Security: CIS

CIS steht für das Center for Internet Security, eine gemeinnützige Organisation, die sich auf die Förderung der Cybersicherheit konzentriert. Das CIS entwickelt und veröffentlicht eine Vielzahl von bewährten Sicherheitsrichtlinien, Empfehlungen und Benchmarks für verschiedene Plattformen und Technologien, einschliesslich Linux.

Ein CIS-Benchmark für Linux ist ein Satz von Sicherheitsrichtlinien und Empfehlungen, die speziell für Linux-Betriebssysteme entwickelt wurden. Diese Benchmarks basieren auf bewährten Sicherheitspraktiken, Best Practices und Industriestandards, um Organisationen bei der Absicherung ihrer Linux-Infrastruktur zu unterstützen.

Tipp

„Benchmark“ deswegen, da die in den Dokumenten beschriebenen Regeln bei korrekter Umsetzung am Ende eine Gesamtpunktzahl für das jeweilige System ergeben können.

Benchmarks finden sich:

Vier-Punkt-Versionen (x.x.x.x) beheben beispielsweise Fehler im AAC (Automated Assessment Content) oder liefern Support für diesen nach. Für x.x.x.x-Versionen existieren keine PDF-Dokumente (hier gibt es nur Drei-Punkt-Versionen x.x.x), da die Dokumentation davon nicht betroffen ist.

Der Linux CIS-Benchmark enthält eine umfassende Liste von Controls, die spezifische Massnahmen und Konfigurationseinstellungen beschreiben, um eine sichere Linux-Umgebung zu gewährleisten.

Die CIS-Benchmarks sind als frei zugängliche Ressourcen verfügbar und können von Organisationen genutzt werden, um ihre Linux-Systeme entsprechend den Sicherheitsrichtlinien zu konfigurieren und zu härten. Die Benchmarks bieten klare Anweisungen und Schritte, um die Sicherheit zu verbessern, potenzielle Angriffsvektoren zu minimieren und die Compliance mit gängigen Sicherheitsstandards zu erleichtern.

Es ist wichtig anzumerken, dass die CIS-Benchmarks für Linux regelmässig aktualisiert werden, um neue Bedrohungen und Schwachstellen zu berücksichtigen. Die Aktualisierung der Linux-Systeme gemäss den aktuellen CIS-Benchmarks kann dazu beitragen, das Sicherheitsniveau zu verbessern und die Anfälligkeit für Cyberangriffe zu verringern.

Es gibt CIS-Benchmarks für spezifische Technologien und Plattformen, wie Applikationsserver (z.B. Apache), Datenbanken (z.B. MariaDB) und Netzwerkkomponenten (z.B. Firewalls, Router).

CIS: Controls

Ein Beispiel für ein CIS-Control in einem Linux CIS-Benchmark ist Control 1.1.1: „Ensure mounting of cramfs filesystems is disabled“ (Stellen Sie sicher, dass das Einbinden von cramfs-Dateisystemen deaktiviert ist).

Dieses Control bezieht sich auf die Sicherheitskonfiguration von Linux-Systemen und fordert, dass das Einbinden des cramfs-Dateisystems deaktiviert wird. Das cramfs-Dateisystem ist ein komprimiertes Dateisystem, das oft auf eingebetteten Geräten verwendet wird. Durch das Deaktivieren des Einbindens von cramfs wird ein potenzielles Sicherheitsrisiko reduziert, da bestimmte Angriffsvektoren durch das Manipulieren des cramfs-Dateisystems erschwert werden.

Die CIS-Controls im Linux CIS-Benchmark decken eine breite Palette von Sicherheitsaspekten ab, darunter Netzwerksicherheit, Benutzerverwaltung, Zugriffskontrollen, Protokollierung, Systemhärtung und vieles mehr. Jedes Control definiert eine spezifische Sicherheitsanforderung oder Empfehlung, die umgesetzt werden sollte, um das Sicherheitsniveau des Linux-Systems zu verbessern.

CIS: Aufwand

Das Härten von Linux-Maschinen nach den aktuellen CIS (Center for Internet Security) Benchmarks kann aus mehreren Gründen aufwendig sein:

  • Komplexität: Die CIS-Benchmarks sind umfassend und detailliert, und decken eine breite Palette von Sicherheitsaspekten ab. Sie beinhalten Hunderte von Empfehlungen und Konfigurationsänderungen, die auf unterschiedlichen Ebenen des Betriebssystems vorgenommen werden müssen. Die Umsetzung dieser Empfehlungen erfordert ein gründliches Verständnis des Betriebssystems und seiner Komponenten.

