استخدام قوالب تكوين التقوية المعيارية للبنية التحتية للتطبيقات
الوصف
استخدام قوالب تكوين التقوية المعيارية للبنية التحتية للتطبيقات. تتضمن تطبيقات المثال خوادم البنية التحتية الأساسية مثل الشبكة وقاعدة البيانات والويب.
قائمة التحقق من التطبيق
توصيات الأدوات
أداة تقييم آلية لمعايير مركز أمن الإنترنت لفحص امتثال التكوين عبر أنظمة التشغيل والتطبيقات والسحابة
Center for Internet Security · عضوية حزمة الأمان من مركز أمن الإنترنت
منصة سحابية لتقييم التكوين والامتثال مع دعم معايير مركز أمن الإنترنت والمراقبة المستمرة
Qualys · اشتراك لكل أصل
منصة إدارة تكوين الأمان ومراقبة سلامة الملفات مع امتثال السياسات واكتشاف الانحراف
Fortra (Tripwire) · اشتراك لكل عقدة
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
بيانات اعتماد افتراضية على مكونات البنية التحتية للتطبيق
السريةيحصل مهاجم على وصول إلى خادم قاعدة بيانات أو منصة تطبيق ويب باستخدام بيانات اعتماد افتراضية لم يتم تغييرها لأنه لم يتم تطبيق قوالب تكوين تقوية أثناء النشر.
استغلال خدمات غير ضرورية على خادم التطبيق
السلامةيستغل مهاجم ثغرة في خدمة غير ضرورية تعمل على خادم ويب تم نشره بتكوين افتراضي بدلاً من قالب مقوى.
حاوية سحابية تعمل بصلاحيات مفرطة
السريةتعمل حاوية منشورة بدون قالب تقوية بصلاحيات root مع تمكين جميع القدرات، ويستغل مهاجم ثغرة هروب من الحاوية للوصول إلى المضيف الأساسي.
الثغرات (عند غياب الإجراء الوقائي)
نشر البنية التحتية للتطبيق بتكوينات افتراضية
بدون قوالب تقوية، يتم نشر البنية التحتية للتطبيق بما في ذلك الخوادم وقواعد البيانات والحاويات بإعدادات افتراضية تتضمن خدمات غير ضرورية وبيانات اعتماد افتراضية وصلاحيات مفرطة.
عدم وجود خط أساس أمان موحد لمكونات التطبيق
يعني غياب قوالب تقوية موصى بها من الصناعة أن كل نشر قد يكون له تكوين أمان مختلف وغالباً غير كافٍ، مما يخلق أسطح هجوم غير متسقة وغير متوقعة.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |