معیارهای CIS چیست؟
سرویس‌های ابری

معیارهای CIS چیست؟

توسط . ارسال شده در

معیارهای CIS چیست؟

معیارهای CIS از مرکز امنیت اینترنت (CIS) مجموعه‌ای از بهترین شیوه‌های شناخته‌شده جهانی و مبتنی بر اجماع هستند که به متخصصان امنیت کمک می‌کنند تا دفاع‌های سایبری خود را پیاده‌سازی و مدیریت کنند. این رهنمودها با همکاری جامعه جهانی کارشناسان امنیت توسعه یافته‌اند و به سازمان‌ها کمک می‌کنند تا به‌صورت پیش‌فعال در برابر خطرات نوظهور محافظت کنند. شرکت‌ها رهنمودهای معیار CIS را برای کاهش آسیب‌پذیری‌های امنیتی مبتنی بر پیکربندی در دارایی‌های دیجیتال خود پیاده‌سازی می‌کنند.

چرا معیارهای CIS مهم هستند؟

ابزارهایی مانند معیارهای CIS مهم هستند زیرا بهترین شیوه‌های امنیتی را که توسط متخصصان امنیت و کارشناسان موضوعی توسعه یافته‌اند، برای استقرار بیش از ۲۵ محصول فروشنده مختلف ارائه می‌دهند. این بهترین شیوه‌ها نقطه شروع خوبی برای ایجاد یک طرح استقرار محصول یا خدمت جدید یا برای تأیید امنیت استقرارهای موجود هستند.

هنگامی که معیارهای CIS را پیاده‌سازی می‌کنید، می‌توانید با انجام اقداماتی مانند موارد زیر، سیستم‌های قدیمی خود را در برابر خطرات رایج و نوظهور بهتر ایمن کنید:

  • غیرفعال کردن پورت‌های استفاده‌نشده
  • حذف مجوزهای غیرضروری برنامه‌ها
  • محدود کردن امتیازات مدیریتی

سیستم‌های فناوری اطلاعات و برنامه‌ها همچنین با غیرفعال کردن خدمات غیرضروری عملکرد بهتری دارند.

مثال معیارهای CIS

برای مثال، مدیران می‌توانند رهنمودهای گام‌به‌گام معیار پایه‌های AWS CIS را دنبال کنند تا به آنها در تنظیم سیاست رمز عبور قوی برای مدیریت هویت و دسترسی AWS (IAM) کمک کند. اجرای سیاست رمز عبور، استفاده از احراز هویت چندمرحله‌ای (MFA)، غیرفعال کردن حساب ریشه، اطمینان از چرخش کلیدهای دسترسی هر ۹۰ روز و سایر تاکتیک‌ها رهنمودهای هویتی متمایز اما مرتبط هستند که امنیت حساب AWS را بهبود می‌بخشند.

با پذیرش معیارهای CIS، سازمان شما می‌تواند مزایای سایبری متعددی کسب کند، از جمله موارد زیر:

رهنمودهای تخصصی سایبری

معیارهای CIS چارچوبی از پیکربندی‌های امنیتی را ارائه می‌دهند که توسط کارشناسان تأیید شده و اثبات‌شده هستند. شرکت‌ها می‌توانند از سناریوهای آزمون و خطا که امنیت را به خطر می‌اندازند اجتناب کنند و از تخصص جامعه متنوع فناوری اطلاعات و امنیت سایبری بهره‌مند شوند.

استانداردهای امنیتی جهانی شناخته‌شده

معیارهای CIS تنها رهنمودهای بهترین شیوه هستند که به‌طور جهانی توسط دولت‌ها، کسب‌وکارها، تحقیقات و مؤسسات دانشگاهی پذیرفته شده‌اند. به لطف جامعه جهانی و متنوعی که بر اساس مدل تصمیم‌گیری مبتنی بر اجماع کار می‌کند، معیارهای CIS کاربرد و پذیرش بسیار گسترده‌تری نسبت به قوانین و استانداردهای امنیتی منطقه‌ای دارند.

پیشگیری مقرون‌به‌صرفه از تهدیدات

مستندات معیار CIS به‌صورت رایگان برای دانلود و پیاده‌سازی در دسترس همه است. شرکت شما می‌تواند دستورالعمل‌های گام‌به‌گام به‌روز را برای انواع سیستم‌های فناوری اطلاعات بدون هزینه دریافت کند. می‌توانید به حاکمیت فناوری اطلاعات دست یابید و از خسارات مالی و اعتباری ناشی از تهدیدات سایبری قابل‌پیشگیری جلوگیری کنید.

