Compartir comentarios
Las respuestas se generan en base a la documentación.

CIS Benchmark

Tabla de contenidos

¿Qué es el CIS Docker Benchmark?

El CIS Docker Benchmark forma parte de los CIS Benchmarks reconocidos a nivel mundial, desarrollados por el Center for Internet Security (CIS). Define las recomendaciones de configuración segura para todos los aspectos del ecosistema de contenedores de Docker, incluidos el host del contenedor, el demonio de Docker, las imágenes de contenedor y el entorno de ejecución de contenedores.

Por qué es importante el cumplimiento del CIS Benchmark

Seguir el CIS Docker Benchmark ayuda a las organizaciones a:

  • Reducir el riesgo de seguridad con una guía de endurecimiento ampliamente reconocida.
  • Cumplir con los requisitos regulatorios o contractuales que hacen referencia a los controles de CIS.
  • Estandarizar las prácticas de imágenes y Dockerfiles en todos los equipos.
  • Demostrar la preparación para auditorías con decisiones de configuración basadas en un estándar público.

Cómo cumplen las Docker Hardened Images con el CIS Benchmark

Las Docker Hardened Images (DHI) están diseñadas pensando en la seguridad y están verificadas para cumplir con los controles relevantes del CIS Docker Benchmark en el ámbito aplicable a las imágenes de contenedor y la configuración de Dockerfiles.

Las DHI compatibles con CIS cumplen con todos los controles de la Sección 4, con la única excepción del control que requiere Docker Content Trust (DCT), el cual Docker retiró oficialmente. En su lugar, las DHI se firman utilizando Cosign, proporcionando un nivel aún mayor de autenticidad e integridad. Al partir de una DHI compatible con CIS, los equipos pueden adoptar las mejores prácticas a nivel de imagen del benchmark de forma más rápida y segura.

Note

El CIS Docker Benchmark también incluye controles para el host, el demonio y el entorno de ejecución. Las DHI compatibles con CIS cubren únicamente el alcance de la imagen y el Dockerfile (Sección 4). El cumplimiento general sigue dependiendo de cómo configures y operes el entorno general.

Identificar imágenes que cumplen con CIS

Las imágenes compatibles con CIS están etiquetadas como CIS en el catálogo de Docker Hardened Images. Para encontrarlas, busca en el catálogo y localiza la designación CIS en los listados individuales.

Obtener el benchmark

Descarga el CIS Docker Benchmark más reciente directamente desde CIS: https://www.cisecurity.org/benchmark/docker