CIS Benchmarks là gì?

CIS Benchmark là phương pháp tốt nhất được công bố bởi Center for Internet Security (CIS), được sử dụng để cấu hình bảo mật cho các hệ thống IT, phần mềm, mạng và cơ sở hạ tầng đám mây. CIS Benchmarks cũng thường được dùng để tham khảo xây dựng hướng dẫn đối phó với các mối đe dọa mạng. CIS Benchmarks bao gồm 7 hạng mục cốt lõi, trong đó các hệ điều hành như Microsoft Windows, Linux, và Apple OSX là các hệ thống điều hành cốt lõi được nhắm đến. Phương pháp này bao gồm các hướng dẫn về hạn chế truy cập cục bộ và từ xa, hồ sơ người dùng, quy trình cài đặt driver và cấu hình trình duyệt internet.

Nội dung cập nhật

Amazon Inspector v2 đã hỗ trợ Benchmarks cài đặt bảo mật hệ thống điều hành CIS.

Thực tế, Amazon Inspector có hai phiên bản là “Amazon Inspector Classic” và “Amazon Inspector v2”.

So sánh Amazon Inspector so với Amazon Inspector Classic

Amazon Inspector đã được thiết kế và xây dựng lại để tạo ra một dịch vụ quản lý lỗ hổng mới. Các cải tiến chính của Amazon Inspector Classic bao gồm:

Xây dựng scale

Amazon Inspector mới được xây dựng với sự xem xét đến môi trường đám mây động và có quy mô. Không có giới hạn về số lượng instance hoặc hình ảnh có thể quét cùng một lúc.

Hỗ trợ hình ảnh container và hàm Lambda

Amazon Inspector mới quét hình ảnh container trong các công cụ Amazon ECR và CI/CD, và có Lambda function để phát hiện lỗ hổng phần mềm. Các kết quả liên quan đến container cũng được đẩy lên ECR console.

Hỗ trợ quản lý Multi-account

Amazon Inspector mới được tích hợp với AWS Organizations, cho phép ủy quyền quản lý cho tài khoản quản trị viên Amazon Inspector của tổ chức. Tài khoản quản trị viên được uỷ quyền này (DA) tập hợp tất cả các kết quả và cấu hình tất cả các tài khoản thành viên.

AWS Systems Manager Agent

Khi sử dụng Amazon Inspector mới, bạn không cần phải cài đặt và duy trì một agent Amazon Inspector độc lập trên mọi Amazon EC2 instance. Amazon Inspector mới sử dụng AWS Systems Manager Agent (SSM Agent) đã được triển khai rộng rãi, loại bỏ nhu cầu này.

Quét tự động và liên tục

Amazon Inspector mới tự động phát hiện và quét ngay lập tức tất cả các instance Amazon EC2 mới khởi động, các Lambda function và hình ảnh container đủ điều kiện được đẩy lên Amazon ECR để phát hiện lỗ hổng phần mềm và các sự cố mạng ngoài ý muốn. Khi có sự kiện có thể xảy ra lỗ hổng mới, khi đó các tài nguyên liên quan sẽ được tự động quét lại. Các sự kiện quét lại tài nguyên này bao gồm cài đặt package mới trên EC2 instance, cài đặt bản vá, và khi có lỗ hổng mới (CVE) ảnh hưởng đến tài nguyên.

Inspector Risk Score

Amazon Inspector mới tính toán Risk Score của Inspector bằng cách thêm context để tìm kiếm có chọn lựa. Các context bao gồm thông tin CVE mới nhất với thông tin network accessibility và các yếu tố thời gian, môi trường.

Phạm vi đánh giá lỗ hổng

Amazon Inspector mới quét liên tục các EC2 instance, và tăng cường đánh giá lỗ hổng thông qua việc chuyển đổi giữa quét dựa trên agent và không dựa trên agent.

Xuất hoá đơn nguyên vật liệu phần mềm (SBOM)

Amazon Inspector mới quản lý và xuất SBOM cho tất cả các tài nguyên được giám sát.

Ban đầu, Amazon Inspector cho phép kích hoạt cả Classic và v2 trong cùng một tài khoản AWS. Trong Classic, tính năng quét CIS đã có sẵn, và giờ đây hỗ trợ quét CIS cũng đã được thêm vào trong v2.

Các phiên bản OS được hỗ trợ bởi Amazon Inspector Classic bao gồm:

64-bit x86 instances

 ・Amazon Linux 2

 ・Amazon Linux (2018.03, 2017.09, 2017.03, 2016.09, 2016.03, 2015.09, 2015.03, 2014.09, 2014.03, 2013.09, 2013.03, 2012.09, 2012.03)

・Ubuntu (20.04 LTS, 18.04 LTS, 16.04 LTS, 14.04 LTS)

・Debian (10.x, 9.0 – 9.5, 8.0 – 8.7)

・Red Hat Enterprise Linux (8.x, 7.2 – 7.x, 6.2 – 6.9)

・CentOS (7.2 – 7.x, 6.2 – 6.9)

Arm instances

・Amazon Linux 2

・Red Hat Enterprise Linux (7.6 – 7.x)

・Ubuntu (18.04 LTS, 16.04 LTS)

・Windows Server 2019 Base

・Windows Server 2016 Base

・Windows Server 2012 R2

・Windows Server 2012

・Windows Server 2008 R2

Tổng kết

Amazon Inspector v2 đã hỗ trợ Benchmarks cấu hình bảo mật hệ thống điều hành CIS. Theo FAQ, việc hỗ trợ này được cung cấp theo yêu cầu của người dùng.

Tham khảo: 【アップデート】Amazon Inspector v2がCIS オペレーティングシステムのセキュリティ設定ベンチマークをサポートしました | SunnyCloud