انطباق نظارتی

معیارهای CIS با چارچوب‌های اصلی امنیت و حریم خصوصی داده مانند موارد زیر هم‌راستا هستند:

  • چارچوب امنیت سایبری مؤسسه ملی استانداردها و فناوری (NIST)
  • قانون قابلیت انتقال و پاسخگویی بیمه سلامت (HIPAA)
  • استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI DSS)

پیاده‌سازی معیارهای CIS گامی بزرگ به سوی دستیابی به انطباق برای سازمان‌هایی است که در صنایع با نظارت سنگین فعالیت می‌کنند. آنها می‌توانند از ناکامی‌های انطباق ناشی از پیکربندی نادرست سیستم‌های فناوری اطلاعات جلوگیری کنند.

معیارهای CIS چه نوع سیستم‌های فناوری اطلاعاتی را پوشش می‌دهند؟

CIS بیش از ۱۰۰ معیار را منتشر کرده است که بیش از ۲۵ خانواده محصول فروشندگان را در بر می‌گیرند. هنگامی که معیارهای CIS را در تمام انواع سیستم‌های فناوری اطلاعات اعمال و نظارت می‌کنید، محیط فناوری اطلاعاتی ذاتاً امن ایجاد می‌کنید که می‌توانید با راه‌حل‌های امنیتی بیشتر از آن دفاع کنید. فناوری‌هایی که معیارهای CIS پوشش می‌دهند می‌توانند به‌طور کلی در هفت دسته زیر گروه‌بندی شوند:

سیستم‌های عامل

معیارهای CIS برای سیستم‌های عامل پیکربندی‌های امنیتی استاندارد را برای سیستم‌های عامل محبوب، از جمله Amazon Linux، ارائه می‌دهند. این معیارها شامل بهترین شیوه‌ها برای ویژگی‌هایی مانند موارد زیر هستند:

  • کنترل دسترسی به سیستم عامل
  • سیاست‌های گروهی
  • تنظیمات مرورگر وب
  • مدیریت وصله‌ها

زیرساخت و خدمات ابری

معیارهای CIS برای زیرساخت ابری استانداردهای امنیتی را ارائه می‌دهند که شرکت‌ها می‌توانند برای پیکربندی امن محیط‌های ابری، مانند آنهایی که توسط AWS ارائه می‌شوند، استفاده کنند. این رهنمودها شامل بهترین شیوه‌ها برای تنظیمات شبکه مجازی، پیکربندی‌های مدیریت هویت و دسترسی AWS (IAM)، کنترل‌های انطباق و امنیت و غیره هستند.

نرم‌افزار سرور

معیارهای CIS برای نرم‌افزار سرور خطوط پایه پیکربندی و توصیه‌هایی برای تنظیمات سرور، کنترل‌های مدیریت سرور، تنظیمات ذخیره‌سازی و نرم‌افزار سرور از فروشندگان محبوب ارائه می‌دهند.

نرم‌افزار دسکتاپ

معیارهای CIS اکثر نرم‌افزارهای دسکتاپی که سازمان‌ها معمولاً استفاده می‌کنند را پوشش می‌دهند. این رهنمودها شامل بهترین شیوه‌ها برای مدیریت ویژگی‌های نرم‌افزار دسکتاپ، مانند موارد زیر هستند:

  • نرم‌افزار دسکتاپ شخص ثالث
  • تنظیمات مرورگر
  • امتیازات دسترسی
  • حساب‌های کاربری
  • مدیریت دستگاه‌های مشتری

دستگاه‌های موبایل

معیارهای CIS برای دستگاه‌های موبایل پیکربندی‌های امنیتی را برای سیستم‌های عاملی که روی تلفن‌های همراه، تبلت‌ها و سایر دستگاه‌های دستی اجرا می‌شوند، پوشش می‌دهند. آنها توصیه‌هایی برای تنظیمات مرورگر موبایل، مجوزهای برنامه، تنظیمات حریم خصوصی و غیره ارائه می‌دهند.

دستگاه‌های شبکه

معیارهای CIS همچنین پیکربندی‌های امنیتی را برای دستگاه‌های شبکه مانند فایروال‌ها، روترها، سوئیچ‌ها و شبکه‌های خصوصی مجازی (VPN) ارائه می‌دهند. آنها شامل توصیه‌های خنثی از فروشنده و خاص فروشنده برای اطمینان از تنظیم و مدیریت امن این دستگاه‌های شبکه هستند.

دستگاه‌های چاپ چندمنظوره

معیارهای CIS برای تجهیزات جانبی شبکه مانند چاپگرهای چندمنظوره، اسکنرها و دستگاه‌های کپی، بهترین شیوه‌های پیکربندی امن مانند تنظیمات اشتراک فایل، محدودیت‌های دسترسی و به‌روزرسانی‌های firmware را پوشش می‌دهند.

