Center for Internet Security (CIS) は、サイバー防衛のためのベスト プラクティス ソリューションを特定、開発、検証、促進、維持し、またサイバー空間での信頼の環境を促進できるようコミュニティを支援します。

CIS では、クラウド ソーシングのクローズド モデルを採用することで、効果のあるセキュリティ策を特定し洗練させています。個々の推奨事項がコミュニティと共有され、合意形成プロセスを通じた評価が行われます。国内レベルでも国際レベルでも、CIS はセキュリティ ポリシー/意思決定を形成するのに不可欠な役割を果たしています。CIS Controls と CIS Benchmarks のメンテナンスや、マルチステート情報共有分析センター (MS-ISAC) のホスト役をしています。

CIS Controls

CIS Controls と CIS Benchmarks は、インターネット セキュリティの国際標準となります。CIS Benchmarks は複数のコントロールに分類されています。各コントロールは標準セキュリティ テストの集合体です。CIS Controls には、多くのコンプライアンス標準にマッピングされている 20 の一般的なセキュリティ コントロールが含まれています。CIS Controls では、多層防御モデルによるマルウェアの防止/検出を提唱しています。たとえば、コントロール 1.1「ファイルシステムの構成」で、テストの集合体 1.1.1 -「未使用のファイルシステムの無効化」のサブセット テストは、1.1.1.1 -「cramfs ファイルシステムのマウントが確実に無効化されている」、1.1.1.2 -「freevfs ファイルシステムのマウントが確実に無効化されている」というようになっている、などです。

Distributed Independent Linux Benchmark に関連するコントロールとテストの詳細については、『CIS Ubuntu Linux LTS Benchmark』を参照してください。https://learn.cisecurity.org/benchmarks でダウンロードできます。

テストごとに、レベル 1 とレベル 2 のいずれかがマークされます。

  • レベル 1 テストは CIS 1.0 プロファイルの一部です。CIS に従ったレベル 1 - サーバ プロファイル テストは実際的で細部まで注意を払ったものであり、セキュリティ上のメリットがあることを明確にすることを目的としています。こうしたテストには、許容できる手段から逸脱してテクノロジーの効用を阻害する可能性があります。

  • レベル 2 テストは CIS 2.0 プロファイルの一部です。このプロファイルはレベル 1 - サーバ プロファイルの延長上にあり、レベル 1 とレベル 2 の両方のテストを包含しています。CIS に従ったこのテストでは、セキュリティの重要度が最も高い環境やユースケースで防御メカニズムを深めることを目的としています。こうしたテストには、テクノロジーの効用やパフォーマンスに悪影響がある可能性があります。

注:

ベンチマークでは、あるコントロール内のテストが 1 つでも失敗したら、そのコントロールは失敗と宣言します。

CIS モードを有効化

NSX Advanced Load Balancer で CIS モードを有効にすると、特定のコントロールに関連付けられているテストが正常に実行されます。CIS モード コマンドは、システム構成で次に示すように構成します。

[admin:10-1-1-1]: > configure systemconfiguration
[admin:10-1-1-1]: systemconfiguration> linux_configuration
[admin:10-1-1-1]: systemconfiguration:linux_configuration> cis_mode
Overwriting the previously entered value for cis_mode

[admin:10-1-1-1]: systemconfiguration:linux_configuration> where
Tenant: admin
+----------+-------+
| Field    | Value |
+----------+-------+
| motd     |       |
| banner   |       |
| cis_mode | True  |
+----------+-------+

CIS モードを構成すると、コントロールの 3.6.X セットをすべてカバーする iptables が有効化されます。

ここで構成したコマンドが適用されるのは、その後に作成されるコントローラとサービス エンジンのみです。この CIS モードが既存のサービス エンジンで有効化される必要がある場合は、推奨される次の手順のいずれかを実行します。

  • ダウンタイムなし:すべてのサービス エンジンをスケール アウトし、新たにスピンしたサービス エンジンへサービスを落とし込むようにします。CIS モードは、新しく作成したサービス エンジンで有効化されます。スケール インして前のセットアップにフォールバックするのは、CIS モードのサービス エンジンだけです。

  • ダウンタイムあり:サービス エンジンを再起動します。サービス エンジンがオンラインに戻ると、CIS モードが有効化されます。

NSX Advanced Load Balancer サービス エンジンに適用されないベンチマーク テスト

NSX Advanced Load Balancer Controller とサービス エンジンは、柔軟性に優れた分散ロード バランシング機能の実現と、この機能を実現するのに要するサービスでのみ実行されるようにすることを目的に構築されたものです。サービス エンジン仮想マシンにログインできるのは、トラブルシューティングやリカバリにあたる管理者ユーザーのみです。NSX Advanced Load Balancer は、次に列挙するいくつかの例外を除いて、CIS Benchmarks テストに準拠しています。例外の根拠は、インスタンスに続くテキストで示します。

注:

次の一覧に示すのは、ベンチマークの種目のみです。ベンチマーク テストの詳細については、「CIS Benchmarks のランディング ページ」を参照してください。

  • 1.1 ファイル システムの構成

    • UDF ファイル システム – 1.1.1.7:UDF カーネルをロードしないことが要求されるので、サービス エンジンの起動の問題が発生し、コントローラへの接続に失敗します。

    • 個別のパーティション – 1.1.2 ~ 1.1.17:/tmp, /var, /var/log, /var/log/audit, and /home で必要とする個別のパーティションは 1 つです。これは、個別の論理パーティション 2 つで NSX Advanced Load Balancer バージョンのロールバックが許可されるようにする設計に準拠していません。

  • 1.3 ファイル システムの整合性の確認

    • ファイル システムの整合性の確認 – 1.3.2:エイド ツールのインストールを必要としますが、CPU への負荷が高いので、実行時間が長くなります。

  • 1.4 セキュア ブートの設定

    • 1.4.1 ~ 1.4.4:パスワードベースの GRUB ブートローダー メニューを必要としますが、そのことは NSX Advanced Load Balancer のシングルクリック アップグレード機能の妨げとなります。

  • 3.4 TCP ラッパー

    • 3.4.3:/etc/hosts.deny にデフォルト拒否を追加することを必要としますが、これはサービス エンジンと NSX Advanced Load Balancer Controller との接続性に影響します。

  • 5.4.1 シャドウ パスワード スイート パラメータの設定

    • 5.4.1.1 ~ 5.4.1.4:パスワード ポリシーをサービス エンジン レベルで適用することが要求されます。

NSX Advanced Load Balancer でサポートするのは管理者ユーザーのみです。パスワード ポリシーはコントローラで管理するので、管理者ユーザーのパスワードが変更されると、そのパスワードが組織の全サービス エンジンで同期されます。そのため、パスワードをサービス エンジン レベルで適用する必要はありません。