CIS 벤치마크는 공개적으로 사용 가능한 보안 로드맵으로, 조직이 사이버 위협에 대해 IT 시스템을 강화하는 데 도움이 되는 핵심 권장 사항을 제공합니다. 그들은 에 의해 만들어졌습니다. 인터넷 보안 센터(CIS), "연결된 세상에서 자신감 창출"을 위해 노력하는 커뮤니티 기반 비영리 조직입니다.
8가지 주요 범주에서 140개 이상의 CIS 벤치마크가 전 세계 IT 전문가의 커뮤니티 기반 합의를 통해 현재까지 생성되었습니다. 이것들은 에 매핑됩니다. CIS 중요 보안 제어 또한 다른 사람과 정렬할 수 있습니다. 표준화된 프레임워크 NIST, PCI-DSS, HIPAA 등과 같은.
CIS 벤치마크는 다음의 중심 지침 요소로 설계되었습니다. 포괄적인 사이버 보안 프로그램 준비. CIS는 벤치마크 지침을 비상업적 용도로 보안 전문가에게 무료 PDF 다운로드로 제공하지만, 조직은 상업적 멤버십 및 추가 서비스를 통해서도 수익을 창출합니다.
Free Cloud Security Risk Assessment
Connect with a Wiz expert for a personal walkthrough of the critical risks in each layer of your environment.
Learn more
CIS 벤치마크가 조직을 더 안전하게 만드는 방법은 무엇입니까?
CIS 벤치마크는 전 세계 IT 전문가들의 합의를 통해 만들어졌기 때문에 잘 알려져 있고 널리 받아들여지고 있습니다. 이러한 전문가들은 모든 조직이 사이버 공격자에 맞서 강력한 출발을 할 수 있도록 학습한 광범위한 교훈과 모범 사례를 집계했습니다.
CIS 벤치마크를 따르면 다음과 같은 이점을 얻을 수 있습니다.
악용 가능한 약점을 최소화하여 공격 표면 감소
탄탄한 기반을 갖춘 더 강력한 기본 보안
업계 표준과 일치하여 잠재적으로 감사 위험을 줄이는 동시에 규정 준수 및 전반적인 보안 태세를 단순화합니다.
명확한 구성 지침을 통한 구성 오류 감소
업계 합의에 의해 결정된 가장 일반적으로 알려진 위협에 대한 더 나은 복원력
또한 CIS 벤치마크는 공급업체에 구애받지 않으므로 글로벌 IT 커뮤니티의 결합된 인텔리전스를 제공합니다. 광범위한 시스템 및 장치에서 보안을 강화하는 것 외에도 CIS 벤치마크 수정을 따르면 시스템 성능과 지속 가능성도 개선할 수 있습니다.
CIS 벤치마크의 8개 범주
조직이 보안 프로그램과 가장 관련성이 높은 CIS 벤치마크를 결정하는 데 도움이 되도록 CIS 벤치마크는 8가지 일반 범주로 나뉩니다.
클라우드 공급자: ID 및 액세스 제어(IAM), 시스템 로깅 메커니즘, 네트워크 보안 설정 및 규정 준수에 따른 보호 조치를 구성하기 위한 모범 사례를 제공합니다. Amazon Web Services(AWS, 예: AWS Compute Services), Alibaba Cloud, Microsoft 365 등이 포함됩니다.
데스크톱 소프트웨어: 이메일 보안, 모바일 장치 관리, 웹 브라우징 및 타사 소프트웨어 위험 완화를 포함하여 널리 사용되는 데스크톱 애플리케이션에 대한 보안 구성 지침을 제공합니다. 여기에는 생산성 소프트웨어(예: Microsoft Office, Zoom) 및 웹 브라우저(예: Mozilla Firefox, Safari)를 포함하는 하위 범주가 포함되어 있습니다
DevSecOps 도구: 보안 팀이 DevSecOps 파이프라인을 보호할 수 있도록 지원하고, 개발 및 통합 도구 내에서 보안 제어를 구성하기 위한 모범 사례를 제공합니다. GitHub 및 GitLab에 대한 소프트웨어 공급망 보안 조치가 포함되어 있습니다.
