Benchmark del Center for Internet Security (CIS)

Informazioni sui benchmark CIS

Il Center for Internet Security è un'organizzazione no profit la cui missione è quella di "identificare, sviluppare, convalidare, promuovere e sostenere le soluzioni delle procedure consigliate per la difesa informatica". Si avvale delle competenze relative alla sicurezza informatica e dei professionisti IT da parte di enti pubblici, aziende e università di tutto il mondo. Per sviluppare standard e procedure consigliate, tra cui benchmark CIS, controlli e immagini con protezione avanzata, seguono un modello di decisione consensuale.

I benchmark CIS rappresentano le linee di base della configurazione e le procedure consigliate per la configurazione sicura di un sistema. Ciascuna delle raccomandazioni orientative fa riferimento a uno o più controlli CIS sviluppati per aiutare le organizzazioni a migliorare le proprie funzionalità di difesa informatica. I controlli CIS sono associati a numerosi standard e framework normativi consolidati, tra cui il Cybersecurity Framework (CSF) del NIST e NIST SP 800-53, la serie di standard ISO 27000, PCI DSS, HIPAA e altri.

Ogni benchmark subisce due fasi di revisione del consenso. Il primo si verifica durante lo sviluppo iniziale quando gli esperti si riuniscono per discutere, creare e testare bozze di lavoro fino a raggiungere il consenso sul benchmark. Durante la seconda fase, dopo che il benchmark è stato pubblicato, il team preposto al consenso rivede il feedback della community Internet per incorporarlo nel benchmark.

I benchmark CIS forniscono due livelli di impostazioni di sicurezza:

  • Il livello 1 raccomanda requisiti di sicurezza di base essenziali che possono essere configurati su qualsiasi sistema e dovrebbero causare un'interruzione del servizio o una funzionalità ridotta minime o nulle.
  • Il livello 2 raccomanda impostazioni di sicurezza per ambienti che richiedono una maggiore sicurezza, il che potrebbe comportare funzionalità ridotte.

Le immagini con protezione avanzata del CIS sono immagini di macchine virtuali configurate in modo sicuro basate su benchmark CIS con protezione avanzata a un profilo benchmark CIS di livello 1 o livello 2. La protezione avanzata è un processo che aiuta a proteggere da accessi non autorizzati, attacchi denial of service e altre minacce informatiche limitando i potenziali punti deboli che rendono i sistemi vulnerabili agli attacchi informatici.

Microsoft e i benchmark CIS

Il Center for Internet Security (CIS) include riferimenti per i prodotti e i servizi Microsoft, tra cui Microsoft Azure and Microsoft 365 Foundations Benchmarks (Benchmark di Microsoft Azure and Microsoft 365 Foundations), Windows 10 Benchmark (Benchmark di Windows 10) e Windows Server 2016 Benchmark (Benchmark di Windows Server). Il CIS Microsoft Azure Foundations Benchmark è destinato ai clienti che intendono sviluppare, distribuire, valutare o proteggere soluzioni che incorporano Azure. Il documento fornisce indicazioni prescrittive per stabilire una configurazione di base sicura per Azure.

I benchmark CIS sono riconosciuti a livello internazionale come standard di sicurezza per la difesa di sistemi e dati IT dagli attacchi informatici. Usati da migliaia di aziende, offrono una guida prescrittiva per stabilire una configurazione di base sicura. Gli amministratori di sistema e delle applicazioni, gli specialisti della sicurezza e altri che sviluppano soluzioni utilizzando prodotti e servizi Microsoft possono utilizzare queste procedure consigliate per valutare e migliorare la sicurezza delle proprie applicazioni.

Come tutti i benchmark CIS , i benchmark Microsoft sono stati creati tramite un processo di revisione del consenso basato sul contributo di esperti in materia provenienti da diversi settori che spaziano da sviluppo software, controllo e conformità, ricerca sulla sicurezza, operazioni, enti governativi e giuridici. Microsoft è stato parte integrante del lavoro del CIS. Ad esempio, Office 365 è stato testato in merito ai servizi elencati e il risultante Microsoft 365 Foundations Benchmark (Benchmark di Microsoft 365 Foundations) copre un'ampia gamma di consigli per l'impostazione di criteri di sicurezza appropriati che coprono account e autenticazione, gestione dei dati, autorizzazioni delle applicazioni, archiviazione e altre aree dei criteri di sicurezza.

