Πλαίσια Compliance
Maintained by: Aether365 Team Audience: Security administrators and compliance officers Scope: CIS, EIDSCA, CISA SCuBA, and NIS2 framework descriptions
Το Aether365 αξιολογεί το Microsoft 365 tenant σας βάσει τεσσάρων καθιερωμένων πλαισίων ασφαλείας. Κάθε πλαίσιο συντηρείται από διαφορετική αρχή και έχει διαφορετική εστίαση, εύρος και κοινό-στόχο.
CIS Microsoft 365 Foundations Benchmark
Συντηρείται από: Center for Internet Security (CIS) Έκδοση: v3.0 Κοινό: Όλοι οι οργανισμοί που χρησιμοποιούν Microsoft 365 Εύρος: Ασφάλεια λογαριασμών, Entra ID, Exchange, Teams, SharePoint, καταγραφή ελέγχων
Το CIS είναι το πιο ευρέως υιοθετημένο πρότυπο ασφαλείας M365. Ορίζει ένα σαφές, εφαρμόσιμο σύνολο ελέγχων, καθένας με λεπτομερείς οδηγίες υλοποίησης. Οι έλεγχοι κατηγοριοποιούνται ως Level 1 ή Level 2:
| Επίπεδο | Περιγραφή | Πότε εφαρμόζεται |
|---|---|---|
| L1 | Θεμελιώδεις έλεγχοι με ελάχιστη λειτουργική επίπτωση | Όλοι οι οργανισμοί |
| L2 | Αυστηρότεροι έλεγχοι που μπορεί να επηρεάσουν την εμπειρία χρήστη | Περιβάλλοντα υψηλής ασφάλειας |
Μορφή Check ID: CIS.M365.{section}.{subsection}.{item} - για παράδειγμα, CIS.M365.1.1.1
Οι έλεγχοι CIS καλύπτουν τις ενότητες 1 έως 9 του benchmark, μεταξύ άλλων:
- Ενότητα 1: Διαχείριση Ταυτότητας και Πρόσβασης
- Ενότητα 2: Microsoft Entra ID
- Ενότητα 3: Εφαρμογές Microsoft 365
- Ενότητα 4: Microsoft Teams
- Ενότητα 5: Ασφάλεια Email (Exchange Online)
- Ενότητα 6: SharePoint Online
- Ενότητα 7: OneDrive
- Ενότητα 8: Microsoft Defender
- Ενότητα 9: Καταγραφή Ελέγχων
EIDSCA (Entra ID Security Config Analyzer)
Συντηρείται από: Microsoft και η κοινότητα ανοιχτού κώδικα Κοινό: Οργανισμοί με εκτεταμένη χρήση Entra ID Εύρος: Σε βάθος ρυθμίσεις Entra ID
Το EIDSCA εστιάζει αποκλειστικά στο Entra ID (πρώην Azure Active Directory) και καλύπτει τομείς που το CIS δεν αντιμετωπίζει στο ίδιο βάθος. Βασικοί τομείς:
- Πολιτικές εγγραφής μεθόδων πιστοποίησης και SSPR
- Κενά πολιτικών conditional access και κάλυψη βάσης
- Ρυθμίσεις Privileged Identity Management (PIM)
- Χρόνος ζωής token και ρυθμίσεις συνεδρίας
- Ρυθμίσεις χρηστών-επισκεπτών και B2B συνεργασίας
- Ρυθμίσεις εμπιστοσύνης εξωτερικών παρόχων ταυτότητας
Το EIDSCA είναι ιδιαίτερα χρήσιμο αν ο οργανισμός σας βασίζεται σε λειτουργίες Entra ID όπως Privileged Identity Management, εξωτερική συνεργασία ή προσαρμοσμένες ροές πιστοποίησης.
Μορφή Check ID: EIDSCA.{category}{number} - για παράδειγμα, EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Συντηρείται από: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Έκδοση: Τρέχουσα δημοσιευμένη βάση Κοινό: Ομοσπονδιακές υπηρεσίες των ΗΠΑ και οργανισμοί που συνεργάζονται μαζί τους, ρυθμιζόμενοι κλάδοι Εύρος: Πλήρης σουίτα προϊόντων M365
Το SCuBA (Secure Cloud Business Applications) είναι η βάση ασφαλείας της ομοσπονδιακής κυβέρνησης των ΗΠΑ για cloud πλατφόρμες παραγωγικότητας. Είναι δομημένο ανά προϊόν M365 αντί ανά κατηγορία ελέγχου:
| Προϊόν | Οι έλεγχοι καλύπτουν |
|---|---|
| Microsoft Entra ID | Διαχείριση ταυτότητας και πρόσβασης |
| Microsoft Defender for Office 365 | Πολιτικές προστασίας απειλών |
| Exchange Online | Μεταφορά email, anti-phishing, κρυπτογράφηση |
| Microsoft Teams | Εξωτερική πρόσβαση, πολιτικές συσκέψεων |
| SharePoint Online και OneDrive | Κοινή χρήση, έλεγχος πρόσβασης |
| Microsoft 365 Apps | Πολιτικές macro, διαχείριση add-in |
| Power Platform | Πολιτικές connectors (μόνο Enterprise) |
Το SCuBA είναι σχετικό πέρα από ομοσπονδιακά περιβάλλοντα ΗΠΑ. Οι σαφείς δηλώσεις πολιτικής και η αυτοματοποιημένη μορφή ελέγχου το καθιστούν χρήσιμη βάση για κάθε οργανισμό που αναζητά αυστηρή, ανεξάρτητα συντηρούμενη καθοδήγηση.