모바일 장치: 팀이 개발자 설정, 운영 체제 개인 정보 구성 및 보안 웹 브라우징 설정 및 세분화된 앱 권한 제어를 최적화하는 데 집중할 수 있도록 지원합니다. Apple iOS 및 Android에 대한 하위 범주 포함
인쇄 장치: 현재 하나의 벤치마크인 CIS 다기능 장치만 포함되어 있습니다. 펌웨어 업데이트, 네트워크 구성, 무선 액세스, 사용자 관리 및 파일 공유 제어를 포함한 취약한 장치를 강화하는 데 중점을 둡니다.
네트워크 장치: 일반적인 모범 사례와 공급업체별 구성을 모두 포괄하는 보안 강화 지침을 제공하여 특정 하드웨어에 대한 최적의 보안을 보장합니다. Cisco 및 Palo Alto Networks의 네트워크 보안 장치 포함
운영 체제: 로컬 및 원격 액세스, 사용자 계정 관리, 드라이버 설치 프로토콜 및 보안 웹 브라우저 설정에 대한 제어를 다룹니다. 하위 범주에는 Linux(예: Debian, Ubuntu), Microsoft Windows 및 Unix(예: IBM AIX, Apple macOS)가 포함됩니다.
서버 소프트웨어: PKI 인증서 및 API 서버 설정을 포함하여 Kubernetes에 대한 관리 제어, 가상 네트워크 정책, 스토리지 액세스 제한 및 보안 구성을 포괄하는 권장 사항을 제공합니다. 여러 하위 범주에는 웹 서버(예: Microsoft IIS), 데이터베이스 서버(예: MongoDB) 및 가상화된 서버(예: Kubernetes)가 포함됩니다
CIS 벤치마크 분석
각 CIS 벤치마크에는 특정 제품에 대한 권장 사항 목록이 포함되어 있으며, 제품의 복잡성에 따라 권장 사항 수가 달라집니다.
많은 벤치마크에는 수백 개의 매우 상세한 권장 사항이 포함되어 있습니다. 각 권장 사항에 대해 평가 상태는 자동화할 수 있는지 또는 수동 구성이 필요한지 여부를 나타냅니다.
각 CIS 벤치마크에는 다음 두 가지 프로필 중 하나가 할당됩니다.
레벨 1: 미션 크리티컬하지 않은 장치에 대한 적절한 수준의 보안을 달성하기 위한 기본 보안 지침; 수준 1 작업은 시스템 기능에 거의 영향을 주지 않습니다.
레벨 2: 미션 크리티컬 장치에 대한 더 강력한 보안 지침; 이러한 작업은 시스템 기능에 영향을 줄 수 있지만 훨씬 더 강력한 보안을 제공합니다.
마지막으로, 각 권장 사항에는 두 가지 중점 영역이 포함됩니다.
감사: 특정 영역에서 얼마나 안전한지 조사하는 데 도움이 됩니다.
수정: 해당 영역에서 시스템을 강화하기 위한 구성 권장 사항이 있는 작업 단계
일반적인 CIS 권장 사항을 설명할 때 표시되는 내용은 다음과 같습니다.
CIS Foundations 벤치마크 AWS(Amazon Web Services), Google Cloud Computing Platform, Microsoft Azure, Alibaba Cloud 등과 같은 조직을 위한 CSP(클라우드 서비스 제공업체) 보안의 모든 측면을 다룹니다.
