Framework CIS Benchmark

Vediamo oggi come rendere più sicuro il nostro ambiente VMware. Come già avete potuto leggere nei miei precedenti articoli, una fonte autorevole ed estremamente utile sono i CIS Controls. All’interno del sito, previa registrazione del tutto gratuita, è possibile accedere ai Benchmark.

Ma cosa sono? Sono raccolte ben strutturate di configurazioni dei vari sistemi, create per ridurne la superficie di attacco e renderli più sicuri e resilienti.

Si chiamano Benchmark perché non misurano la potenza di calcolo, come siamo abituati a pensare, ma il grado di sicurezza dei nostri sistemi.

È possibile trovare documenti per quasi qualsiasi piattaforma: Windows, Linux, macOS, application server, database, ecc.

Oggi vi propongo quello relativo alle infrastrutture VMware. Si tratta di sistemi ipercritici: un attacco al loro ambiente può significare il blocco di decine, se non centinaia, di server virtuali in un colpo solo. A monte, è sempre buona norma di “igiene informatica” mantenere la segregazione dell’ambiente di gestione VMware rispetto a tutti gli altri sistemi, concedere accessi con il minimo privilegio e prestare la massima attenzione al ruolo dei manutentori.

Il documento, che potete scaricare dal sito, si chiama:

CIS_VMware_vSphere_8.0_vCenter_Appliance_ESX_Agent_Manager_(EAM)_STIG_Benchmark_v1.0.0

Esso prevede tre categorie di rischio:

• Categoria 1 per i sistemi ad elevata criticità,
• Categoria 2 per quelli a media criticità,
• Categoria 3 per quelli a bassa criticità.

Come sempre, non vanno implementate le raccomandazioni in modo indiscriminato: è necessaria una pre-analisi per valutare quali applicare e quali no. Anche in questo caso, infatti, il rischio è quello di limitare eccessivamente le normali attività di gestione e amministrazione.

Buona lettura!

https://www.linkedin.com/company/the-center-for-internet-security/about/