背景
近日,Alibaba Cloud Linux 3 CIS 安全基线正式通过 CIS 认证。Alibaba Cloud Linux 3 是阿里云官方基于龙蜥社区(OpenAnolis)的龙蜥操作系统(Anolis OS)打造的第三代发行版操作系统,兼容 RHEL/CentOS 8。随着 CentOS 8 的停服,使用 Anolis OS 或者 Alibaba Cloud Linux 3 来替代 CentOS 已经成为很多企业的第一选择。完成 CIS 安全基线的认证,能够更好地保障客户的安全性,帮助客户在停服后提高竞争力。
CIS(全称Center for Internet Security,即互联网安全中心),是一个具有几十年历史的全球知名非营利信息安全组织,致力于采用线上社区的模式与大公司、*机构、学术机构一起打造优秀的安全实践解决方案(各种 benchmarks),详情可以参见维奇百科。当前发布的操作系统大多都已经提供 CIS benchmark,包括 CentOS、Ubuntu、Windows 等,详情可以参见 CIS 网站。当前完成 CIS benchmark 认证,已经成为很多阿里云客户对于 OS 安全的重要评判依据之一。
此外,在 2019 年我们完成了 Alibaba Cloud Linux 2 的 CIS 安全基线的认证,成为国内唯一完成 CIS 安全基线认证的 OSV。在 2021 年 6 月,我们与 ACK 合作发布了基于 Alibaba Cloud Linux 2 的 CIS 加固的 ACK 集群。ACK 集群的 CIS 加固方案能够满足客户对于阿里云更加简单、快捷、稳定、安全的使用的需求。当用户创建 ACK 集群时,如果选择 Alibaba Cloud Linux 2,就可以选择启动配置 CIS 加固,使集群在创建时自动执行对应的 CIS 加固项,直接满足 CIS benckmark 中对操作系统的大部分安全保护要求。在 Alibaba Cloud Linux 3 上完成 CIS 安全基线的认证将继续巩固我们的竞争力,提高 Alibaba Cloud Linux 3 的安全水位。
下载地址与步骤
CIS Alibaba Cloud Linux 3 Benchmark v1.0.0 在 2022 年 02 月 06 日正式通过了 CIS 的全部认证流程,CIS 对外发布 CIS Alibaba Cloud Linux 3 benchmark v1.0.0 (发布详情见文末链接)。您可以通过以下三种方式进行下载:
方式一:CIS下载页面下载
直接访问 CIS 下载页 , 找到下图中CIS Alibaba Cloud Linux 3 benchmark v1.0.0
点击进行下载。
方式二:注册 CIS 账号下载
您可以直接访问 CIS Alibaba Cloud Linux 3 benchmark v1.0.0 PDF 页面进行下载(或点击阅读原文直达下载界面)。这只需要注册 CIS 账号,然后登录并进行下载。这种方法相对比较简单,还能后续参与到 CIS 社区的讨论和开发中去。
方式三:邮件下载
此外,您也可以在 CIS Benchmarks 首页进行下载,然后按照以下步骤填写邮箱等信息,最后在邮件中下载对应的 benchmark,具体如下:首先,按照图中所示选定分类
其次,找到 CIS Benchmark for Alibaba Cloud Linux 3
接下来,填写基本资料
最后,您将会在上面填写的邮箱里收到 CIS 发送的邮件,点击下载对应的 benchmark 即可。
特点
Baseline
Alibaba Cloud Linux 3 兼容 CentOS 8, CIS benchmark 的 baseline 也尽可能与 CentOS 8 保持一致。
安全等级
CIS Alibaba Cloud Linux 3 Benchmark 分为 Level 1 和 Level 2。其中 Level 1 是说此加固条目是基础项加固且基本不会带来性能影响,Level 2 是说明此条目是安全性要求较高、且可能会带来一定的性能开销。
计分规则
CIS Alibaba Cloud Linux 3 Benchmark 分为 Automated 和 Manual 两类,Autmoated 表示该项能够通过 CIS-CAT 扫描器自动验证是否通过,因此计分;Manual 则表示该项无法自动验证是否通过,因此不计分(即使加固了也不加分,不加固也不丢分)。
另外我们根据 Alibaba Cloud Linux 2 CIS 的产品化经验,发现有些需要用户参与的 CIS 加固项(比如配置防火墙规则)、CIS-CAT 扫描不能较好地检测出是否通过或者失败,并且这些项也不能通过通用的脚本修复。经过跟 CIS 讨论后,在 CIS Alibaba Cloud Linux 3 Benchmark 中将一部分需要用户参与的13项由 Automated 改成 Manual。
-
每一项的内容
CIS Alibaba Cloud Linux 3 Benchmark 一共 266 项,相比 Alibaba Cloud Linux 2 的 204 项增加了 30.39%;在内容上由之前的 358 页增加到 647 页,增加了 80.72% 左右。其中每一项包含:
-
Profile Applicability:安全等级,其分为了 Level 1 和 Level 2;
-
Description:加固条目的简单介绍;
-
Rationale:用于描述条目的细节和背景,告诉读者这么加固的意义和原因;
-
Audit:关键项,用于判断检测系统是否达标的脚本。根据此脚本的运行返回值来判断是否需要加固;
-
Remediation:关键项,如果 Audit 环节判断系统需要进行加固,那此环节就是执行脚本进行安全处理;
-
Impact:影响,主要来描述如果不进行正确配置可能会导致的影响;
-
References:参考文献;
- CIS Controls:此条目对应的 CIS control 文档的讲解,需要注册后才能下载。
整个benchmark所包含的内容非常多并且非常详细,用户可以参考指导并结合自己的需求进行配置,或者也可以联系阿里云操作系统团队进行配置。
总结与展望
完成 CIS Alibaba Cloud Linux 3 Benchmark 认证的意义重大。但这只是一个开始,后面我们还将继续完善对应的产品化工具,比如与 CIS 一起完善 Build Kit 加固工具、CIS-CAT 扫描验证工具等,进而提高 Alibaba Cloud Linux 3 的安全水位和巩固其竞争力。
相关链接地址
【1】Alibaba Cloud Linux 3 链接地址:
https://help.aliyun.com/document_detail/212631.html
【2】邮件下载链接:
https://www.cisecurity.org/cis-benchmarks/
【3】CIS下载页地址:
https://downloads.cisecurity.org/#/
【4】CIS Alibaba Cloud Linux 3 benchmark v1.0.0 PDF页面地址:
https://workbench.cisecurity.org/files/3700
【5】Benchmarks首页地址:
https://www.cisecurity.org/cis-benchmarks/
【6】CIS 网站地址:
https://workbench.cisecurity.org/
【7】维奇百科链接地址:
https://en.wikipedia.org/wiki/Center_for_Internet_Security?spm=ata.13261165.0.0.752c759eSNyukl
【8】Alibaba Cloud Linux 2 CIS Benchmark 链接:
https://workbench.cisecurity.org/benchmarks/2228
【9】Alibaba Cloud Linux 2 的 CIS 加固的 ACK 集群链接:
https://help.aliyun.com/document_detail/223744.html
【10】Alibaba Cloud Linux 3 CIS Benchmark链接:
https://workbench.cisecurity.org/files/3700
联系方式:打开钉钉扫描下方二维码或搜索钉钉群号(23149462 )入群联系配置