Benchmarks des Center for Internet Security (CIS)

Informationen zu CIS-Benchmarks

Das Center for Internet Security ist eine gemeinnützige Organisation, die es sich zum Ziel gesetzt hat, „Bewährte Lösungsmethoden zum Schutz vor Cyberbedrohungen zu identifizieren, zu entwickeln, zu bewerten, zu fördern und zu unterstützen“. Die Organisation macht sich dabei das Know-how zum Thema Internetsicherheit und das Wissen von IT-Experten aus Regierung, Unternehmen und Akademien auf der ganzen Welt zu Nutze. Zur Entwicklung von Standards und bewährten Methoden, einschließlich CIS-Benchmarks, Steuerungen und gehärteten Images, wird ein konsensbasiertes Entscheidungsmodell befolgt.

CIS-Benchmarks sind Basispläne für Konfiguration und bewährte Methoden zur sicheren Konfiguration eines Systems. Jede Empfehlung verweist auf eine oder mehrere CIS-Steuerungen, die entwickelt wurden, um Organisationen bei der Verbesserung ihrer Verteidigung gegen Cyberangriffe zu unterstützen. Die CIS-Steuerungen entsprechen zahlreichen etablierten Normen und aufsichtsrechtlichen Rahmenbedingungen, einschließlich des NIST Cybersecurity Framework (CSF) und des NIST-SP 800-53, der ISO 27000-Reihe von Standards, PCI DSS, HIPAA und weiteren.

Jeder Benchmark unterliegt zwei Phasen der konsensbasierten Überprüfung. Die erste Phase erfolgt während der anfänglichen Entwicklung, wenn sich Experten treffen, um Arbeitsentwürfe zu besprechen, zu erstellen und zu testen, bis sie eine Einigung über den Benchmark erzielen. In der zweiten Phase, nach der Veröffentlichung des Benchmarks, überprüft das Team das Feedback der Internetcommunity im Hinblick auf die Einbindung in den Benchmark.

CIS-Benchmarks bieten zwei Ebenen von Sicherheitseinstellungen:

  • Ebene 1 empfiehlt grundlegende Sicherheitsanforderungen, die in jedem System konfiguriert werden können und zu geringen oder gar keinen Dienstunterbrechungen oder eingeschränkter Funktionalität führen sollten.
  • Ebene 2 empfiehlt Sicherheitseinstellungen für Umgebungen, die mehr Sicherheit erfordern, was zu einer verringerten Funktionalität führen kann.

Gehärtete CIS-Images sind sicher konfigurierte Images von virtuellen Maschinen basierend auf CIS-Benchmarks, die auf einem CIS-Benchmarkprofil der Ebene 1 oder Ebene 2 gehärtet wurden. Das „Härten“ ist ein Prozess, der Schutz vor unbefugtem Zugriff, Denial-of-Service-Angriffen und anderen Cyberbedrohungen bietet, indem potenzielle Schwachstellen eingeschränkt werden, die für Cyberattacken anfällig sind.

Microsoft und die CIS-Benchmarks

Das Center for Internet Security (CIS) veröffentlicht Benchmarks für Microsoft-Produkte und -Dienste, einschließlich der Foundation-Benchmarks für Microsoft Azure und Microsoft 365, des Benchmarks für Windows 10 und des Benchmarks für Windows Server 2016. Der CIS Microsoft Azure Foundation Benchmark richtet sich an Kunden, die Lösungen, die Azure integrieren, entwickeln, bereitstellen, bewerten oder sichern möchten. Das Dokument enthält verbindliche Anweisungen für die Einrichtung einer sicheren Basislinienkonfiguration für Azure.

CIS-Benchmarks werden international als Sicherheitsstandards für den Schutz von IT-Systemen und Daten vor Cyberangriffen anerkannt. Sie werden von Tausenden von Unternehmen verwendet und bieten verbindliche Anweisungen für die Einrichtung einer sicheren Basislinienkonfiguration. System- und Anwendungsadministratoren, Sicherheitsexperten und andere Personen, die Lösungen mithilfe von Microsoft-Produkten und -Diensten entwickeln, können diese bewährten Methoden verwenden, um die Sicherheit ihrer Anwendungen zu bewerten und zu verbessern.

Wie alle CIS-Benchmarks wurden auch die Microsoft-Benchmarks anhand eines konsensbasierten Überprüfungsprozesses basierend auf den Beiträgen von Sachverständigen mit unterschiedlichen Hintergründen im Hinblick auf Softwareentwicklung, Überwachung und Compliance, Sicherheitsforschung, Arbeitsabläufe, Behörden und Rechtsvorschriften entwickelt. Bei diesen CIS-Bemühungen war Microsoft ein unentbehrlicher Partner. Office 365 wurde beispielsweise anhand der aufgeführten Dienste getestet, und die daraus resultierenden Benchmarks für Microsoft 365 decken ein breites Spektrum von Empfehlungen zum Einrichten geeigneter Sicherheitsrichtlinien ab, die sich auf Konten und Authentifizierung, Datenverwaltung, Anwendungsberechtigungen, Speicher und andere Bereiche von Sicherheitsrichtlinien beziehen.