  • Potenzielle Inkompatibilitäten: Manche Konfigurationsänderungen können zu Inkompatibilitäten mit bestimmten Anwendungen oder Systemkomponenten führen. Beispielsweise können strengere Sicherheitsrichtlinien dazu führen, dass bestimmte Software nicht mehr ordnungsgemäss funktioniert oder dass bestimmte Funktionen deaktiviert werden müssen, um die Sicherheit zu gewährleisten. In solchen Fällen müssen möglicherweise Kompromisse zwischen Sicherheit und Funktionalität gefunden werden.

  • Kontinuierliche Wartung und Aktualisierung: Die CIS-Benchmarks werden regelmässig aktualisiert, um neue Bedrohungen und Sicherheitslücken zu berücksichtigen. Das bedeutet, dass eine Linux-Maschine kontinuierlich überwacht und entsprechend den aktualisierten Richtlinien gepflegt werden muss. Dies erfordert ein gewisses Mass an Aufwand und Ressourcen, um sicherzustellen, dass die Systeme stets auf dem neuesten Stand sind.

Obwohl das Härten von Linux-Maschinen nach den CIS-Benchmarks zeitaufwendig sein kann, bietet es den Vorteil, dass die Sicherheit des Systems erhöht wird und potenzielle Angriffsflächen reduziert werden. Es ist wichtig, dass Organisationen die Sicherheit als eine kontinuierliche und iterative Aufgabe betrachten, um mit den sich ständig ändernden Bedrohungen Schritt zu halten.

CIS: Anzahl der Controls

Die Anzahl der Controls in einem Linux CIS-Benchmark kann je nach Version und Umfang der Richtlinien variieren. Allerdings umfassen die CIS-Benchmarks für Linux typischerweise mehrere hundert Controls.

Beispielsweise enthält der CIS-Benchmark für Linux von 2021 insgesamt 174 Controls. Diese Controls decken verschiedene Aspekte der Systemsicherheit ab, darunter Netzwerkkonfiguration, Benutzerverwaltung, Zugriffskontrollen, Protokollierung und Überwachung, Systemhärtung und vieles mehr. Jedes Control beschreibt eine bestimmte Sicherheitsanforderung oder Empfehlung, die auf dem System umgesetzt werden sollte.

Es ist wichtig anzumerken, dass die Anzahl der Controls nicht zwangsläufig ein Mass für die Effektivität oder Qualität der Richtlinien ist. Die CIS-Benchmarks wurden entwickelt, um bewährte Sicherheitspraktiken abzudecken und bieten eine umfassende Grundlage für die Härten von Linux-Systemen. Die genaue Anzahl und Art der Controls, die implementiert werden sollten, hängt jedoch von den spezifischen Anforderungen und der Risikobewertung der Organisation ab.

CIS: Level 1 vs. Level 2

Die CIS-Benchmarks für Linux definieren zwei Hauptlevel: Level 1 und Level 2. Diese Level unterscheiden sich hinsichtlich der Strenge der Sicherheitsrichtlinien und der erforderlichen Konfigurationsänderungen. Hier sind die grundlegenden Unterschiede zwischen Level 1 und Level 2:

Level 1:

  • Level 1 stellt eine grundlegende Sicherheitskonfiguration dar, die als Mindestsicherheitsstandard angesehen wird.

  • Die Controls auf Level 1 sind darauf ausgerichtet, die grössten Bedrohungsvektoren abzudecken und das System vor den meisten gängigen Angriffen zu schützen.

  • Die Richtlinien auf Level 1 sind weniger restriktiv und bieten einen ausgewogenen Ansatz zwischen Sicherheit und Systemfunktionalität.

  • Level 1 ist geeignet für die meisten Umgebungen und wird empfohlen, um ein grundlegendes Sicherheitsniveau zu gewährleisten.

Level 2:

  • Level 2 baut auf den Controls von Level 1 auf und bietet zusätzliche Sicherheitsmassnahmen.

  • Die Controls auf Level 2 sind strenger und können zu weiteren Einschränkungen der Systemfunktionalität führen.

  • Level 2 konzentriert sich auf erweiterte Sicherheitsmassnahmen, um spezifischere Bedrohungen abzudecken oder um zusätzliche Sicherheitsanforderungen zu erfüllen.

  • Level 2 ist für Umgebungen geeignet, die ein höheres Sicherheitsniveau erfordern, beispielsweise in sensiblen Bereichen oder regulierten Branchen.

Es ist wichtig anzumerken, dass Level 2 eine Erweiterung von Level 1 ist, was bedeutet, dass alle Controls von Level 1 auch auf Level 2 gelten. Die Entscheidung, ob Level 1 oder Level 2 implementiert werden soll, hängt von den individuellen Sicherheitsanforderungen, dem Risikoprofil und den Compliance-Anforderungen der Organisation ab.

Bemerkung

Installation von RHEL 8+ und kompatible: Das Partitionierungsschema wird nicht angepasst, wenn das Security-Profil „CIS“ gewählt wird. Hier ist also Handarbeit oder ein passendes Kickstart-File angesagt.

Built on 2024-03-28