Compliance-viitekehykset
Yllapitaja: Aether365-tiimi Kohderyhma: Tietoturvajarjestelmanvalvojat ja compliance-vastaavat Laajuus: CIS, EIDSCA, CISA SCuBA ja NIS2 -viitekehysten kuvaukset
Aether365 arvioi Microsoft 365 -vuokralaisesi nelja vakiintunutta tietoturvaviitekehysta vasten. Jokaista viitekehysta yllapitaa eri taho, ja niilla on erilainen painopistealue, laajuus ja kohderyhma.
CIS Microsoft 365 Foundations Benchmark
Yllapitaja: Center for Internet Security (CIS) Versio: v3.0 Kohderyhma: Kaikki Microsoft 365:ta kayttavat organisaatiot Laajuus: Tilturvallisuus, Entra ID, Exchange, Teams, SharePoint, auditointiloki
CIS on laajimmin kaytetty M365-tietoturva-benchmark. Se maarittelee selkean, kaytannollisen joukon kontrolleja, joista kukin sisaltaa yksityiskohtaiset toteutusohjeet. Kontrollit luokitellaan tasoihin Level 1 ja Level 2:
| Taso | Kuvaus | Milloin soveltaa |
|---|---|---|
| L1 | Perustavat kontrollit, vahaisin vaikutus toimintaan | Kaikki organisaatiot |
| L2 | Tiukemmat kontrollit, voivat vaikuttaa kayttokokemukseen | Tietoturvaherkät ymparistot |
Tarkistus-ID:n muoto: CIS.M365.{osio}.{alaosio}.{kohta} - esimerkiksi CIS.M365.1.1.1
CIS-tarkistukset kattavat benchmarkin osiot 1-9, mukaan lukien:
- Osio 1: Identiteetin ja kayttooikeuksien hallinta
- Osio 2: Microsoft Entra ID
- Osio 3: Microsoft 365 -sovellukset
- Osio 4: Microsoft Teams
- Osio 5: Sahkopostin tietoturva (Exchange Online)
- Osio 6: SharePoint Online
- Osio 7: OneDrive
- Osio 8: Microsoft Defender
- Osio 9: Auditointiloki
EIDSCA (Entra ID Security Config Analyzer)
Yllapitaja: Microsoft ja avoimen lahdekoodin yhteiso Kohderyhma: Organisaatiot, joilla on merkittavaa Entra ID -kayttoa Laajuus: Entra ID -kokoonpanon syvallinen tarkistus
EIDSCA keskittyy nimenomaan Entra ID:hen (aiemmin Azure Active Directory) ja kattaa alueita, joita CIS ei kasittele samalla syvyydella. Keskeisia alueita:
- Todennusmenetelmien rekisterointi ja SSPR-kaytannot
- Ehdollisen paasyn aukkokohdat ja peruskaytantojen kattavuus
- Privileged Identity Management (PIM) -kokoonpano
- Tokenien voimassaoloaika ja istuntoasetukset
- Vieraskayttajan ja B2B-yhteistyon asetukset
- Ulkoisen identiteetintarjoajan luottamusasetukset
EIDSCA on erityisen hyodyllinen, jos organisaatiosi nojaa voimakkaasti Entra ID -ominaisuuksiin kuten Privileged Identity Management, ulkoinen yhteistyo tai mukautetut todennusvirrat.
