Vastavusraamistikud
Aether365 hindab teie Microsoft 365 halduskeskkonda nelja kehtestatud turvaraamistiku alusel. Iga raamistikku haldab erinev asutus ja sellel on erinev fookus, ulatus ja sihtrühm.
CIS Microsoft 365 Foundations Benchmark
Haldaja: Center for Internet Security (CIS) Versioon: v3.0 Sihtrühm: Kõik Microsoft 365 kasutavad organisatsioonid Ulatus: Konto turve, Entra ID, Exchange, Teams, SharePoint, auditi logimine
CIS on kõige laiemalt kasutusel olev M365 turvavõrdlusnäitaja. See määratleb selge ja teostatava kontrollide komplekti, igaüks koos üksikasjalike rakendusjuhistega. Kontrollid on liigitatud tasemeks 1 või tasemeks 2:
| Tase | Kirjeldus | Millal rakendada |
|---|---|---|
| L1 | Alustaseme kontrollid minimaalse mõjuga töövoogule | Kõik organisatsioonid |
| L2 | Rangemad kontrollid, mis võivad mõjutada kasutajakogemust | Turvatundlikud keskkonnad |
Kontrolli ID formaat: CIS.M365.{jaotis}.{alajaotis}.{element} - näiteks CIS.M365.1.1.1
CIS kontrollid hõlmavad võrdlusnäitaja jaotisi 1 kuni 9, sealhulgas:
- Jaotis 1: Identiteedi ja juurdepääsu haldamine
- Jaotis 2: Microsoft Entra ID
- Jaotis 3: Microsoft 365 rakendused
- Jaotis 4: Microsoft Teams
- Jaotis 5: E-posti turve (Exchange Online)
- Jaotis 6: SharePoint Online
- Jaotis 7: OneDrive
- Jaotis 8: Microsoft Defender
- Jaotis 9: Auditi logimine
EIDSCA (Entra ID Security Config Analyzer)
Haldaja: Microsoft ja avatud lähtekoodiga kogukond Sihtrühm: Organisatsioonid, mis kasutavad oluliselt Entra ID-d Ulatus: Entra ID seadistuse süvakontroll
EIDSCA keskendub spetsiifiliselt Entra ID-le (endine Azure Active Directory) ja hõlmab valdkondi, mida CIS ei käsitle samal sügavusel. Peamised valdkonnad:
- Autentimismeetodite registreerimine ja SSPR poliitikad
- Tingimusliku juurdepääsu poliitikate lüngad ja baastaseme poliitikate katvus
- Privileged Identity Management (PIM) seadistus
- Tokeni eluiga ja seansikontrollid
- Külaliskasutajate ja B2B koostöö sätted
- Väliste identiteedipakkujate usalduseseaded
EIDSCA on eriti kasulik, kui teie organisatsioon tugineb tugevalt Entra ID funktsioonidele nagu Privileged Identity Management, väline koostöö või kohandatud autentimisvood.
Kontrolli ID formaat: EIDSCA.{kategooria}{number} - näiteks EIDSCA.PR01
CISA SCuBA M365 turvabaastase
Haldaja: USA küberjulgeoleku ja taristu turbeagentuur (CISA) Versioon: Kehtiv avaldatud baastase Sihtrühm: USA föderaalagentuurid ja nendega koostööd tegevad organisatsioonid; reguleeritud tööstusharud Ulatus: Kogu M365 toodete komplekt
SCuBA (Secure Cloud Business Applications) on USA föderaalvalitsuse turvabaastase pilve tootlikkusplatvormidele. See on struktureeritud M365 toote, mitte kontrollikategooria järgi:
| Toode | Kontrollid hõlmavad |
|---|---|
| Microsoft Entra ID | Identiteedi ja juurdepääsu haldamine |
| Microsoft Defender for Office 365 | Ohutõrje poliitikad |
| Exchange Online | E-posti transport, andmepüügivastasus, krüpteerimine |
| Microsoft Teams | Väline juurdepääs, koosolekupoliitikad |
| SharePoint Online ja OneDrive | Jagamine, juurdepääsukontroll |
| Microsoft 365 rakendused | Makropoliitikad, lisandmoodulite haldamine |
| Power Platform | Konnektori poliitikad (ainult Enterprise) |
SCuBA on asjakohane ka väljaspool USA föderaalkeskkondi. Selle selged poliitikavormistused ja automaatne testiformaat muudavad selle kasulikuks baastasmeks iga organisatsiooni jaoks, kes otsib ranget, iseseisvalt hallatavat juhendmaterjali.
Kontrolli ID formaat: MS.{TOODE}.{number}.{alamumber} - näiteks MS.AAD.1.1
NIS2
Haldaja: Euroopa Liit Direktiiv: EL 2022/2502 (NIS2) Sihtrühm: EL-is tegutsevad organisatsioonid, eriti elutähtsate ja oluliste teenuste operaatorid Ulatus: Artikli 21 kohased tehnilised ja organisatsioonilised meetmed
NIS2 ei ole tehniline võrdlusnäitaja - see on regulatiivne direktiiv. Aether365 kaardistab M365 seadistuskontrollid tehnilistele nõuetele, mida NIS2 nõuab artikli 21 alusel, mis kohustab organisatsioone võtma asjakohaseid meetmeid küberjulgeoleku riski haldamiseks.
NIS2 kontrollid Aether365-s keskenduvad:
| NIS2 valdkond | M365 kontrollid |
|---|---|
| Juurdepääsukontroll ja autentimine | MFA, privilegeeritud juurdepääs, tingimuslik juurdepääs |
| Intsidentide käsitsemine | Auditi logimine, hoiatuspoliitikad, turvasündmused |
| Talitluspidevus | Varundamise ja taastamise sätted, andmete asukoht |
| Tarneahela turvalisus | Rakenduse nõusolekupoliitikad, välised konnektorid |
| Küberturvalisuse alghügieen | Pärandautentimine, paikamisega seotud sätted |
NIS2 vastavuse ulatus
Aether365 hõlmab NIS2-ga seotud M365-spetsiifilisi tehnilisi kontrolle. Täielik NIS2 vastavus nõuab laiemat tehniliste ja organisatsiooniliste meetmete programmi, mis ületab teie M365 seadistuse. Aether365 tulemused ei kujuta endast NIS2 vastavussertifikaati.
Raamistike võrdlus
| Dimensioon | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Asutus | CIS | Avatud lähtekood / Microsoft | USA CISA | EL-i regulatsioon |
| Fookus | Lai M365 | Entra ID süvakontroll | Tootepõhine | Riskipõhine regulatsioon |
| Detailsuse tase | Kõrge | Väga kõrge | Kõrge | Keskmine |
| Sobib EL-i organisatsioonidele | Jah | Jah | Jah | Nõutav |
| Sobib USA föderaalagentuuridele | Jah | Jah | Nõutav | Ei kohaldu |
| Sobib kõigile organisatsioonidele | Jah | Jah | Jah | Kui EL-is reguleeritud |
| Kontrollide arv Aether365-s | ~60 | ~40 | ~50 | ~30 |
Kõik raamistikud käivituvad vastavusskaneerimise osana. Üksikuid raamistikke ei saa skaneerimise kohta valida - kõik rakendatavad kontrollid käivitatakse koos ja tulemused on märgistatud raamistiku järgi filtreerimiseks.