網際網路安全性 (CIS) 中心基準

關於 CIS 基準

網際網路安全中心是一個非營利組織，其使命是「識別、開發、驗證、推廣並維持網路防禦的最佳實務解決方案」。它匯聚了來自全球政府、企業及學術界的資安與資訊科技專業人士的專業知識。 為了開發標準和最佳做法 (包括 CIS 基準、控制項和強化映像)，他們遵循共識決策模型。

CIS 基準是安全地設定系統的配置基準和最佳做法。 每項指引建議都提及一項或多項 CIS控制 措施，協助組織提升其網路防禦能力。 CIS 控制對應至許多已建立的標準和法規架構，包括 NIST 網路安全性架構 (CSF) 和 NIST SP 800-53、ISO 27000 系列標準、PCI DSS、HIPAA 等等。

每項基準都經歷了兩個階段的共識檢閱。 第一階段發生在初期開發階段，專家們聚集討論、制定並測試工作草案，直到達成基準測試共識。 在第二階段，基準測試發布後，共識團隊會審查來自網路社群的反饋，以納入基準測試。

CIS 基準提供兩種等級的安全性設定：

• 第一層建議基本安全需求，任何系統都能設定，且服務中斷或功能減少應極少。
• 第 2 級建議環境的安全性設定需要更大的安全性，可能會造成一些功能下降。

CIS 強化映像是根據 CIS 基準強化映像，安全地將虛擬機器映像設定為第 1 級或第 2 級 CIS 基準設定檔。 強化是一種程序，藉由限制讓系統容易受到網路攻擊的潛在弱點，協助保護免於未經授權的存取、拒絕服務及其他網路威脅。

Microsoft 和 CIS 基準

CIS (網際網路安全中心) 發布Microsoft產品與服務的基準測試，包括Microsoft Azure與Microsoft 365 Foundations 基準、Windows 11 基準，以及Windows Server 2022年基準。 CIS Microsoft Azure 基礎基準測試是為計劃開發、部署、評估或保障整合 Azure 解決方案的客戶設計。 本文件提供針對 Azure 建立安全基礎組態的規範指導方針。

CIS 基準是國際認可的安全性標準，防禦 IT 系統和資料免於網路攻擊。 數千家企業使用這些工具來獲取建立安全基線配置的指導。 系統和應用程式系統管理員、安全性專家和其他使用 Microsoft 產品和服務開發解決方案的使用者，都可以使用這些最佳做法來評估和改善應用程式的安全性。

如同所有CIS基準測試，Microsoft基準測試是透過共識審查程序制定，基於來自軟體開發、審計與合規、安全研究、營運、政府及法律等多元背景的專家意見。 Microsoft 是這些 CIS 努力的整合合作夥伴。 例如，Microsoft 365 在上述服務下進行測試，最終產生的 Microsoft 365 基礎基準測試涵蓋了廣泛的建議，針對設定適當的安全政策，涵蓋帳號與驗證、資料管理、應用程式權限、儲存及其他安全政策領域。

除了 Microsoft 產品和服務的基準，CIS 會在 Azure 上發佈 CIS 的強化映像，設定為符合 CIS 基準，並可從 Microsoft Azure Marketplace 取得。 這些映像檔包括 Windows Server 2019 與 Windows Server 2022 的 CIS 強化映像檔，以及多個 Linux 版本。 所有在 Azure Marketplace 中提供的 CIS 強化映像都經過認證，可在 Microsoft Azure 上執行。 CIS 表示：「它們已預先測試與 Microsoft Azure 公共雲、由服務提供者透過 Cloud OS Network 託管的 Microsoft Cloud Platform 以及客戶管理的本地私有雲 Windows Server Hyper-V 部署的相容性。」

CIS 強化映像是根據 CIS 基準強化映像，安全地將虛擬機器映像設定為第 1 級或第 2 級 CIS 基準設定檔。 強化是一種程序，藉由限制讓系統容易受到網路攻擊的潛在弱點，協助保護免於未經授權的存取、拒絕服務及其他網路威脅。 您可以在 Azure 和 Azure Government 上使用 CIS 強化映像。