Tarkistus-ID:n muoto: EIDSCA.{kategoria}{numero} - esimerkiksi EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Yllapitaja: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Versio: Nykyinen julkaistu perustaso Kohderyhma: Yhdysvaltain liittovaltion virastot ja niiden kanssa tyoskentelevat organisaatiot; saannellyt toimialat Laajuus: Koko M365-tuoteperhe
SCuBA (Secure Cloud Business Applications) on Yhdysvaltain liittohallituksen tietoturvaperustaso pilvipohjaisille tuottavuusalustoille. Se on jasennetty M365-tuotteittain eika kontrollykategorioittain:
| Tuote | Tarkistusten kattavuus |
|---|---|
| Microsoft Entra ID | Identiteetin ja kayttooikeuksien hallinta |
| Microsoft Defender for Office 365 | Uhkasuojauskaytannot |
| Exchange Online | Sahkopostin kuljetus, tietojenkalastelu, salaus |
| Microsoft Teams | Ulkoinen kayttooikeus, kokouskaytannot |
| SharePoint Online ja OneDrive | Jakaminen, kayttooikeuksien hallinta |
| Microsoft 365 -sovellukset | Makrokaytannot, lisaosien hallinta |
| Power Platform | Yhdistinkaytannot (vain Enterprise) |
SCuBA on merkityksellinen myos Yhdysvaltain liittovaltion ymparistojen ulkopuolella. Sen selkeat kaytantolauselmat ja automaattinen testausmuoto tekevat siita hyodyllisen perustason mille tahansa organisaatiolle, joka hakee tiukkaa, riippumattomasti yllapidettya ohjausta.
Tarkistus-ID:n muoto: MS.{TUOTE}.{numero}.{alanumero} - esimerkiksi MS.AAD.1.1
NIS2
Yllapitaja: Euroopan unioni Direktiivi: EU 2022/2502 (NIS2) Kohderyhma: EU:ssa toimivat organisaatiot, erityisesti keskeisten ja tarkeiden toimijoiden operaattorit Laajuus: Artiklan 21 mukaiset tekniset ja organisatoriset toimenpiteet
NIS2 ei ole tekninen benchmark - se on saantelydirektiiivi. Aether365 yhdistaa M365-kokoonpanon kontrollit NIS2:n artiklan 21 vaatimiin teknisiin vaatimuksiin, jotka edellyttavat organisaatioilta asianmukaisia kyberturvallisuusriskin hallintatoimenpiteita.
Aether365:n NIS2-tarkistukset keskittyvat:
| NIS2-alue | M365-kontrollit |
|---|---|
| Kayttooikeuksien hallinta ja todennus | MFA, etuoikeutettu kayttooikeus, ehdollinen paasy |
| Poikkeamien kasittely | Auditointiloki, halytyskaytannot, tietoturvatapahtumat |
| Toiminnan jatkuvuus | Varmuuskopiointi- ja palautusasetukset, tietojen sijainti |
| Toimitusketjun turvallisuus | Sovellusten suostumuskaytannot, ulkoiset yhdistinasetukset |
| Perus kyberhygienia | Vanhentunut todennus, paivityksiin liittyvat asetukset |
NIS2-compliance-laajuus
Aether365 kattaa NIS2:n kannalta relevantit M365-kohtaiset tekniset kontrollit. Taydellinen NIS2-vaatimustenmukaisuus edellyttaa laajempaa teknisten ja organisatoristen toimenpiteiden ohjelmaa M365-kokoonpanon ulkopuolella. Aether365:n tulokset eivat muodosta NIS2-vaatimustenmukaisuussertifiointia.
Viitekehysten vertailu
| Ulottuvuus | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Taho | CIS | Avoin lahdekoodi / Microsoft | US CISA | EU-saantely |
| Painopiste | Laaja M365 | Entra ID -syvyys | Tuotekohtainen | Riskiperusteinen saantely |
| Yksityiskohtaisuus | Korkea | Erittain korkea | Korkea | Kohtalainen |
| Soveltuu EU-organisaatioille | Kylla | Kylla | Kylla | Vaaditaan |
| Soveltuu US-liittovaltiolle | Kylla | Kylla | Vaaditaan | Ei sovelleta |
| Soveltuu kaikille organisaatioille | Kylla | Kylla | Kylla | Jos EU-saannelty |
| Tarkistusten maara Aether365:ssa | ~60 | ~40 | ~50 | ~30 |
Kaikki viitekehykset suoritetaan osana Compliance-skannausta. Yksittaisia viitekehyksia ei voi valita skannaukseen erikseen - kaikki soveltuvat tarkistukset suoritetaan yhdessa ja tulokset merkitaan viitekehyksen mukaan suodatusta varten.