Μορφή Check ID: MS.{PRODUCT}.{number}.{subnumber} - για παράδειγμα, MS.AAD.1.1
NIS2
Συντηρείται από: Ευρωπαϊκή Ένωση Οδηγία: EU 2022/2502 (NIS2) Κοινό: Οργανισμοί που δραστηριοποιούνται στην ΕΕ, ιδιαίτερα φορείς ουσιωδών και σημαντικών υπηρεσιών Εύρος: Τεχνικά και οργανωτικά μέτρα σύμφωνα με το Άρθρο 21
Το NIS2 δεν είναι τεχνικό benchmark - είναι κανονιστική οδηγία. Το Aether365 αντιστοιχίζει ελέγχους ρυθμίσεων M365 στις τεχνικές απαιτήσεις που επιβάλλει το NIS2 βάσει του Άρθρου 21, το οποίο απαιτεί από τους οργανισμούς να λαμβάνουν κατάλληλα μέτρα για τη διαχείριση κινδύνων κυβερνοασφάλειας.
Οι έλεγχοι NIS2 στο Aether365 εστιάζουν σε:
| Τομέας NIS2 | Έλεγχοι M365 |
|---|---|
| Έλεγχος πρόσβασης και πιστοποίηση | MFA, προνομιούχα πρόσβαση, conditional access |
| Διαχείριση συμβάντων | Καταγραφή ελέγχου, πολιτικές ειδοποιήσεων, συμβάντα ασφαλείας |
| Επιχειρησιακή συνέχεια | Ρυθμίσεις backup και ανάκτησης, τοποθεσία δεδομένων |
| Ασφάλεια αλυσίδας εφοδιασμού | Πολιτικές συναίνεσης εφαρμογών, ρυθμίσεις εξωτερικών connectors |
| Βασική κυβερνοϋγιεινή | Legacy authentication, ρυθμίσεις σχετικές με ενημερώσεις |
Εύρος Compliance NIS2
Το Aether365 καλύπτει τους τεχνικούς ελέγχους M365 που σχετίζονται με το NIS2. Η πλήρης συμμόρφωση NIS2 απαιτεί ένα ευρύτερο πρόγραμμα τεχνικών και οργανωτικών μέτρων πέρα από τις ρυθμίσεις M365. Τα αποτελέσματα του Aether365 δεν αποτελούν πιστοποίηση συμμόρφωσης NIS2.
Σύγκριση Πλαισίων
| Διάσταση | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Αρχή | CIS | Ανοιχτός κώδικας / Microsoft | US CISA | Κανονισμός ΕΕ |
| Εστίαση | Ευρύ M365 | Βάθος Entra ID | Ανά προϊόν | Κανονιστικό βάσει κινδύνου |
| Επίπεδο λεπτομέρειας | Υψηλό | Πολύ υψηλό | Υψηλό | Μέτριο |
| Κατάλληλο για οργανισμούς ΕΕ | Ναι | Ναι | Ναι | Απαιτούμενο |
| Κατάλληλο για ομοσπονδιακές ΗΠΑ | Ναι | Ναι | Απαιτούμενο | Δεν ισχύει |
| Κατάλληλο για όλους τους οργανισμούς | Ναι | Ναι | Ναι | Αν υπόκειται σε ΕΕ |
| Αριθμός ελέγχων στο Aether365 | ~60 | ~40 | ~50 | ~30 |
Όλα τα πλαίσια εκτελούνται στο πλαίσιο μιας σάρωσης compliance. Δεν μπορείτε να επιλέξετε μεμονωμένα πλαίσια ανά σάρωση - όλοι οι εφαρμόσιμοι έλεγχοι εκτελούνται μαζί και τα αποτελέσματα επισημαίνονται ανά πλαίσιο για φιλτράρισμα.