# CIS Benchmark


## ¿Qué es el CIS Docker Benchmark?

El [CIS Docker Benchmark](https://www.cisecurity.org/benchmark/docker) forma parte
de los CIS Benchmarks reconocidos a nivel mundial, desarrollados por el [Center for
Internet Security (CIS)](https://www.cisecurity.org/). Define las recomendaciones de
configuración segura para todos los aspectos del ecosistema de contenedores de Docker,
incluidos el host del contenedor, el demonio de Docker, las imágenes de contenedor y el
entorno de ejecución de contenedores.

## Por qué es importante el cumplimiento del CIS Benchmark

Seguir el CIS Docker Benchmark ayuda a las organizaciones a:

- Reducir el riesgo de seguridad con una guía de endurecimiento ampliamente reconocida.
- Cumplir con los requisitos regulatorios o contractuales que hacen referencia a los controles de CIS.
- Estandarizar las prácticas de imágenes y Dockerfiles en todos los equipos.
- Demostrar la preparación para auditorías con decisiones de configuración basadas en un estándar público.

## Cómo cumplen las Docker Hardened Images con el CIS Benchmark

Las Docker Hardened Images (DHI) están diseñadas pensando en la seguridad y están
verificadas para cumplir con los controles relevantes del CIS Docker Benchmark en el
ámbito aplicable a las imágenes de contenedor y la configuración de Dockerfiles.

Las DHI compatibles con CIS cumplen con todos los controles de la Sección 4, con la
única excepción del control que requiere Docker Content Trust (DCT), el cual [Docker
retiró oficialmente](https://www.docker.com/blog/retiring-docker-content-trust/).
En su lugar, las DHI se [firman](/dhi/core-concepts/signatures/) utilizando
Cosign, proporcionando un nivel aún mayor de autenticidad e integridad. Al
partir de una DHI compatible con CIS, los equipos pueden adoptar las mejores prácticas
a nivel de imagen del benchmark de forma más rápida y segura.

> [!NOTE]
>
> El CIS Docker Benchmark también incluye controles para el host, el demonio y el
> entorno de ejecución. Las DHI compatibles con CIS cubren únicamente el alcance de
> la imagen y el Dockerfile (Sección 4). El cumplimiento general sigue dependiendo de
> cómo configures y operes el entorno general.

## Identificar imágenes que cumplen con CIS

Las imágenes compatibles con CIS están etiquetadas como **CIS** en el catálogo de Docker Hardened Images.
Para encontrarlas, [busca en el catálogo](/dhi/how-to/explore/) y localiza la designación
**CIS** en los listados individuales.

## Obtener el benchmark

Descarga el CIS Docker Benchmark más reciente directamente desde CIS:
https://www.cisecurity.org/benchmark/docker