你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
介绍
Internet 安全中心(CIS)基准是用于强化系统和应用程序的全球公认的安全配置准则。 CIS 基准提供两个实现级别:
- 级别 1 (L1):提供明确安全优势的基本安全配置,而不会对功能产生重大影响
- 级别 2 (L2):更严格的安全配置,适用于需要更高安全性的环境,可能会对功能或可用性产生一定影响
本页介绍 Azure 的新功能,为工作负载提供内置的 CIS 基准,可以根据自己的需求进行定制。
我们支持的基准内容与 CIS 网站上发布的基准内容相等,你可以在以下 链接中找到基准内容。
azure-osconfig 引擎已满足 CIS 认证的要求,并被授予经下面列出的基准认证的 CIS 基准评估 。
在 Azure 中使用 CIS 基准
现在,客户可以使用 Azure Policy 和计算机配置应用 CIS Linux 安全基线。 此功能可实现以下功能:
- 自动化合规性评估:根据官方 CIS 基准持续监视 Linux 系统
- 定制基准:通过定义异常和自定义参数来自定义基准
- 合规性报告:获取系统上的详细 CIS 样式报告
若要开始,请在 Azure 门户中导航到 Azure Policy,并在名为“计算机配置”的“创作”菜单项的左侧找到一个新边栏选项卡。 单击该定义并选择名为“ 适用于 Linux 工作负载的 Internet 安全官方中心(CIS)基准” 的定义 ,然后单击“修改设置” ,这将转到下一页,你可以在其中选择要为其自定义 CIS 基准的分发版。
与此功能关联的内置策略名称为: [预览]:适用于 Linux 工作负载的官方 CIS 安全基准
所有受支持的基准都由 azure-osconfig 的新符合性引擎提供支持。
支持的基准和版本
目前支持以下 Linux 分发版和 CIS 基准版本,所有版本均经 CIS 认证,用于基准评估。
| 分销 | CIS 基准版本 | Profiles | CIS 认证 | Audit | 自动修正 |
|---|---|---|---|---|---|
| Ubuntu 22.04 LTS + Pro | v2.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| Ubuntu 24.04 LTS + Pro | v1.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| RedHat Enterprise Linux 8 | v3.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| RedHat Enterprise Linux 9 | v2.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| Alma Linux 8 | v3.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| Alma Linux 9 | v2.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| Rocky Linux 8 | v2.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| Rocky Linux 9 | v2.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| Oracle Linux 8 | v3.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| Oracle Linux 9 | v2.0.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| Debian Linux 12 | v1.1.0 | L1 + L2 服务器 | ✓ | ✓ | X |
| SUSE Linux Enterprise 15 | v2.0.1 | L1 + L2 服务器 | ✓ | ✓ | X |
自动修正功能计划用于将来的版本,并在可用时用 √ 进行标记。
可以对强化映像使用这些基准。 我们正在与供应商合作,尽量减少偏差。
只要 /etc/os-release 与原始内容保持不变,就可以针对基于 vanilla 发行版生成的自定义映像使用这些基准。
自定义参数
符合性引擎能够解释用于规则评估的动态参数,这意味着我们正在打开灵活的规则自定义,而无需更改代码。 参数允许使用不同值配置规则,同时维护相同的基础审核逻辑。
参数通过用户界面和最终的 JSON 配置文件公开,可以通过计算机配置 UX 体验下载这些配置文件。
我们最初没有公开所有可用的参数。某些规则包含 5-10 甚至最多 20 个逻辑条件和相关参数,这些参数很容易使用户不知所措。 相反,我们采用客户驱动的方法 - 根据客户反馈启用其他规则参数,我们要求你按照以下说明执行此作。 这可确保我们优先使用最有价值的自定义选项,同时保持干净的用户体验。
如果与 CIS 官方工具集结果进行比较,我们启用的现有参数和某些偏差将在上表中的分布特定页面下突出显示。
请求支持更多参数
请使用以下方法之一来告知我们规则、CIS 基准版本、分发和/或版本,你希望为其启用参数进行自定义,以及关于用例的几句话。
例子
这是 cron 包变体的实用示例。
请考虑 配置了对 /etc/cron.daily 的权限 。 某些客户可能会选择使用不同的 cron 实现(例如 cron、cronie 或 bcron)。 CIS 规则默认定义包名称为“cron”,但是,参数允许自定义包名称。 例如:
- 默认值:packageName:“cron”和 alternativePackageName:“cronie”
- 自定义:使用 bcron 实现将 packageName 更改为系统“bcron”
按照相同的方法对文件权限、组、所有者等应用更改。
原始规则
{
"ruleId": "1249e006-cfa1-93cb-bece-8159bcfdd5d6",
"name": "Ensure permissions on /etc/cron.daily are configured;DesiredObjectValue",
"value": "mask=0077 owner=root group=root packageName=cron alternativePackageName=cronie"
}
自定义规则
{
"ruleId": "1249e006-cfa1-93cb-bece-8159bcfdd5d6",
"name": "Ensure permissions on /etc/cron.daily are configured;DesiredObjectValue",
"value": "mask=0077 owner=root group=root packageName=bcron alternativePackageName=cronie"
}
发布说明
当前版本
- 版本:1.0.0
- 发布日期:2025 年 11 月
-
功能:
- Azure Policy 的 CIS Linux 基线的初始版本
- 支持 12 个 Linux 分发版
- 合规性评估的仅审核功能
- CIS 认证的基准实现(上表)
- 自定义参数(下面详述)
有关 Azure 计算机配置中适用于 Linux 的 CIS 基准的问题或支持,请参阅本文档或联系 Azure 支持部门。
有关规则、评估、发行版覆盖范围、功能请求(还可以使用 Azure 支持)或 在 azure-osconfig 存储库下打开 GitHub 问题的问题、建议或任何反馈。
重要
适用于 Linux 工作负载的 CIS 安全基准目前为预览版。 有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 适用于 Microsoft azure 预览版的补充使用条款 。