Benchmark del Center for Internet Security (CIS)Center for Internet Security (CIS) Benchmarks

Informazioni sui benchmark CISAbout CIS Benchmarks

Il Center for Internet Security è un'organizzazione no profit la cui missione è quella di "identificare, sviluppare, convalidare, promuovere e sostenere le soluzioni delle procedure consigliate per la difesa informatica".The Center for Internet Security is a nonprofit entity whose mission is to 'identify, develop, validate, promote, and sustain best practice solutions for cyberdefense.' Si avvale delle competenze relative alla sicurezza informatica e dei professionisti IT da parte di enti pubblici, aziende e università di tutto il mondo.It draws on the expertise of cybersecurity and IT professionals from government, business, and academia from around the world. Per sviluppare standard e procedure consigliate, tra cui benchmark CIS, controlli e immagini con protezione avanzata, seguono un modello di decisione consensuale.To develop standards and best practices, including CIS benchmarks, controls, and hardened images, they follow a consensus decision-making model.

I benchmark CIS rappresentano le linee di base della configurazione e le procedure consigliate per la configurazione sicura di un sistema.CIS benchmarks are configuration baselines and best practices for securely configuring a system. Ciascuna delle raccomandazioni orientative fa riferimento a uno o più controlli CIS sviluppati per aiutare le organizzazioni a migliorare le proprie funzionalità di difesa informatica.Each of the guidance recommendations references one or more CIS controls that were developed to help organizations improve their cyberdefense capabilities. I controlli CIS sono associati a numerosi standard e framework normativi consolidati, tra cui il Cybersecurity Framework (CSF) del NIST e NIST SP 800-53, la serie di standard ISO 27000, PCI DSS, HIPAA e altri.CIS controls map to many established standards and regulatory frameworks, including the NIST Cybersecurity Framework (CSF) and NIST SP 800-53, the ISO 27000 series of standards, PCI DSS, HIPAA, and others.

Ogni benchmark subisce due fasi di revisione del consenso.Each benchmark undergoes two phases of consensus review. Il primo si verifica durante lo sviluppo iniziale quando gli esperti si riuniscono per discutere, creare e testare bozze di lavoro fino a raggiungere il consenso sul benchmark.The first occurs during initial development when experts convene to discuss, create, and test working drafts until they reach consensus on the benchmark. Durante la seconda fase, dopo che il benchmark è stato pubblicato, il team preposto al consenso rivede il feedback della community Internet per incorporarlo nel benchmark.During the second phase, after the benchmark has been published, the consensus team reviews the feedback from the internet community for incorporation into the benchmark.

I benchmark CIS forniscono due livelli di impostazioni di sicurezza:CIS benchmarks provide two levels of security settings:

  • Il livello 1 raccomanda requisiti di sicurezza di base essenziali che possono essere configurati su qualsiasi sistema e dovrebbero causare un'interruzione del servizio o una funzionalità ridotta minime o nulle.Level 1 recommends essential basic security requirements that can be configured on any system and should cause little or no interruption of service or reduced functionality.
  • Il livello 2 raccomanda impostazioni di sicurezza per ambienti che richiedono una maggiore sicurezza, il che potrebbe comportare funzionalità ridotte.Level 2 recommends security settings for environments requiring greater security that could result in some reduced functionality.

Le immagini con protezione avanzata del CIS sono immagini di macchine virtuali configurate in modo sicuro basate su benchmark CIS con protezione avanzata a un profilo benchmark CIS di livello 1 o livello 2.CIS Hardened Images are securely configured virtual machine images based on CIS Benchmarks hardened to either a Level 1 or Level 2 CIS benchmark profile. La protezione avanzata è un processo che aiuta a proteggere da accessi non autorizzati, attacchi denial of service e altre minacce informatiche limitando i potenziali punti deboli che rendono i sistemi vulnerabili agli attacchi informatici.Hardening is a process that helps protect against unauthorized access, denial of service, and other cyberthreats by limiting potential weaknesses that make systems vulnerable to cyberattacks.

Microsoft e i benchmark CISMicrosoft and the CIS Benchmarks

Il Center for Internet Security (CIS) include riferimenti per i prodotti e i servizi Microsoft, tra cui Microsoft Azure and Microsoft 365 Foundations Benchmarks (Benchmark di Microsoft Azure and Microsoft 365 Foundations), Windows 10 Benchmark (Benchmark di Windows 10) e Windows Server 2016 Benchmark (Benchmark di Windows Server).The Center for Internet Security (CIS) has published benchmarks for Microsoft products and services including the Microsoft Azure and Microsoft 365 Foundations Benchmarks, the Windows 10 Benchmark, and the Windows Server 2016 Benchmark.

I benchmark CIS sono riconosciuti a livello internazionale come standard di sicurezza per la difesa di sistemi e dati IT dagli attacchi informatici.CIS benchmarks are internationally recognized as security standards for defending IT systems and data against cyberattacks. Usati da migliaia di aziende, offrono una guida prescrittiva per stabilire una configurazione di base sicura.Used by thousands of businesses, they offer prescriptive guidance for establishing a secure baseline configuration. Gli amministratori di sistema e delle applicazioni, gli specialisti della sicurezza e altri che sviluppano soluzioni utilizzando prodotti e servizi Microsoft possono utilizzare queste procedure consigliate per valutare e migliorare la sicurezza delle proprie applicazioni.System and application administrators, security specialists, and others who develop solutions using Microsoft products and services can use these best practices to assess and improve the security of their applications.