Oltre ai benchmark per i prodotti e i servizi Microsoft, il CIS ha pubblicato CIS Hardened Images in Azure (Immagini con protezione avanzata del CIS in Azure) configurato per soddisfare i benchmark CIS e disponibile in Microsoft Azure Marketplace. Queste immagini includono le immagini con protezione avanzata del CIS per Windows Server 2016 e Windows Server 2019, nonché molte versioni di Linux. Tutte le immagini con protezione avanzata del CIS disponibili in Azure Marketplace sono certificate per l'esecuzione in Microsoft Azure. Come dichiarato dal CIS "Sono state precedentemente testate per l'idoneità e la compatibilità con il cloud pubblico di Microsoft Azure, la piattaforma cloud Microsoft ospitata dai provider di servizi attraverso la rete del sistema operativo cloud e le distribuzioni in locale di Hyper-V di Windows Server del cloud privato interno gestite dai clienti".

Le immagini con protezione avanzata del CIS sono immagini di macchine virtuali configurate in modo sicuro basate sul benchmark CIS con protezione avanzata a un profilo benchmark CIS di livello 1 o livello 2. La protezione avanzata è un processo che consente di proteggere da accessi non autorizzati, attacchi denial of service e altre minacce informatiche limitando i potenziali punti deboli che rendono i sistemi vulnerabili agli attacchi informatici. Le immagini con protezione avanzata del CIS sono disponibili sia in Azure che in Azure per enti pubblici.

Per ulteriore assistenza, Microsoft offre Azure Blueprints, un servizio che consente di distribuire e aggiornare gli ambienti cloud in modo ripetibile usando artefatti componibili, ad esempio modelli di Azure Resource Manager per il provisioning di risorse e controlli degli accessi in base al ruolo e criteri. Le risorse sottoposte a provisioning tramite Azure Blueprints rispettano gli standard, i modelli e i requisiti di conformità di un'organizzazione. L'obiettivo generale di Azure Blueprints è quello di automatizzare la gestione dei rischi di conformità e cybersecurity negli ambienti cloud. Per semplificare la distribuzione di un set di criteri di base per le architetture basate su Azure che devono implementare raccomandazioni CIS Azure Foundations Benchmark, Microsoft ha pubblicato Azure Blueprint for CIS Microsoft Azure Foundations Benchmark (Azure Blueprint per il Benchmark di Microsoft Azure Foundations del CSI). Quando vengono assegnate a un'architettura, le risorse vengono valutate dai Criteri di Azure per la conformità con le definizioni dei criteri assegnati.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Controlli, report e certificati

Ottenere un elenco completo dei benchmark CIS per i prodotti e servizi Microsoft.

Come eseguire l'implementazione

Domande frequenti

Seguire le impostazioni del benchmark CIS garantirà la sicurezza delle applicazioni?

I benchmark CIS stabiliscono il livello base di sicurezza per chiunque adotti prodotti e servizi Microsoft nell'ambito. Tuttavia, non dovrebbero essere considerati come un elenco esaustivo di tutte le possibili configurazioni di sicurezza e architettura, ma come punto di partenza. Ogni organizzazione deve comunque valutare la propria situazione specifica, i carichi di lavoro e i requisiti di conformità e personalizzare di conseguenza il proprio ambiente.

Con quanta frequenza vengono aggiornati i benchmark CIS?

Il rilascio dei benchmark CIS rivisti cambia in base alla community di professionisti IT che lo ha sviluppato e alla pianificazione del rilascio della tecnologia supportata dal benchmark. CIS distribuisce report mensili che annunciano benchmark nuovi e aggiornamenti ai quelli esistenti. Per riceverli, registrarsi a CIS Workbench (è gratuito) e selezionare Ricevi newsletter nel profilo.

Chi ha contribuito allo sviluppo dei benchmark CIS di Microsoft?

Il CIS afferma che i rispettivi benchmark sono "sviluppati attraverso il generoso impegno volontario di esperti in materia, fornitori di tecnologia, membri della community di CIS Benchmark pubblici e privati e il team preposto allo sviluppo del benchmark CIS". Ad esempio, è possibile trovare un elenco dei collaboratori su CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available (Microsoft Azure Foundations Benchmark v1.0.0 del CIS ora disponibile).

Usare Microsoft Compliance Manager per valutare i rischi

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse