A Certificação de Configuração CIS combina segurança e fucionalidade

cis configuração certificada segurança e função benchmarks

Trabalhar em um ambiente configurado com um padrão seguro, como os Benchmarks CIS, traz paz de espírito e conformidade com outras estruturas. Historicamente, no entanto, a segurança e a funcionalidade nem sempre andaram de mãos dadas. As configurações de segurança recomendadas podem causar problemas com a funcionalidade do software em alguns ambientes. Para tanto, o Center for Internet Security (CIS) trabalhou com três fornecedores para testar uma nova certificação, para demonstrar que um produto funcionará em um ambiente protegido pelos Benchmarks do CIS.

A nova Certificação de Configuração de Benchmarks CIS permite que os fornecedores desenvolvam novos produtos com os Benchmarks CIS incorporados, testados e certificados desde o início. Construir essa confiança nos produtos elimina as suposições de saber se um ambiente reforçado com benchmarks CIS funcionará ou não sem causar impacto.

Certificação CIS Benchmarks: uma breve visão geral

A certificação do CIS não é novidade. A CIS SecureSuite Product Vendor Membership dá aos fornecedores de produtos o direito de integrar, fazer referência e oferecer suporte aos Benchmarks CIS e aos controles CIS em suas ofertas de produtos e serviços, conforme definido no contrato de associação.

A certificação é um benefício da Associação de Fornecedor de Produto (Product Vendor Membership), permitindo que as empresas tenham direito a certificar seus produtos de segurança e/ou ofertas de serviço. Os requisitos de certificação variam de acordo com o tipo de certificação, mas no final das contas demonstra que os produtos estão em conformidade, são configurados ou têm a capacidade de funcionar em ambientes na versão e no perfil dos Benchmarks CIS.

A opção mais recente testada recentemente, CIS Benchmarks Configuration Certified, certifica que a configuração de um produto ou serviço está em conformidade ou pode ser executada em um ambiente configurado para o CIS Benchmark. Esta opção fornece garantia de que um produto será executado sem causar impacto no ambiente protegido ou a partir dele.

A certificação neste nível elimina a preocupação dos clientes que possuem um ambiente protegido pelos Benchmarks do CIS. Eles não terão que reconfigurar nada para executar o aplicativo, porque a certificação demonstrou que funcionará imediatamente.

Além disso, com vários casos de uso para este tipo de certificação, o fornecedor pode certificar a configuração subjacente do ambiente para Benchmarks CIS. Eles testam de acordo para garantir que os aplicativos e o uso da plataforma funcionem no ambiente protegido sem problemas. Juntos, isso fornece confiança no produto e a segurança subjacente sendo alinhada com um padrão da indústria como Benchmarks CIS, sem modificações.

Piloto certificado de configuração

Para fornecer uma prova de conceito, o CIS trabalhou com alguns fornecedores para testar o processo. A colaboração deles foi essencial para o lançamento e o sucesso desta nova oferta e o CIS agradece imensamente seu apoio. Cada fornecedor providenciou um tipo diferente de cenário para o qual seus produtos podiam ser executados em um ambiente configurado de benchmark CIS de nível 1.

O CIS tem o prazer de premiar e destacar os seguintes parceiros e seus produtos que alcançaram a primeira certificação de configuração de benchmarks CIS:

  • A Cimcor, Inc. certificou seu CimTrak Integrity Suite em execução no CIS CenOS Linux 7 Benchmark Nível 1 e Nível 2
  • Tenable Core foi certificado para ser configurado para o CIS CentOS Linux 7 Benchmark
  • A plataforma de automação DevSecOps da Refactr foi certificada para funcionar no CIS Azure Foundations Benchmark

O CIS trabalhou em estreita colaboração com os fornecedores para garantir que seus produtos funcionassem corretamente sem exigir nenhuma modificação nas recomendações de benchmarks de nível 1 do CIS. Aqui está o que um participante disse:

“A Refactr está entusiasmada em continuar inovando com o CIS e em certificar-se com a nova Certificação de Configuração, aproveitando nossa plataforma de automação DevSecOps”, disse Mike Fraser, CEO da Refactr. “Nossa missão contínua é permanecer seguro com os controles e benchmarks CIS e fornecer esses recursos aos nossos clientes conjuntos por meio de pipelines DevSecOps.”

Opções de certificação de benchmarks CIS

O novo piloto de Certificação de Configuração está aberto a uma série de ambientes e casos de uso, incluindo:

  • O fornecedor que busca a certificação para promover que seu produto (software) será executado com sucesso em um ambiente protegido pelos Benchmarks do CIS
  • Produto do fornecedor vendido configurado para Benchmark (s) CIS com garantia de que o software será executado sem causar impacto em um ambiente protegido para Benchmarks CIS
  • ∘ Produto configurado para CIS Benchmark para o referido produto / oferta do fornecedor (ou seja, CIS Hardened Images, infraestrutura, pilha)
  • ∘ Um ou mais comparativos de mercado configurados em outro produto / oferta (ou seja, o dispositivo é enviado com segurança)
  • Serviço de fornecedor que fornece opção de implantar ambiente configurado para Benchmark (s) CIS

As opções adicionais de certificação de benchmarks CIS incluem:

  • Avaliação: A Certificação de Avaliação de Benchmarks CIS certifica a capacidade de um produto de avaliar endpoints para conformidade com a versão e perfil(s) de Benchmark CIS
  • Remediação: A Certificação de Remediação de Benchmarks CIS certifica a capacidade de um produto de corrigir endpoints para conformidade com a versão e perfil(s) de Benchmark (s) CIS

Essas opções estão disponíveis para qualquer Membro Fornecedor do Produto CIS SecureSuite. Quer saber mais sobre as opções de certificação e outros benefícios para membros? Preencha uma aplicação hoje.

Posts relacionados: Novos Benchmarks CIS AWS ajudam a proteger produtos e serviços em nuvem / CIS Benchmarks: Atualização de Março 2021 e CIS – Cumprindo sua responsabilidade de segurança compartilhada no AWS

Informações obtidas/adaptadas de CIS Configuration Certified Combines Security and Function