Sie haben den Begriff wahrscheinlich gesehen oder gelesen CIS-Benchmarks bei der Suche nach Cloud-Sicherheitsbestimmungen im Internet. Der CIS-Benchmark gilt als eine der beliebtesten Best Practices und Standards für Cloud-Sicherheit auf dem Markt. Doch was sind CIS-Benchmarks und muss Ihre Cloud-Infrastruktur diese erfüllen? In diesem Blogbeitrag erhalten Sie einen Überblick über die CIS-Benchmarks und wie sie für die Sicherheit und Compliance der Cloud-Infrastruktur verwendet werden können.

Überblick

Der CIS-Benchmark besteht aus einer Reihe von Empfehlungen zu Konfigurationsbasislinien und bewährten Sicherheitsmethoden, die vom Center for Internet Security(CIS), eine gemeinnützige und von der Gemeinschaft betriebene Einrichtung, die Organisationen dabei unterstützt, Systeme vor sich entwickelnden Sicherheitsbedrohungen sicher zu konfigurieren. Der Benchmark umfasst mehr als 100 Konfigurationsrichtlinien von mehr als 30 Anbietern und ist als Schlüsselkomponente eines umfassenden Cybersicherheitsprogramms für das Unternehmen konzipiert.

Jede Empfehlung im Benchmark verweist CIS-Steuerelemente, ein priorisiertes Maßnahmenpaket zur Abwehr der häufigsten Cyberangriffe auf Systeme. Die CIS-Kontrollen entsprechen vielen etablierten Cybersicherheitsstandards und regulatorischen Rahmenbedingungen wie ISO 27000, PCI-DSS, HIPAA und vielen mehr. Die GUS-Gemeinschaft von Sicherheitsexperten entwickelt den Benchmark für ein bestimmtes System, bei dem es vor der Zulassung in zwei Phasen einer Konsensentscheidung überprüft wird.

Die CIS-Benchmarks bestehen aus zwei Profilen, die in den Systemen implementiert werden können:

• Stufe 1 bietet grundlegende sicherheitsorientierte Best Practices, die sich mit minimalen Unterbrechungen oder Auswirkungen auf die Systeme auswirken können.
• Stufe 2 erweitert das Level-1-Profil, um erweiterte Sicherheitsanforderungen für kritische Umgebungen abzudecken, die sich in gewisser Weise auf das System auswirken können, z. B. in Bezug auf Kosten oder Leistung.

Jeder Richtlinie wird ein Profil zugewiesen, über dessen Umsetzung die Organisationen dann entscheiden können, um ihre individuellen Sicherheitsziele zu erreichen.

CIS-Benchmark für die Sicherheit von Cloud-Infrastrukturen

Die GUS hat viele Benchmarks für Cloud-Anbieter und ihre unterstützenden (Cloud-) Dienste veröffentlicht, wie Amazon Web Services und Microsoft Azure. Organisationen als Cloud-Kunden könnten optional die CIS-Benchmarks implementieren und verwalten, um sichere Basiskonfigurationen für ihre Cloud-Infrastrukturen einzurichten, indem sie geeignete Richtlinien und die Implementierungsprofile im Benchmark entsprechend ihren Anforderungen auswählen.

Organisationen könnten auch implementieren CIS-gehärtete Images, sicher konfigurierte Images virtueller Maschinen, die auf den CIS-Benchmarks basieren, um sichere, bedarfsgerechte, skalierbare Computerumgebungen in der Cloud-Infrastruktur bereitzustellen. Die Images werden auf den Marktplätzen von Cloud-Anbietern bereitgestellt, wo Unternehmen problemlos eine virtuelle Maschine mit ihnen ausführen könnten, ohne sie so konfigurieren zu müssen, dass sie den CIS-Benchmarks entspricht.

Die Implementierung von CIS-Benchmarks für ihre Cloud-Infrastrukturen bietet Unternehmen mehrere Vorteile:

• CIS-Benchmarks sind anerkannte Sicherheitsstandards zum Schutz von Systemen vor Cyberangriffen. Die Cloud-Infrastruktur wird sicher sein, indem bewährte Sicherheitspraktiken und sichere Konfigurationsgrundlagen eingehalten werden, die von Sicherheitsexperten getestet und bewährt wurden.
• Durch die Einhaltung der CIS-Benchmarks könnten Unternehmen ihre Kunden davon überzeugen, dass ihre Systeme sicher sind, wenn sie ihren Teil des Modells der gemeinsamen Verantwortung mit den Cloud-Anbietern erfüllt haben.
• Viele der Empfehlungen im Benchmark lassen sich auf etablierte Cloud-Sicherheitsstandards und Best Practices auf dem Markt ableiten, was Unternehmen bei Bedarf dabei helfen würde, andere Compliance-Anforderungen zu erfüllen.

Wie Mitigant bei der Einhaltung der CIS-Benchmarks helfen kann

Mitigant CSPM bietet eine kontinuierliche Compliance-Funktion, die es Unternehmen ermöglicht, die Einhaltung der Cloud-Sicherheitsvorschriften für ihre Cloud-Infrastrukturen zu erreichen, kontinuierlich zu überwachen und aufrechtzuerhalten. Es unterstützt viele bewährte Methoden und Standards für die Cloud-Sicherheit auf dem Markt, die gleichzeitig und automatisch auf die Cloud-Infrastruktur angewendet werden, wie CIS-Benchmarks, PCI-DSS und HIPAA. Umfassende Berichte werden nach Sicherheitsbewertungen erstellt, die eine umfassende Analyse der Cloud-Infrastruktur und die empfohlenen Maßnahmen zur Behebung falsch konfigurierter Cloud-Ressourcen enthalten. Unternehmen könnten im Anschluss an die Bewertungsberichte festgestellte Probleme beheben, um sicherzustellen, dass die Cloud-Infrastruktur sicher und konform ist.

Wenn Sie daran interessiert sind, Ihre Cloud-Infrastruktur sicher und konform zu machen, melden Sie sich an für eine kostenlose Testversion von Mitigant oder eine Demo buchen heute.