Come tutti i benchmark CIS , i benchmark Microsoft sono stati creati tramite un processo di revisione del consenso basato sul contributo di esperti in materia provenienti da diversi settori che spaziano da sviluppo software, controllo e conformità, ricerca sulla sicurezza, operazioni, enti governativi e giuridici.Like all CIS benchmarks, the Microsoft benchmarks were created using a consensus review process based on input from subject matter experts with diverse backgrounds spanning software development, audit and compliance, security research, operations, government, and law. Microsoft è stato parte integrante del lavoro del CIS.Microsoft was an integral partner in these CIS efforts. Ad esempio, Office 365 è stato testato in merito ai servizi elencati e il risultante Microsoft 365 Foundations Benchmark (Benchmark di Microsoft 365 Foundations) copre un'ampia gamma di consigli per l'impostazione di criteri di sicurezza appropriati che coprono account e autenticazione, gestione dei dati, autorizzazioni delle applicazioni, archiviazione e altre aree dei criteri di sicurezza.For example, Office 365 was tested against the listed services, and the resulting Microsoft 365 Foundations Benchmark covers a broad range of recommendations for setting appropriate security policies that cover account and authentication, data management, application permissions, storage, and other security policy areas.

Oltre ai benchmark per prodotti e servizi Microsoft, il CIS ha anche pubblicato CIS Hardened Images for use on Azure virtual machines (Immagini con protezione avanzata del CIS per l'uso su macchine virtuali di Azure) configurate per soddisfare i benchmark CIS.In addition to the benchmarks for Microsoft products and services, CIS has also published CIS Hardened Images for use on Azure virtual machines configured to meet CIS benchmarks. Questi includono l'immagine con protezione avanzata del CIS per Microsoft Windows Server 2016 certificata per l'esecuzione su Azure.These include the CIS Hardened Image for Microsoft Windows Server 2016 certified to run on Azure. Il CIS afferma che "tutte le immagini con protezione avanzata del CIS disponibili su Azure Marketplace sono certificate per l'esecuzione su Azure.CIS states that, 'All CIS hardened images that are available on the Azure Marketplace are certified to run on Azure. Sono state precedentemente testate per l'idoneità e la compatibilità con il cloud pubblico di Azure, la piattaforma cloud Microsoft ospitata dai provider di servizi attraverso la rete del sistema operativo cloud e le distribuzioni in locale di Hyper-V di Windows Server del cloud privato interno gestite dai clienti".They have been pre-tested for readiness and compatibility with the Azure public cloud, the Microsoft Cloud Platform hosted by service providers through the Cloud OS Network, and on-premise private cloud Windows Server Hyper-V deployments managed by customers.'

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Ottenere un elenco completo dei benchmark CIS per i prodotti e servizi Microsoft.Get a complete list of CIS benchmarks for Microsoft products and services.

Come eseguire l'implementazioneHow to implement

Domande frequentiFrequently asked questions

Seguire le impostazioni del benchmark CIS garantirà la sicurezza delle applicazioni?Will following CIS Benchmark settings ensure the security of my applications?

I benchmark CIS stabiliscono il livello base di sicurezza per chiunque adotti prodotti e servizi Microsoft nell'ambito.CIS benchmarks establish the basic level of security for anyone adopting in-scope Microsoft products and services. Tuttavia, non dovrebbero essere considerati come un elenco esaustivo di tutte le possibili configurazioni di sicurezza e architettura, ma come punto di partenza.However, they should not be considered as an exhaustive list of all possible security configurations and architecture but as a starting point. Ogni organizzazione deve comunque valutare la propria situazione specifica, i carichi di lavoro e i requisiti di conformità e personalizzare di conseguenza il proprio ambiente.Each organization must still evaluate its specific situation, workloads, and compliance requirements and tailor its environment accordingly.

Con quanta frequenza vengono aggiornati i benchmark CIS?How often are CIS Benchmarks updated?

Il rilascio dei benchmark CIS rivisti cambia in base alla community di professionisti IT che lo ha sviluppato e alla pianificazione del rilascio della tecnologia supportata dal benchmark.The release of revised CIS Benchmarks changes depending on the community of IT professionals who developed it and on the release schedule of the technology the benchmark supports. CIS distribuisce report mensili che annunciano benchmark nuovi e aggiornamenti ai quelli esistenti.CIS distributes monthly reports that announce new benchmarks and updates to existing benchmarks. Per riceverli, registrarsi a CIS Workbench (è gratuito) e selezionare Ricevi newsletter nel profilo.To receive these, register for the CIS Workbench (it's free) and check Receive newsletter in your profile.

Chi ha contribuito allo sviluppo dei benchmark CIS di Microsoft?Who contributed to the development of Microsoft CIS Benchmarks?

Il CIS afferma che i rispettivi benchmark sono "sviluppati attraverso il generoso impegno volontario di esperti in materia, fornitori di tecnologia, membri della community di CIS Benchmark pubblici e privati e il team preposto allo sviluppo del benchmark CIS".CIS notes that its 'Benchmarks are developed through the generous volunteer efforts of subject matter experts, technology vendors, public and private CIS Benchmark community members, and the CIS Benchmark Development team.' Ad esempio, è possibile trovare un elenco dei collaboratori su CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available (Microsoft Azure Foundations Benchmark v1.0.0 del CIS ora disponibile).For example, you'll find a list of Azure contributors on CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available.

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources