Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Introducción
Las pruebas comparativas de Center for Internet Security (CIS) son directrices de configuración de seguridad reconocidas globalmente para proteger sistemas y aplicaciones. Las pruebas comparativas de CIS proporcionan dos niveles de implementación:
- Nivel 1 (L1): configuraciones de seguridad esenciales que proporcionan una clara ventaja de seguridad sin un impacto significativo en la funcionalidad
- Nivel 2 (L2): configuraciones de seguridad más estrictas diseñadas para entornos que requieren mayor seguridad, potencialmente con algún impacto en la funcionalidad o facilidad de uso
En esta página se documenta la nueva funcionalidad de Azure que ofrece pruebas comparativas de CIS integradas a las cargas de trabajo que puede adaptar a sus necesidades.
El contenido de las pruebas comparativas que apoyamos está en paridad con lo que se ha publicado en el sitio web de CIS y puede encontrar el contenido de la prueba comparativa en el siguiente vínculo.
El motor azure-osconfig ha cumplido los requisitos de la certificación CIS y se le concede a CIS Benchmark Assessment Certified para las pruebas comparativas enumeradas a continuación.
Uso de pruebas comparativas de CIS en Azure
Los clientes ahora pueden aplicar líneas base de seguridad de CIS Linux mediante Azure Policy con Machine Configuration. Esta nueva funcionalidad habilita:
- Evaluación automatizada del cumplimiento: supervise continuamente los sistemas Linux en comparación con las pruebas comparativas oficiales de CIS.
- Pruebas comparativas adaptadas: personalice la prueba comparativa mediante la definición de excepciones y parámetros personalizados.
- Informes de cumplimiento: obtener informes detallados de estilo CIS en los sistemas
Para empezar, vaya a Azure Policy en Azure Portal y encontrará una nueva hoja en el lado izquierdo en el elemento de menú "Creación" denominado "Configuración de la máquina". Haga clic en eso y seleccione la definición denominada "Centro oficial de pruebas comparativas de Seguridad de Internet (CIS) para cargas de trabajo de Linux" y, a continuación, haga clic en "Modificar configuración", que le llevará a la página siguiente donde puede seleccionar las distribuciones para las que desea personalizar las pruebas comparativas de CIS.
El nombre de directiva integrado asociado a esta funcionalidad es: [Versión preliminar]: Pruebas comparativas de seguridad de CIS oficiales para cargas de trabajo de Linux
Todas las pruebas comparativas admitidas cuentan con la tecnología del nuevo motor de cumplimiento de azure-osconfig .
Pruebas comparativas y versiones admitidas
Actualmente se admiten las siguientes distribuciones de Linux y versiones de pruebas comparativas de CIS, todas certificadas por CIS para la evaluación de pruebas comparativas.
| Distribución | Versión de CIS Benchmark | Profiles | Certificado en la CIS | Auditoría | Corrección automática |
|---|---|---|---|---|---|
| Ubuntu 20.04 LTS + Pro | v3.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Ubuntu 22.04 LTS + Pro | v2.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Ubuntu 22.04 LTS + Pro | v3.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Ubuntu 24.04 LTS + Pro | v1.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| RedHat Enterprise Linux 10 | v1.0.1 | Servidor L1 + L2 | ✓ | ✓ | X |
| RedHat Enterprise Linux 8 | v3.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| RedHat Enterprise Linux 8 | v4.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| RedHat Enterprise Linux 9 | v2.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Alma Linux 8 | v3.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Alma Linux 8 | v4.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Alma Linux 9 | v2.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Rocky Linux 8 | v2.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Rocky Linux 8 | v3.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Rocky Linux 9 | v2.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Oracle Linux 8 | v3.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Oracle Linux 8 | v4.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Oracle Linux 9 | v2.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Debian Linux 11 | v2.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| Debian Linux 12 | v1.1.0 | Servidor L1 + L2 | ✓ | ✓ | X |
| SUSE Linux Enterprise 12 | v3.2.1 | Servidor L1 + L2 | ✓ | ✓ | X |
| SUSE Linux Enterprise 15 | v2.0.1 | Servidor L1 + L2 | ✓ | ✓ | X |
| Azure Linux 3 optimizado por AKS | v1.0.0 | Servidor L1 + L2 | ✓ | ✓ | X |
Las funcionalidades de corrección automática están planeadas para futuras versiones y se marcarán con ✓ cuando estén disponibles.
Puede usar estas pruebas comparativas con las imágenes protegidas. Estamos trabajando con los proveedores para minimizar las desviaciones.
También puede usar estas pruebas comparativas con imágenes personalizadas que ha creado basándose en distribuciones de vainilla siempre que /etc/os-release esté intacta con el contenido original.
Parámetros personalizados
El motor de cumplimiento es capaz de interpretar parámetros dinámicos para la evaluación de reglas, lo que significa que estamos abriendo una personalización flexible de reglas sin necesidad de cambios de código. Los parámetros permiten configurar reglas con valores diferentes mientras se mantiene la misma lógica de auditoría subyacente.