سطوح معیارهای CIS چیست؟

برای کمک به سازمان‌ها در دستیابی به اهداف امنیتی منحصربه‌فردشان، CIS برای هر رهنمود معیار CIS یک سطح پروفایل تعیین می‌کند. هر پروفایل CIS شامل توصیه‌هایی است که سطح متفاوتی از امنیت را ارائه می‌دهند. سازمان‌ها می‌توانند بر اساس نیازهای امنیتی و انطباق خود پروفایلی را انتخاب کنند.

پروفایل سطح ۱

توصیه‌های پیکربندی برای پروفایل سطح ۱ توصیه‌های امنیتی پایه برای پیکربندی سیستم‌های فناوری اطلاعات هستند. آنها آسان برای اجرا هستند و بر عملکرد کسب‌وکار یا زمان دسترسی تأثیر نمی‌گذارند. این توصیه‌ها تعداد نقاط ورودی به سیستم‌های فناوری اطلاعات شما را کاهش می‌دهند و در نتیجه خطرات سایبری را کاهش می‌دهند.

پروفایل سطح ۲

توصیه‌های پیکربندی پروفایل سطح ۲ برای داده‌های بسیار حساس که امنیت در آنها اولویت دارد، بهترین عملکرد را دارند. اجرای این توصیه‌ها نیازمند تخصص حرفه‌ای و برنامه‌ریزی دقیق برای دستیابی به امنیت جامع با حداقل اختلال است. اجرای توصیه‌های پروفایل سطح ۲ همچنین به دستیابی به انطباق نظارتی کمک می‌کند.

پروفایل STIG

راهنمای پیاده‌سازی فنی امنیتی (STIG) مجموعه‌ای از خطوط پایه پیکربندی از آژانس سیستم‌های اطلاعاتی دفاع (DISA) است. وزارت دفاع ایالات متحده این استانداردهای امنیتی را منتشر و نگهداری می‌کند. STIG‌ها به‌طور خاص برای برآورده کردن الزامات دولت ایالات متحده نوشته شده‌اند.

معیارهای CIS همچنین یک پروفایل STIG سطح ۳ را مشخص می‌کنند که برای کمک به سازمان‌ها در انطباق با STIG طراحی شده است. پروفایل STIG شامل توصیه‌های پروفایل سطح ۱ و سطح ۲ خاص STIG است و توصیه‌های بیشتری را ارائه می‌دهد که پروفایل‌های دیگر پوشش نمی‌دهند اما توسط STIG‌های DISA الزامی هستند.

هنگامی که سیستم‌های خود را طبق معیارهای STIG CIS پیکربندی می‌کنید، محیط فناوری اطلاعات شما هم با CIS و هم با STIG سازگار خواهد بود.

معیارهای CIS چگونه توسعه می‌یابند؟

جوامع CIS از یک فرآیند منحصربه‌فرد مبتنی بر اجماع برای توسعه، تأیید و نگهداری معیارهای CIS برای سیستم‌های هدف مختلف استفاده می‌کنند. به‌طور کلی، فرآیند توسعه معیار CIS به این صورت است:

  • جامعه نیاز به یک معیار خاص را شناسایی می‌کند.
  • دامنه معیار را تعیین می‌کنند.
  • داوطلبان موضوعات بحث را در وب‌سایت جامعه WorkBench CIS ایجاد می‌کنند.
  • کارشناسان از جامعه CIS خاص سیستم فناوری اطلاعات زمان صرف بررسی و بحث درباره پیش‌نویس کاری می‌کنند.
  • کارشناسان توصیه‌های خود را ایجاد، بحث و آزمایش می‌کنند تا به اجماع برسند.
  • معیار را نهایی کرده و در وب‌سایت CIS منتشر می‌کنند.
  • داوطلبان بیشتری از جامعه به بحث معیار CIS می‌پیوندند.
  • تیم اجماع بازخورد افرادی که معیار را پیاده‌سازی می‌کنند را در نظر می‌گیرد.
  • آنها بازبینی‌ها و به‌روزرسانی‌ها را در نسخه‌های جدید معیار CIS انجام می‌دهند.

انتشار نسخه‌های جدید معیارهای CIS همچنین به تغییرات یا ارتقاء سیستم‌های فناوری اطلاعات مربوطه بستگی دارد.

چگونه می‌توان معیارهای CIS را پیاده‌سازی کرد؟

هر معیار CIS شامل توضیحی از توصیه، دلیل توصیه و دستورالعمل‌هایی است که مدیران سیستم می‌توانند برای اجرای صحیح توصیه دنبال کنند. هر معیار می‌تواند شامل صدها صفحه باشد زیرا هر حوزه از سیستم فناوری اطلاعات هدف را پوشش می‌دهد.