如需其他客戶協助，Microsoft 提供 Azure 藍圖，這是一項服務，可協助您使用可組合的成品(例如 Azure Resource Manager 範本)，以可重複的方式部署和更新雲端環境，以佈建資源、角色型存取控制及原則。 透過 Azure 藍圖佈建的資源遵循組織的標準、模式及規範需求。 Azure 藍圖的首要目標是協助在雲端環境中實現合規性和網絡安全性風險管理的自動化。 為了協助您針對必須實作 CIS Azure 基礎基準的任何 Azure 架構，部署一組核心原則，Microsoft 已發佈適用於 CIS Microsoft Azure 基礎基準的 Azure 藍圖。 當被指派到某個架構時，Azure 原則會評估資源是否符合所指派的政策定義。

Microsoft 範圍內的雲端平台與服務

• Azure 和 Azure Government
• Microsoft Office 與 Microsoft 365
• SQL Server
• Windows 11
• Windows Server 2022

稽核、報告和認證

取得適用於 Microsoft 產品和服務的 CIS 基準完整清單。

• CIS Azure 基礎基準
• CIS Microsoft 365 基礎基準
• Windows 11 基準測試
• Windows Server 2022 基準測試

實作方法

• 適用於 Azure 的 CIS 基準：取得針對 Azure 建立安全基礎組態的規範指導方針。
• Microsoft 365 安全性藍圖：按照此藍圖，將資料外洩或遭入侵帳戶的可能性降至最低。
• Windows 安全性基準：按照這些指導方針，以有效地使用貴組織中的安全性基準。
• CIS 控制雲端小幫手指南：取得將 CIS 控制第 7 版中的安全性最佳做法套用至雲端環境的指導方針。

常見問題集

遵循 CIS 基準設定是否可以確保我的應用程式的安全性？

CIS 基準會為採用範圍內 Microsoft 產品和服務的任何人，建立基本的安全性層級。 不過，不要把它們當作所有可能安全配置和架構的全面清單，而是作為起點。 每個組織仍然必須評估其特定狀況、工作負載和合規性需求，並相應地訂製其環境。

CIS 基準更新頻率為何？

修訂的 CIS 基準版本會依據開發它的 IT 專業人員社群，以及基準支援的技術發行排程，而有所變更。 CIS 會每月發佈報告，宣佈新基準和現有基準的更新。 要接收這些報告，請註冊 CIS Workbench (免費) ，並在你的個人資料中查看「接收電子報」。

誰參與開發 Microsoft CIS 基準？

CIS 指出其「準則是透過主題專家、技術廠商、公用和私人 CIS 基準社群成員，以及 CIS 基準開發小組的慷慨自願付出而進行開發」。 例如，您可以在 CIS Microsoft Azure 基礎基準 v1.0.0 現在可供使用上，找到 Azure 參與者的清單。

使用 Microsoft Purview 合規管理工具來評估您的風險

Microsoft Purview 合規管理員 是 Microsoft Purview 入口網站 中的一項功能，幫助您了解組織的合規態勢並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。

資源

• Azure 合規性文件
• Microsoft 合規性方案
• Microsoft 信任中心的合規性
• CIS Microsoft Azure 基礎基準會為保護 Azure 提供逐步檢查清單。
• Microsoft Azure 上的 CIS 強化映像已驗證 Azure 並預先設定為 CIS 基準的安全性建議。 它們同時支援 Azure 和 Azure Government。
• 適用於 CIS Microsoft Azure 基礎基準的 Azure 藍圖可協助客戶針對必須實作 CIS Azure 基礎基準的任何 Azure 架構，部署一組核心原則。
• Azure 原則建議對應提供上述藍圖內所含原則定義的詳細資料，以及這些原則定義如何對應至 CIS 中的合規性網域和控制項 Microsoft Azure 基礎基準。 當被指派到某個架構時，Azure 原則會評估資源是否符合所指派的政策定義。
• CIS 控制雲端小幫手指南提供將 CIS 控制第 7 版中的安全性最佳做法套用至雲端環境的指導方針。
• CIS Microsoft 365 基礎基準會提供為 Microsoft 365 建立安全基準組態的規範性指導方針。
• Windows 11 管理員概述
• Windows 安全文件