다음 두 가지 예는 에서 발췌한 것입니다. AWS에 대한 CIS 재단 벤치마크 일반적인 벤치마크 권장 사항 내에서 볼 수 있는 내용에 대한 더 나은 아이디어를 제공합니다. 하나는 수준 1 예제(기본 보안 지침)이고 다른 하나는 수준 2 예제(더 강력한 보안 지침)입니다.
| Number | 1.19 | 2.12 |
|---|---|---|
| Title | Ensure that all the expired SSL/TLS certificates stored in AWS IAM are removed | Ensure MFA delete is enabled on S3 buckets |
| Assessment status | Automated | Manual |
| Profile | Level 1 | Level 2 |
| Description | To enable HTTPS connections to your website or application in AWS, you need an SSL/TLS server certificate. You can use ACM or IAM to store and deploy server certificates. Use IAM as a certificate manager only when you must support HTTPS connections in a region that is not supported by ACM. IAM securely encrypts your private keys and stores the encrypted version in IAM SSL certificate storage. IAM supports deploying server certificates in all regions, but you must obtain your certificate from an external provider for use with AWS. You cannot upload an ACM certificate to IAM. Additionally, you cannot manage your certificates from the IAM Console. | Once MFA Delete is enabled on your sensitive and classified S3 bucket it requires the user to have two forms of authentication. |
| Rationale statement | Removing expired SSL/TLS certificates eliminates the risk that an invalid certificate will be deployed accidentally to a resource such as AWS Elastic Load Balancing (ELB), which can damage the credibility of the application/website behind the load balancer. As a best practice, it is recommended to delete expired certificates. | Adding MFA delete to an S3 bucket requires additional authentication when you change the version state of your bucket or you delete an object version adding another layer of security in the event your security credentials are compromised or unauthorized access is granted. |
| Impact statement | Deleting the certificate could have implications for your application if you are using an expired server certificate with ELB, CloudFront, etc. One has to make configurations at the respective services to ensure there is no interruption in application functionality. | Enabling MFA delete on an S3 bucket could require additional administrator oversight. Enabling MFA delete may impact other services that automate the creation and/or deletion of S3 buckets. |
| Audit procedure | Audit steps provided (console and command line) | Audit steps provided (console and command line) |
| Remediation procedure | Remediation steps provided (console and command line) | Remediation steps provided (command line only) |
| Default value | By default, expired certificates won't get deleted. | n/a |
| References | References provided | References provided |
| CIS Controls mapping | CIS v8 - 3.1 Establish and Maintain a Data Management Process CIS v7 - 13 Data Protection | CIS v8 - 3.3 Configure Data Access Control Lists 6.5 Require MFA for Administrative Access CIS v7 - 14.6 Protect Information through Access Control Lists |
Wiz: First agentless cloud security vendor to attain CIS SecureSuite Vendor Certification for cloud-managed Kubernetes
더 알아보기
Wiz: 내장된 Kubernetes CIS 벤치마크 인증으로 최초 출시
통합 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) 플랫폼으로서 Wiz는 가장 먼저 인정받은 공급업체였습니다 세 가지 주요 쿠버네티스 벤치마크에 대한 CIS SecureSuite 벤더 인증을 통해 최신 EKS, AKS 및 GKE CIS 벤치마크 규정 준수를 간소화하는 동시에 쿠버네티스 환경을 보호할 수 있는 클라우드 네이티브 방법을 제공합니다.
CIS 벤치마크를 채택하면 보안 팀이 모범 사례를 통해 배우고 오늘날의 주요 위협에 대해 전체 조직을 강화하는 데 도움이 됩니다. 그리고 Wiz를 사용하면 단일 창에서 많은 작업을 수행할 수 있으며, 모든 도구의 데이터를 집계하여 " 를 기반으로 실행 가능하고 우선 순위가 지정된 통찰력을 얻을 수 있습니다.독성 조합"—조직에 대한 실제 위험을 기반으로 한 고유한 취약성 점수입니다. 또한 에이전트가 없기 때문에 규모에 관계없이 전체 조직에 쉽게 배포할 수 있습니다.
Wiz를 사용하면 명확한 수정 지침을 통해 취약점을 사전에 식별하여 공격자보다 훨씬 앞서 클라우드 환경을 보호할 수 있습니다.
지금 데모 받기 Wiz를 사용하여 쿠버네티스 규정 준수를 간소화하고 전체 보안 태세를 강화할 수 있습니다.
100+ Built-In Compliance Frameworks
See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.