پیاده‌سازی معیارهای CIS و به‌روز ماندن با تمام نسخه‌های منتشرشده اگر به‌صورت دستی انجام شود، پیچیده می‌شود. به همین دلیل بسیاری از سازمان‌ها از ابزارهای خودکار برای نظارت بر انطباق CIS استفاده می‌کنند. CIS همچنین ابزارهای رایگان و پریمیوم ارائه می‌دهد که می‌توانید از آنها برای اسکن سیستم‌های فناوری اطلاعات و تولید گزارش‌های انطباق CIS استفاده کنید. این ابزارها به مدیران سیستم هشدار می‌دهند اگر پیکربندی‌های موجود با توصیه‌های معیار CIS مطابقت نداشته باشند.

چه منابع امنیتی دیگری همراه با معیارهای CIS ارائه می‌شوند؟

CIS همچنین منابع دیگری را برای بهبود امنیت اینترنت سازمان منتشر می‌کند، از جمله دو منبع اصلی زیر:

کنترل‌های CIS

کنترل‌های CIS (که قبلاً کنترل‌های امنیتی حیاتی CIS نامیده می‌شدند) منبع دیگری است که CIS به‌عنوان یک راهنمای جامع بهترین شیوه برای امنیت سیستم و شبکه منتشر می‌کند. این راهنما شامل چک‌لیستی از ۲۰ اقدام و حفاظت با اولویت بالا است که اثربخشی آنها در برابر تهدیدات سایبری فراگیر و مخرب در سیستم‌های فناوری اطلاعات اثبات شده است.

کنترل‌های CIS با اکثر استانداردها و چارچوب‌های نظارتی اصلی مانند موارد زیر هم‌راستا هستند:

  • چارچوب امنیت سایبری مؤسسه ملی استانداردها و فناوری (NIST)
  • NIST 800-53
  • قانون قابلیت انتقال و پاسخگویی بیمه سلامت (HIPAA)، استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI DSS)، قانون مدیریت امنیت اطلاعات فدرال (FISMA) و دیگران در سری استانداردهای ISO 27000

کنترل‌های CIS نقطه شروعی برای پیروی از هر یک از این چارچوب‌های انطباق ارائه می‌دهند.

معیارهای CIS در مقابل کنترل‌های CIS

کنترل‌های CIS رهنمودهای نسبتاً کلی برای ایمن‌سازی کل سیستم‌ها و شبکه‌ها هستند، اما معیارهای CIS توصیه‌های بسیار خاص برای پیکربندی‌های امن سیستم هستند. معیارهای CIS گامی حیاتی برای پیاده‌سازی کنترل‌های CIS هستند زیرا هر توصیه معیار CIS به یک یا چند کنترل CIS اشاره دارد.

برای مثال، کنترل CIS 3 پیکربندی‌های امن سخت‌افزار و نرم‌افزار را برای سیستم‌های کامپیوتری پیشنهاد می‌کند. معیارهای CIS راهنمایی‌های خنثی از فروشنده و خاص فروشنده همراه با دستورالعمل‌های دقیق ارائه می‌دهند که مدیران می‌توانند برای پیاده‌سازی کنترل CIS 3 دنبال کنند.

تصاویر سخت‌شده CIS

یک ماشین مجازی (VM) یک محیط محاسباتی مجازی است که سخت‌افزار کامپیوتری اختصاصی را شبیه‌سازی می‌کند. تصاویر VM قالب‌هایی هستند که مدیران سیستم برای ایجاد سریع چندین VM با پیکربندی‌های سیستم عامل مشابه استفاده می‌کنند. با این حال، اگر تصویر VM به‌درستی پیکربندی نشده باشد، نمونه‌های VM ایجادشده از آن نیز نادرست پیکربندی شده و آسیب‌پذیر خواهند بود.

CIS تصاویر سخت‌شده CIS را ارائه می‌دهد که تصاویر VM هستند که قبلاً طبق استانداردهای معیار CIS پیکربندی شده‌اند.

مزایای استفاده از تصاویر سخت‌شده CIS

تصاویر سخت‌شده CIS مفید هستند زیرا ویژگی‌های زیر را ارائه می‌دهند:

  • از قبل طبق خطوط پایه معیار CIS پیکربندی شده‌اند
  • آسان برای استقرار و مدیریت
  • توسط CIS به‌روز و وصله می‌شوند

بسته به نیازهای امنیتی و انطباق شما، می‌توانید تصاویر سخت‌شده CIS را انتخاب کنید که به پروفایل سطح ۱ یا سطح ۲ پیکربندی شده‌اند.

قبلیسرور اختصاصی (Dedicated Server) چیست؟
بعدیکانتینر سازی (Containerization) چیست؟

دیدگاهتان را بنویسید

سبد خرید
علاقه‌مندی‌ها
مشاهدات اخیر
دسته بندی ها