Zusätzlich zu den Benchmarks für Microsoft-Produkte und -Dienste hat CIS gehärtete CIS-Images in Azure veröffentlicht, die so konfiguriert sind, dass sie CIS-Benchmarks erfüllen und im Microsoft Azure Marketplace verfügbar sind. Zu diesen Images gehören die gehärteten CIS-Images für Windows Server 2016 und Windows Server 2019 sowie verschiedene Versionen von Linux. Alle gehärtete CIS-Images, die im Azure Marketplace verfügbar sind, sind für die Ausführung auf Microsoft Azure zertifiziert. Wie von CIS erklärt, "wurden sie auf Bereitschaft und Kompatibilität mit der öffentlichen Microsoft Azure-Cloud, microsoft Cloud Platform, die von Dienstanbietern über das Cloud OS Network gehostet wird, und lokalen privaten Windows Server Hyper-V-Bereitstellungen getestet, die von Kunden verwaltet werden".

Gehärtete CIS-Images sind sicher konfigurierte Images von virtuellen Computern basierend auf CIS-Benchmarks, die auf einem CIS-Benchmarkprofil der Ebene 1 oder Ebene 2 gehärtet wurden. Das „Härten“ ist ein Prozess, der Schutz vor unbefugtem Zugriff, Denial-of-Service-Angriffen und anderen Cyberbedrohungen bietet, indem potenzielle Schwachstellen eingeschränkt werden, die für Cyberattacken anfällig sind. Gehärtete CIS-Images sind sowohl in Azure als auch in Azure Government verfügbar.

Für zusätzliche Kundenunterstützung stellt Microsoft Azure Blueprintsbereit. Dies ist ein Dienst, der Ihnen hilft, Cloudumgebungen auf wiederholbare Weise bereitzustellen und zu aktualisieren, indem sie zusammensetzbare Artefakte wie Azure Resource Manager-Vorlagen zum Bereitstellen von Ressourcen, rollenbasierten Zugriffssteuerungen und Richtlinien verwendet. Ressourcen, die über Azure Blueprints bereitgestellt werden, entsprechen den Standards, Mustern und Complianceanforderungen einer Organisation. Das übergeordnete Ziel von Azure Blueprints ist die Automatisierung der Compliance und des Cybersicherheitsrisikomanagements in Cloudumgebungen. Um Ihnen bei der Bereitstellung eines zentralen Satzes von Richtlinien für jede Azure-basierte Architektur, die CIS Azure Foundations-Benchmarkempfehlungen implementieren muss, zu helfen, hat Microsoft den Azure Blueprint für den CIS Microsoft Azure Foundation Benchmark veröffentlicht. Wenn sie einer Architektur zugewiesen sind, werden Ressourcen von Azure Policy auf ihre Kompatibilität mit zugewiesenen Richtliniendefinitionen ausgewertet.

In Microsoft eingeschlossene Cloudplattformen und -Dienste

Prüfungen, Berichte und Zertifikate

Rufen Sie eine vollständige Liste von CIS-Benchmarks für Microsoft-Produkte und -Dienste ab.

Implementierung

Häufig gestellte Fragen

Wird durch eine Einhaltung der CIS-Benchmarkeinstellungen die Sicherheit meiner Anwendungen gewährleistet?

CIS-Benchmarks legen das grundlegende Maß an Sicherheit für alle Personen fest, die Microsoft-Produkte und -Dienste einführen. Sie sollten jedoch nicht als vollständige Liste aller möglichen Sicherheitskonfigurationen und -architekturen betrachtet werden, sondern als Ausgangspunkt. Jede Organisation muss weiterhin ihre spezifische Situation, Arbeitslast und Complianceanforderungen auswerten und ihre Umgebung entsprechend anpassen.

Wie oft werden CIS-Benchmarks aktualisiert?

Die Veröffentlichung überprüfter CSI-Benchmarks ändert sich in Abhängigkeit von der Community von IT-Experten, die den Benchmark entwickelt haben, und in Abhängigkeit vom Veröffentlichungsplan der Technologie, die der Benchmark unterstützt. CIS veröffentlicht monatliche Berichte, in denen neue Benchmarks und Aktualisierungen an vorhandenen Benchmarks angekündigt werden. Um diese zu erhalten, registrieren Sie sich für die CIS Workbench (kostenlos), und aktivieren Sie die entsprechende Option in Ihrem Profil, um den Newsletter zu erhalten.

Wer hat zur Entwicklung von Microsoft-CIS-Benchmarks beigetragen?

CIS betont, dass seine „Benchmarks mithilfe der großzügigen Freiwilligenarbeit von Sachverständigen, Technologieanbietern, öffentlichen und privaten Mitgliedern der CIS-Community sowie des CIS-Benchmark-Entwicklungsteams entwickelt werden“. Unter CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available finden Sie beispielsweise eine Liste der Personen, die an Azure mitgewirkt haben.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen