phòng (DISA). Bộ Quốc phòng Hoa Kỳ phát hành và duy trì những tiêu chuẩn bảo mật này. STIG được biên soạn riêng để đáp ứng các yêu cầu của chính phủ Hoa Kỳ.
Điểm quy chuẩn CIS cũng chỉ định cấu hình STIG ở Cấp độ 3 được thiết kế để giúp các tổ chức tuân thủ STIG. Cấu hình STIG chứa đề xuất của cấu hình Cấp độ 1 và Cấp độ 2 dành riêng cho STIG, đồng thời cung cấp thêm nhiều đề xuất mà hai cấu hình còn lại không bao quát nhưng vẫn nằm trong yêu cầu STIG của DISA.
Khi cấu hình hệ thống theo Điểm quy chuẩn CIS STIG, môi trường CNTT của bạn sẽ tuân thủ cả CIS và STIG.
Điểm quy chuẩn CIS được phát triển như thế nào?
Cộng đồng CIS thực hiện theo một quy trình độc đáo dựa trên sự đồng thuận để phát triển, phê duyệt và duy trì Điểm quy chuẩn CIS cho các hệ thống đích khác nhau. Nhìn chung, quy trình phát triển Điểm quy chuẩn CIS có các bước như sau:
- Cộng đồng xác định nhu cầu về điểm quy chuẩn cụ thể.
- Họ thiết lập phạm vi điểm quy chuẩn.
- Các tình nguyện viên tạo dựng các chủ đề thảo luận trên trang web của cộng đồng CIS WorkBench.
- Các chuyên gia từ cộng đồng CIS của hệ thống CNTT cụ thể dành thời gian để xem xét và thảo luận về bản nháp.
- Các chuyên gia tạo dựng, thảo luận và kiểm thử đề xuất của họ cho đến khi đạt được sự đồng thuận.
- Họ hoàn thiện điểm quy chuẩn rồi phát hành lên trang web của CIS.
- Thêm nhiều tình nguyện viên từ cộng đồng tham gia thảo luận về Điểm quy chuẩn CIS.
- Nhóm đồng thuận cân nhắc phản hồi từ những người triển khai điểm quy chuẩn.
- Họ tiến hành sửa đổi và cập nhật lên phiên bản Điểm quy chuẩn CIS mới.
Việc phát hành các phiên bản Điểm quy chuẩn CIS mới cũng phụ thuộc vào những thay đổi hoặc nâng cấp đối với hệ thống CNTT tương ứng.
Làm thế nào để triển khai Điểm quy chuẩn CIS?
Mỗi Điểm quy chuẩn CIS bao gồm một mô tả về đề xuất, lý do cho đề xuất đó và hướng dẫn mà quản trị viên hệ thống có thể thực hiện theo để triển khai đề xuất một cách chính xác. Mỗi điểm quy chuẩn có thể bao gồm vài trăm trang vì nó bao quát từng khía cạnh của hệ thống CNTT đích.
Việc triển khai Điểm quy chuẩn CIS và cập nhật tất cả các phiên bản phát hành sẽ trở nên phức tạp nếu bạn thực hiện theo cách thủ công. Đó là lý do mà nhiều tổ chức sử dụng các công cụ tự động để theo dõi khả năng tuân thủ CIS. CIS cũng cung cấp các công cụ miễn phí và có trả phí mà bạn có thể sử dụng để quét hệ thống CNTT cũng như tạo báo cáo tuân thủ CIS. Những công cụ này sẽ cảnh báo quản trị viên hệ thống nếu cấu hình hiện tại không đáp ứng đề xuất Điểm quy chuẩn CIS.
Điểm quy chuẩn CIS còn có các tài nguyên bảo mật nào khác?
CIS cũng phát hành các tài nguyên khác nhằm cải thiện khả năng bảo mật Internet của một tổ chức, bao gồm hai tài nguyên chính sau.
Biện pháp kiểm soát CIS
Biện pháp kiểm soát CIS (trước đây là Biện pháp kiểm soát bảo mật quan trọng của CIS) là một tài nguyên khác do CIS phát hành dưới dạng hướng dẫn phương pháp tốt nhất toàn diện để bảo mật mạng và hệ thống. Hướng dẫn chứa một danh sách kiểm tra gồm 20 biện pháp bảo vệ và hành động được ưu tiên cao, đã được chứng minh là có hiệu quả chống lại các mối đe dọa an ninh mạng mang tính xâm nhập và gây nhiều thiệt hại nhất cho hệ thống CNTT.
Biện pháp kiểm soát CIS ánh xạ đến hầu hết các tiêu chuẩn và khung quy định chính, ví dụ:
- Khung an ninh mạng của Viện tiêu chuẩn và công nghệ quốc gia (NIST)
- NIST 800-53
- Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA), Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS), Đạo luật quản lý bảo mật thông tin liên bang (FISMA) cùng các tài liệu khác nằm trong loạt tiêu chuẩn ISO 27000
Biện pháp kiểm soát CIS cung cấp cho bạn điểm khởi đầu để thực hiện theo bất kỳ khung tuân thủ nào trong số này.