Los parámetros se exponen a través de la interfaz de usuario y en los archivos de configuración JSON finales que puede descargar a través de la experiencia de experiencia de usuario de configuración de la máquina.
No hemos expuesto inicialmente todos los parámetros disponibles. Algunas reglas contienen 5-10 o incluso hasta 20 condiciones lógicas y parámetros relevantes que podrían sobrecargar fácilmente a los usuarios. En su lugar, estamos tomando un enfoque controlado por el cliente: habilitando parámetros de regla adicionales en función de los comentarios de los clientes que le pedimos que lo haga siguiendo las instrucciones que se indican a continuación. Esto garantiza que priorizamos las opciones de personalización más valiosas a la vez que mantenemos una experiencia de usuario limpia.
Los parámetros existentes que hemos habilitado y algunas desviaciones si hay resultados del conjunto de herramientas oficiales de CIS se resaltan en las páginas específicas de distribución que puede encontrar en la tabla anterior.
Solicitud de que se admita más parámetros
Use una de las siguientes maneras de informarnos sobre la regla, la versión de CIS Benchmark, la distribución o la versión para las que desea que los parámetros se habiliten para la personalización y un par de palabras sobre el caso de uso.
- Creación de un problema de GitHub en el repositorio azure-osconfig
- Apertura de un caso de soporte técnico de Azure
Examples
Este es un ejemplo práctico para las variaciones de paquetes cron.
Tenga en cuenta la regla Asegurarse de que los permisos en /etc/cron.daily están configurados . Algunos clientes pueden optar por usar diferentes implementaciones cron (por ejemplo, cron, cron, cronie o bcron). La regla CIS define de forma predeterminada el nombre del paquete que se va a "cron"; sin embargo, los parámetros permiten personalizar los nombres de paquete. Por ejemplo:
- Valor predeterminado: packageName: "cron" y alternativePackageName: "cronie"
- Personalizado: cambie packageName a "bcron" para los sistemas mediante la implementación de bcron.
Siga este mismo método para aplicar cambios a los permisos de archivo, grupos, propietarios, etc.
Regla original
{
"ruleId": "1249e006-cfa1-93cb-bece-8159bcfdd5d6",
"name": "Ensure permissions on /etc/cron.daily are configured;DesiredObjectValue",
"value": "mask=0077 owner=root group=root packageName=cron alternativePackageName=cronie"
}
Regla personalizada
{
"ruleId": "1249e006-cfa1-93cb-bece-8159bcfdd5d6",
"name": "Ensure permissions on /etc/cron.daily are configured;DesiredObjectValue",
"value": "mask=0077 owner=root group=root packageName=bcron alternativePackageName=cronie"
}
Notas de lanzamiento
Versión actual
- Versión: 1.21.0.0
- Fecha de lanzamiento: junio de 2026
-
Características:
- Se añadió soporte para nuevas versiones de benchmarks CIS en Ubuntu, RHEL, Rocky Linux, AlmaLinux y Oracle Linux, e introdujo soporte para CIS AKS Optimized Azure Linux 3.
- Ampliaron los parámetros configurables por el cliente a través de más reglas, incluyendo política de contraseñas, permisos de archivo, opciones de montaje, estado del servicio, SSHD, systemd, DNS y configuraciones relacionadas con FTP.
- Experiencias mejoradas de parámetros de política en el Catálogo de Configuración de Configuración de Invitados con metadatos de entrada más ricos, incluyendo nombres de visualización, reglas de validación y soporte obligatorio de campos para parámetros JSON estructurados.
- Mejora de la precisión del cumplimiento y alineación de benchmarks con el contenido más reciente de CIS-CAT Evaluador, reduciendo fallos falsos y mejorando el manejo de reglas para versiones más recientes de benchmarks.
- Se añadió soporte nativo para
login.defsauditorías de políticas de contraseñas y mejoró el manejo de los parámetros JSON estructurados para asignaciones de cumplimiento.
Versión 1.0.0
- Versión: 1.0.0
- Fecha de lanzamiento: noviembre de 2025
-
Características:
- Versión inicial de las líneas base de CIS Linux para Azure Policy
- Compatibilidad con 12 distribuciones de Linux
- Funcionalidad de solo auditoría para la evaluación de cumplimiento
- Implementaciones de pruebas comparativas certificadas por CIS (lista anterior)
- Parámetros personalizados (detalles a continuación)
Para preguntas o soporte técnico sobre CIS Benchmarks for Linux en Azure Machine Configuration, consulte esta documentación o póngase en contacto con el soporte técnico de Azure.
Para preguntas, sugerencias o comentarios sobre las reglas, evaluaciones, cobertura de distribución, solicitudes de características, también puede usar el soporte técnico de Azure o abrir un problema de GitHub en el repositorio azure-osconfig.