阿里云第三代操作系统安全基线正式通过 CIS 认证

2021-11-28 21:29:23

背景

近日，Alibaba Cloud Linux 3 CIS 安全基线正式通过 CIS 认证。Alibaba Cloud Linux 3 是阿里云官方基于龙蜥社区（OpenAnolis）的龙蜥操作系统（Anolis OS）打造的第三代发行版操作系统，兼容 RHEL/CentOS 8。随着 CentOS 8 的停服，使用 Anolis OS 或者 Alibaba Cloud Linux 3 来替代 CentOS 已经成为很多企业的第一选择。完成 CIS 安全基线的认证，能够更好地保障客户的安全性，帮助客户在停服后提高竞争力。

CIS（全称Center for Internet Security，即互联网安全中心），是一个具有几十年历史的全球知名非营利信息安全组织，致力于采用线上社区的模式与大公司、*机构、学术机构一起打造优秀的安全实践解决方案（各种 benchmarks），详情可以参见维奇百科。当前发布的操作系统大多都已经提供 CIS benchmark，包括 CentOS、Ubuntu、Windows 等，详情可以参见 CIS 网站。当前完成 CIS benchmark 认证，已经成为很多阿里云客户对于 OS 安全的重要评判依据之一。

此外，在 2019 年我们完成了 Alibaba Cloud Linux 2 的 CIS 安全基线的认证，成为国内唯一完成 CIS 安全基线认证的 OSV。在 2021 年 6 月，我们与 ACK 合作发布了基于 Alibaba Cloud Linux 2 的 CIS 加固的 ACK 集群。ACK 集群的 CIS 加固方案能够满足客户对于阿里云更加简单、快捷、稳定、安全的使用的需求。当用户创建 ACK 集群时，如果选择 Alibaba Cloud Linux 2，就可以选择启动配置 CIS 加固，使集群在创建时自动执行对应的 CIS 加固项，直接满足 CIS benckmark 中对操作系统的大部分安全保护要求。在 Alibaba Cloud Linux 3 上完成 CIS 安全基线的认证将继续巩固我们的竞争力，提高 Alibaba Cloud Linux 3 的安全水位。

下载地址与步骤

CIS Alibaba Cloud Linux 3 Benchmark v1.0.0 在 2022 年 02 月 06 日正式通过了 CIS 的全部认证流程，CIS 对外发布 CIS Alibaba Cloud Linux 3 benchmark v1.0.0 （发布详情见文末链接）。您可以通过以下三种方式进行下载：

方式一：CIS下载页面下载

直接访问 CIS 下载页 , 找到下图中CIS Alibaba Cloud Linux 3 benchmark v1.0.0 点击进行下载。

阿里云第三代操作系统安全基线正式通过 CIS 认证

方式二：注册 CIS 账号下载

您可以直接访问 CIS Alibaba Cloud Linux 3 benchmark v1.0.0 PDF 页面进行下载（或点击阅读原文直达下载界面）。这只需要注册 CIS 账号，然后登录并进行下载。这种方法相对比较简单，还能后续参与到 CIS 社区的讨论和开发中去。

阿里云第三代操作系统安全基线正式通过 CIS 认证

方式三：邮件下载

此外，您也可以在 CIS Benchmarks 首页进行下载，然后按照以下步骤填写邮箱等信息，最后在邮件中下载对应的 benchmark，具体如下：首先，按照图中所示选定分类

阿里云第三代操作系统安全基线正式通过 CIS 认证

其次，找到 CIS Benchmark for Alibaba Cloud Linux 3

阿里云第三代操作系统安全基线正式通过 CIS 认证

接下来，填写基本资料

阿里云第三代操作系统安全基线正式通过 CIS 认证

最后，您将会在上面填写的邮箱里收到 CIS 发送的邮件，点击下载对应的 benchmark 即可。

特点

Baseline

Alibaba Cloud Linux 3 兼容 CentOS 8, CIS benchmark 的 baseline 也尽可能与 CentOS 8 保持一致。

安全等级

CIS Alibaba Cloud Linux 3 Benchmark 分为 Level 1 和 Level 2。其中 Level 1 是说此加固条目是基础项加固且基本不会带来性能影响，Level 2 是说明此条目是安全性要求较高、且可能会带来一定的性能开销。

阿里云第三代操作系统安全基线正式通过 CIS 认证

计分规则

CIS Alibaba Cloud Linux 3 Benchmark 分为 Automated 和 Manual 两类，Autmoated 表示该项能够通过 CIS-CAT 扫描器自动验证是否通过，因此计分；Manual 则表示该项无法自动验证是否通过，因此不计分（即使加固了也不加分，不加固也不丢分）。

阿里云第三代操作系统安全基线正式通过 CIS 认证

另外我们根据 Alibaba Cloud Linux 2 CIS 的产品化经验，发现有些需要用户参与的 CIS 加固项（比如配置防火墙规则）、CIS-CAT 扫描不能较好地检测出是否通过或者失败，并且这些项也不能通过通用的脚本修复。经过跟 CIS 讨论后，在 CIS Alibaba Cloud Linux 3 Benchmark 中将一部分需要用户参与的13项由 Automated 改成 Manual。

每一项的内容

CIS Alibaba Cloud Linux 3 Benchmark 一共 266 项，相比 Alibaba Cloud Linux 2 的 204 项增加了 30.39%；在内容上由之前的 358 页增加到 647 页，增加了 80.72% 左右。其中每一项包含：

Profile Applicability：安全等级，其分为了 Level 1 和 Level 2；
Description：加固条目的简单介绍；
Rationale：用于描述条目的细节和背景，告诉读者这么加固的意义和原因；
Audit：关键项，用于判断检测系统是否达标的脚本。根据此脚本的运行返回值来判断是否需要加固；
Remediation：关键项，如果 Audit 环节判断系统需要进行加固，那此环节就是执行脚本进行安全处理；
Impact：影响，主要来描述如果不进行正确配置可能会导致的影响；
References：参考文献；
CIS Controls：此条目对应的 CIS control 文档的讲解，需要注册后才能下载。

整个benchmark所包含的内容非常多并且非常详细，用户可以参考指导并结合自己的需求进行配置，或者也可以联系阿里云操作系统团队进行配置。

总结与展望

完成 CIS Alibaba Cloud Linux 3 Benchmark 认证的意义重大。但这只是一个开始，后面我们还将继续完善对应的产品化工具，比如与 CIS 一起完善 Build Kit 加固工具、CIS-CAT 扫描验证工具等，进而提高 Alibaba Cloud Linux 3 的安全水位和巩固其竞争力。

相关链接地址

【1】Alibaba Cloud Linux 3 链接地址：

https://help.aliyun.com/document_detail/212631.html

【2】邮件下载链接：

https://www.cisecurity.org/cis-benchmarks/

【3】CIS下载页地址：

https://downloads.cisecurity.org/#/

【4】CIS Alibaba Cloud Linux 3 benchmark v1.0.0 PDF页面地址：

https://workbench.cisecurity.org/files/3700

【5】Benchmarks首页地址:

https://www.cisecurity.org/cis-benchmarks/

【6】CIS 网站地址：