Điểm quy chuẩn CIS so với Biện pháp kiểm soát CIS
Biện pháp kiểm soát CIS là hướng dẫn khá phổ quát để bảo mật toàn bộ hệ thống và mạng; tuy nhiên, Điểm quy chuẩn CIS là những đề xuất rất cụ thể dành cho cấu hình hệ thống bảo mật. Điểm quy chuẩn CIS là bước quan trọng để triển khai Biện pháp kiểm soát CIS vì mỗi đề xuất Điểm quy chuẩn CIS đề cập đến một hoặc nhiều Biện pháp kiểm soát CIS.
Ví dụ: Biện pháp kiểm soát CIS 3 đề xuất các cấu hình phần cứng và phần mềm bảo mật cho hệ thống máy tính. Điểm quy chuẩn CIS cung cấp hướng dẫn không phụ thuộc vào nhà cung cấp và đề xuất theo nhà cung cấp cụ thể cùng với các hướng dẫn chi tiết mà quản trị viên có thể thực hiện theo để triển khai Biện pháp kiểm soát CIS 3.
Hình ảnh tăng cường bảo mật CIS
Máy ảo (VM) là môi trường điện toán ảo mô phỏng phần cứng máy tính chuyên dụng. Hình ảnh VM là các mẫu được quản trị viên hệ thống sử dụng để nhanh chóng tạo dựng nhiều VM với các cấu hình hệ điều hành tương tự nhau. Tuy nhiên, nếu hình ảnh VM được cấu hình không thích hợp, các phiên bản VM đã tạo dựng từ hình ảnh VM đó cũng sẽ bị cấu hình sai và có lỗ hổng.
CIS cung cấp Hình ảnh tăng cường bảo mật CIS là những hình ảnh VM đã được cấu hình sẵn theo tiêu chuẩn Điểm quy chuẩn CIS.
Lợi ích khi sử dụng Hình ảnh tăng cường bảo mật CIS
Hình ảnh tăng cường bảo mật CIS hữu ích nhờ cung cấp những tính năng sau:
- Được cấu hình sẵn theo Điểm quy chuẩn CIS mức cơ sở
- Dễ triển khai và quản lý
- Được CIS cập nhật và vá lỗi
Tùy thuộc vào nhu cầu bảo mật và tuân thủ của mình, bạn có thể chọn Hình ảnh tăng cường bảo mật CIS được cấu hình theo cấu hình Cấp độ 1 hoặc Cấp độ 2.
Làm thế nào để sử dụng Điểm quy chuẩn CIS trên AWS?
CIS là đối tác Nhà cung cấp phần mềm độc lập (ISV) của AWS, còn AWS là Công ty thành viên của Điểm quy chuẩn bảo mật CIS. Điểm quy chuẩn CIS bao gồm các hướng dẫn để cấu hình bảo mật một tập con của dịch vụ đám mây AWS và các cài đặt ở cấp độ tài khoản.
Ví dụ: CIS phác thảo các cài đặt cấu hình phương pháp tốt nhất cho AWS trong Điểm quy chuẩn CIS, ví dụ:
- Điểm quy chuẩn nền tảng AWS của CIS
- Điểm quy chuẩn Amazon Linux 2 của CIS
- Điểm quy chuẩn Dịch vụ Kubernetes linh hoạt (EKS) Amazon của CIS
- Điểm quy chuẩn Điện toán người dùng cuối của AWS
Bạn cũng có thể truy cập các hình ảnh Đám mây điện toán linh hoạt (EC2) của Amazon được CIS tăng cường bảo mật trong Chợ điện tử AWS để có thể tự tin rằng các hình ảnh Amazon EC2 của bạn đáp ứng Điểm quy chuẩn CIS.
Tương tự, bạn có thể tự động hóa công tác kiểm tra để đảm bảo rằng bản triển khai AWS đáp ứng những đề xuất được đặt ra trong tiêu chuẩn Điểm quy chuẩn nền tảng AWS của CIS. Trung tâm bảo mật AWS hỗ trợ tiêu chuẩn Điểm quy chuẩn nền tảng AWS của CIS, bao gồm 43 biện pháp kiểm soát và 32 yêu cầu về Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) trên khắp 14 dịch vụ AWS. Sau khi được bật, Trung tâm bảo mật AWS lập tức bắt đầu chạy kiểm tra bảo mật liên tục và tự động đối với từng biện pháp kiểm soát và mỗi tài nguyên liên quan được liên kết với biện pháp kiểm soát đó.
Đảm bảo cơ sở hạ tầng đám mây của bạn tuân thủ CIS và bắt đầu sử dụng AWS bằng cách tạo tài khoản AWS miễn phí ngay hôm nay.
Các bước tiếp theo để sử dụng Điểm quy chuẩn CIS với AWS
Bắt đầu xây dựng với AWS trên Bảng điều khiển quản lý AWS.