Yaakov's Group | Ciberseguridad

Nuevas opciones de CIS para el cumplimiento de STIG

Comparte este post en tus redes sociales

Asegurar su infraestructura de TI puede ser un desafío, especialmente si trabaja en un entorno regulado. Para ayudar a las organizaciones con este desafío, el Center for Internet Security (CIS) ofrece los puntos de referencia de CIS. Estas son pautas de configuración de seguridad basadas en consenso para numerosas tecnologías. Muchos marcos de la industria reconocen los puntos de referencia de CIS, incluida la industria de tarjetas de pago (PCI), HIPAA e incluso la Guía de requisitos de seguridad de computación en la nube (SRG) del Departamento de Defensa (DoD).

CIS continúa trabajando con una comunidad global de expertos en ciberseguridad para publicar guías nuevas y actualizadas. Nuestras últimas ofertas brindan recursos para ayudar a cumplir con los requisitos de las Guías de implementación técnica de seguridad de la Agencia de sistemas de información de defensa (DISA STIG).

Cumplimiento de las pruebas comparativas DISA STIG y CIS

La guía del SRG de Computación en la Nube del DoD indica que los puntos de referencia de CIS son una alternativa aceptable en lugar de los STIG: estándares de configuración para el aseguramiento de la información (IA) del DoD y los dispositivos / sistemas habilitados para IA. La Guía de requisitos de seguridad de computación en la nube (SRG) del DoD, versión 1, Release 3 establece:

«Nivel de impacto 2: si bien es preferible el uso de STIG y SRG por parte de los CSP, las líneas de base estándar de la industria, como las proporcionadas por los puntos de referencia del Center for Internet Security (CIS), son una alternativa aceptable a las STIG y SRG».

Aunque el DoD hace referencia específicamente a los puntos de referencia de CIS, muchas organizaciones aún deben alinearse con las STIG como estándares de configuración para los dispositivos / sistemas habilitados para DOD IA y IA.

Orientación prescriptiva de STIG de CIS
CIS ofrece recursos para configurar sistemas de acuerdo con STIG, tanto en las instalaciones como en la nube. Los recursos actuales de CIS STIG incluyen CIS Benchmarks e CIS Hardened Images para tres sistemas operativos: Red Hat Enterprise Linux (RHEL) 7, Amazon Linux 2 y Microsoft Windows Server 2016.

Los puntos de referencia CIS STIG y las imágenes reforzadas CIS asociadas contienen:

Los perfiles de nivel 1 y nivel 2 de referencia de CIS basados ​​en consenso existentes asignados a las recomendaciones de STIG aplicables.
Un nuevo perfil de Nivel 3 que incluye requisitos adicionales del STIG que no estaban cubiertos en los perfiles de Nivel 1 y Nivel 2.
Cuando los usuarios apliquen las recomendaciones de CIS Benchmarks y necesiten ser compatibles con STIG, podrán aplicar los tres perfiles y abordar rápidamente las brechas entre los perfiles de CIS Benchmark originales y los STIG. Estos puntos de referencia CIS STIG están disponibles para su descarga gratuita en PDF.

Imágenes de máquina virtual CIS STIG
Además de estos puntos de referencia de CIS STIG, CIS endurece las imágenes de máquinas virtuales según las pautas de CIS STIG Benchmark y las ofrece en los mercados de nube pública. Actualmente se encuentran disponibles tres imágenes reforzadas de CIS STIG: Red Hat Enterprise Linux (RHEL) 7, Amazon Linux 2 y Microsoft Windows Server 2016. La imagen de RHEL 7 está disponible en AWS, Azure y GCP Marketplaces. La imagen de Amazon Linux 2 está disponible en AWS Marketplace, y la imagen de Microsoft Windows Server 2016 está disponible en AWS, Azure, GCP y Oracle Cloud Marketplaces.

Acceda a las imágenes reforzadas CIS STIG:

Imágenes reforzadas de CIS Red Hat Enterprise Linux 7 STIG
Imagen STIG de RHEL 7 en AWS
Imagen STIG de RHEL 7 en Azure
Imagen STIG de RHEL 7 en GCP
Imagen reforzada de CIS Amazon Linux 2 STIG en AWS
Imágenes reforzadas STIG de CIS Microsoft Windows Server 2016
Imagen STIG de Windows Server 2016 en AWS
Imagen STIG de Windows Server 2016 en Azure
Imagen STIG de Windows Server 2016 en GCP
Imagen STIG de Windows Server 2016 en Oracle Cloud
Cada imagen reforzada de CIS incluye un informe CIS-CAT Pro que muestra la conformidad con el CIS Benchmark relacionado. Se incluye un informe de excepción que describe las configuraciones que no son aplicables en un entorno de nube. Cada imagen reforzada de CIS se actualiza mensualmente para abordar los parches y las vulnerabilidades.

CIS se enorgullece de ofrecer CIS Benchmarks e CIS Hardened Images para ayudar a las organizaciones del sector público a proteger sus entornos locales y en la nube.

Fuente: CIS

Deja un comentario