Internet 安全中心 (Center for Internet Security, CIS) 确定、开发、验证、推广和保持网络防御的最佳做法解决方案,并帮助社区在网络空间中营造信任环境。

CIS 采用封闭的众包模式以确定和完善有效的安全措施,其中,与社区分享各种建议以通过共识决策过程进行评估。在国家和国际层面,CIS 保持 CIS 控制和 CIS 基准并托管多国信息共享和分析中心 (Multi-State Information Sharing and Analysis Center, MS-ISAC),从而在制订安全策略和决策方面发挥重要作用。

CIS 控制

CIS 控制和 CIS 基准提供了全球 Internet 安全标准。CIS 基准划分为控制类别,每种控制是一组标准安全测试。CIS 控制包括常见的 20 种安全控制,它们对应于很多合规性标准。CIS 控制提倡采用深度防御模式以防范和检测恶意软件。例如,控制 1.1 用于文件系统配置,这是一组测试,例如 1.1.1 - 停用未使用的文件系统,该测试又包含子集测试,例如 1.1.1.1 - 确保停用 cramfs 文件系统挂载,1.1.1.2 - 确保停用 freevfs 文件系统挂载,等等。

有关分布式独立 Linux 基准的相关控制和测试的更多信息,请参见 CIS Ubuntu Linux LTS 基准,可以从 https://learn.cisecurity.org/benchmarks 下载该基准。

各个测试标记为 1 级或 2 级。

  • 1 级测试是 CIS 1.0 配置文件的一部分。根据 CIS,1 级 - 服务器配置文件测试实用且谨慎,旨在提供明显的安全优势。这些测试可能会限制技术的实用性,而超出可接受的范围。

  • 2 级测试是 CIS 2.0 配置文件的一部分。该配置文件是 1 级 - 服务器配置文件的扩展,并包括 1 级和 2 级测试。根据 CIS,这些测试适用于安全性对于深度防御机制至关重要的环境或用例。这些测试可能会对技术的实用性或性能产生负面影响。

注:

即使控制中的一项测试失败,基准也会将控制声明为失败。

启用 CIS 模式

NSX Advanced Load Balancer 上激活 CIS 模式以成功运行与特定控制关联的测试。在系统配置中配置 CIS 模式命令,如下所示:

[admin:10-1-1-1]: > configure systemconfiguration
[admin:10-1-1-1]: systemconfiguration> linux_configuration
[admin:10-1-1-1]: systemconfiguration:linux_configuration> cis_mode
Overwriting the previously entered value for cis_mode

[admin:10-1-1-1]: systemconfiguration:linux_configuration> where
Tenant: admin
+----------+-------+
| Field    | Value |
+----------+-------+
| motd     |       |
| banner   |       |
| cis_mode | True  |
+----------+-------+

配置 CIS 模式将启用 iptables,它涵盖所有 3.6.X 控制集。

配置该命令仅适用于以后创建的控制器和服务引擎。如果需要为现有 SE 启用 CIS 模式,请执行以下建议步骤之一:

  • 不停机:扩展所有服务引擎,以便服务放置到新启动的 SE 上。将在新创建的 SE 上启用 CIS 模式。缩减以回退到以前的设置,但保留 CIS 模式 SE。

  • 停机:重新引导 SE。在 SE 恢复联机时,将启用 CIS 模式。

不适用于 NSX Advanced Load Balancer 服务引擎的基准测试

NSX Advanced Load Balancer 控制器 和 SE 是专为提供弹性分布式负载均衡功能而构建的,并且仅在提供该功能所需的服务上运行。仅管理员用户可以登录到 SE 虚拟机以进行故障排除和恢复。NSX Advanced Load Balancer 符合 CIS 基准测试,但有一些例外情况,如下所示。例外情况后面的文本指出了出现例外情况的原因。

注:

下面的列表仅指示基准名称。有关基准测试的更多信息,请参见 CIS 基准登录页面

  • 1.1 文件系统配置

    • UDF 文件系统 - 1.1.1.7:要求不加载 UDF 内核,从而导致服务引擎引导问题并且无法连接到控制器。

    • 单独的分区 - 1.1.2 到 1.1.17:要求 /tmp, /var, /var/log, /var/log/audit, and /home 具有单独的分区。这不符合旨在允许 NSX Advanced Load Balancer 版本回滚的两个单独逻辑分区的要求。

  • 1.3 文件系统完整性检查

    • 文件系统完整性检查 - 1.3.2:要求安装辅助工具,这会占用大量 CPU 资源并导致运行时间变长。

  • 1.4 安全引导设置

    • 1.4.1 到 1.4.4:要求使用基于密码的 grub 引导加载程序菜单,这会影响 NSX Advanced Load Balancer 一键升级功能。

  • 3.4 TCP 包装器

    • 3.4.3:要求在 /etc/hosts.deny 中添加默认拒绝,这会影响服务引擎与 NSX Advanced Load Balancer 控制器 的连接。

  • 5.4.1 设置影子密码套件参数

    • 5.4.1.1 到 5.4.1.4:要求在服务引擎级别实施密码策略。

NSX Advanced Load Balancer 仅支持管理员用户。控制器管理密码策略,在更改了管理员用户密码时,它在一组 SE 之间同步该密码。因此,不需要在 SE 级别实施密码。