Als u een nieuwe server in gebruik neemt, is de standaardconfiguratie van het besturingssysteem zelden veilig genoeg. Fabrikanten kiezen standaard voor gebruiksgemak, niet voor maximale beveiliging. Veel diensten staan open, wachtwoorden zijn zwak en auditlogging staat uit. CIS Benchmarks lossen dit probleem op — en wij passen ze toe op elke server die wij beheren.

Wat zijn CIS Benchmarks?

CIS staat voor Center for Internet Security — een Amerikaanse non-profitorganisatie die al meer dan 25 jaar beveiligingsstandaarden ontwikkelt. Een CIS Benchmark is een concrete lijst van configuratie-instellingen die een systeem aantoonbaar veiliger maken. Per platform (Ubuntu, Windows Server, Kubernetes, AWS, etc.) bestaat er een eigen benchmark, samengesteld door een gemeenschap van beveiligingsexperts, overheden en technologiebedrijven.

De benchmarks zijn openbaar beschikbaar en worden regelmatig bijgewerkt als er nieuwe kwetsbaarheden of best practices worden ontdekt. Ze worden wereldwijd erkend als de technische standaard voor server- en werkstationbeveiliging — en ze vormen de technische basis van veel compliance-frameworks, waaronder NIS2 en ISO 27001.

Hoe zijn ze opgebouwd?

Elke benchmark bestaat uit honderden individuele controles, elk met een beschrijving, de reden van de aanbeveling, de impact en de concrete instructies voor implementatie. De controls zijn verdeeld in twee niveaus:

Level 1 — Basale beveiliging

Maatregelen die op elke omgeving van toepassing zijn, zonder significant prestatieverlies of functieverlies. Denk aan: uitschakelen van onnodige diensten, verplichten van sterke wachtwoorden, activeren van firewall-regels en configureren van auditlogging. Level 1 is de minimale standaard die wij overal toepassen.

Level 2 — Strenger, voor gevoelige omgevingen

Aanvullende maatregelen voor omgevingen met hogere beveiligingseisen. Deze kunnen invloed hebben op de bruikbaarheid en vereisen zorgvuldige afweging. Level 2 past 5iX toe voor klanten met compliance-eisen (NIS2, zorg, financieel) of voor systemen die gevoelige data verwerken.

Voor welke platforms bestaan ze?

CIS Benchmarks bestaan voor vrijwel elk platform dat u in een bedrijfsomgeving tegenkomt:

  • Linux: Ubuntu, Debian, Red Hat/CentOS, SUSE — elke major versie heeft een eigen benchmark
  • Windows: Windows Server 2019, 2022, Windows 10, Windows 11
  • Container platforms: Kubernetes, Docker
  • Cloud: AWS, Microsoft Azure, Google Cloud Platform
  • Netwerkapparatuur: Cisco, Palo Alto, Juniper
  • Databases: PostgreSQL, MySQL, Microsoft SQL Server
  • Browsers en werkstations: Chrome, Firefox, macOS

Voor elke omgeving die 5iX beheert, gebruiken wij de meest actuele versie van de relevante benchmark als vertrekpunt.

Waarom gebruikt 5iX deze als standaard?

De reden is eenvoudig: CIS Benchmarks vertegenwoordigen de geconsolideerde kennis van duizenden beveiligingsexperts. In plaats van zelf te bepalen welke instellingen veilig zijn — een arbeidsintensief proces dat foutgevoelig is — baseren wij ons op een beproefde, community-gedreven standaard.

Concreet levert dit onze klanten vier voordelen op:

  • Aantoonbare beveiliging: U kunt aan een auditor, klant of verzekeraar laten zien dat uw systemen conform een erkende internationale standaard zijn geconfigureerd.
  • Compliance-gereed: De meeste compliance-frameworks (NIS2, ISO 27001, BIO) accepteren CIS Benchmarks als technisch bewijs. U doet minder dubbel werk.
  • Voorspelbaarheid: Elke server die wij opleveren is op dezelfde manier geconfigureerd. Dat maakt beheer, monitoring en incidentrespons een stuk eenvoudiger.
  • Continue verbetering: Als CIS een benchmark update naar aanleiding van een nieuwe kwetsbaarheid, integreren wij die update in onze standaard configuratie.

Praktisch: wat betekent dit voor uw server?

Wanneer 5iX een server voor u inricht, voeren wij een CIS hardening toe als onderdeel van de standaard oplevering. Dit omvat onder andere:

  • Uitschakelen van onnodige netwerks­ervices en poorten
  • Configureren van een lokale firewall (UFW of nftables)
  • Instellen van wachtwoordbeleid en account lockout
  • Activeren van auditd met de aanbevolen regels
  • Beperken van sudo-rechten tot wat strikt noodzakelijk is
  • Configureren van SSH conform de benchmark (geen root login, key-only auth)
  • Instellen van automatisch patchen voor beveiligingsupdates

Na de configuratie documenteren wij de compliance-status en voeren wij een geautomatiseerde controle uit. Zo weet u zeker dat de server conform de benchmark is geconfigureerd en weten wij precies wanneer een instelling afwijkt van de standaard.

Heeft u bestaande servers die nog niet zijn gehardend? Wij voeren ook een CIS-audit uit op bestaande omgevingen en stellen een verbeterplan op dat haalbaar is zonder de bedrijfscontinuïteit te verstoren.