Gunakan Template Konfigurasi Pengerasan Standar untuk Infrastruktur Aplikasi
Deskripsi
Gunakan template konfigurasi pengerasan standar untuk infrastruktur aplikasi. Contoh implementasi termasuk server yang mendasarinya, basis data, dan kontainer, serta template konfigurasi pengerasan standar. Evaluasi ulang setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.
Daftar Periksa Implementasi
Rekomendasi Alat
Alat penilaian CIS Benchmark otomatis untuk pemindaian kepatuhan konfigurasi di seluruh OS, aplikasi, dan cloud
Center for Internet Security · Keanggotaan CIS SecureSuite
Platform penilaian konfigurasi dan kepatuhan berbasis cloud dengan dukungan CIS Benchmark dan pemantauan berkelanjutan
Qualys · Langganan per aset
Platform manajemen konfigurasi keamanan dan pemantauan integritas file dengan kepatuhan kebijakan dan deteksi penyimpangan
Fortra (Tripwire) · Langganan per node
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Kredensial Default pada Komponen Infrastruktur Aplikasi
ConfidentialityPenyerang mendapatkan akses ke server basis data atau platform aplikasi web menggunakan kredensial default yang tidak pernah diubah karena tidak ada template konfigurasi pengerasan yang diterapkan selama deployment.
Eksploitasi Layanan yang Tidak Diperlukan pada Server Aplikasi
IntegrityPenyerang mengeksploitasi kerentanan dalam layanan yang tidak diperlukan yang berjalan pada web server yang di-deploy dengan konfigurasi default daripada template yang diperkuat.
Container Cloud Berjalan dengan Hak Istimewa Berlebihan
ConfidentialityContainer yang di-deploy tanpa template pengerasan berjalan sebagai root dengan semua kapabilitas diaktifkan, dan penyerang mengeksploitasi kerentanan container escape untuk mengakses host yang mendasarinya.
Kerentanan (Saat Pengamanan Tidak Ada)
Infrastruktur Aplikasi Di-deploy dengan Konfigurasi Default
Tanpa template pengerasan, infrastruktur aplikasi termasuk server, basis data, dan container di-deploy dengan pengaturan default yang mencakup layanan yang tidak diperlukan, kredensial default, dan izin berlebihan.
Tidak Ada Baseline Keamanan Terstandarisasi untuk Komponen Aplikasi
Ketiadaan template pengerasan yang direkomendasikan industri berarti setiap deployment mungkin memiliki konfigurasi keamanan yang berbeda dan sering kali tidak memadai, menciptakan permukaan serangan yang tidak konsisten dan tidak dapat diprediksi.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |