Megfelelőségi keretrendszerek
Az Aether365 négy bevált biztonsági keretrendszer alapján értékeli a Microsoft 365 bérlőd. Minden keretrendszert más hatóság tartja fenn, más fókuszterületet, hatályosságot és célközönséget fed le.
CIS Microsoft 365 Foundations Benchmark
Fenntartja: Center for Internet Security (CIS) Verzió: v3.0 Célközönség: Minden Microsoft 365-öt használó szervezet Hatályosság: Fiókbiztonság, Entra ID, Exchange, Teams, SharePoint, naplózás
A CIS a legszélesebb körben alkalmazott M365 biztonsági referencia. Világos, gyakorlatban alkalmazható vezérlőkészletet határoz meg, mindegyik részletes megvalósítási útmutatóval. A vezérlők Level 1 vagy Level 2 kategóriába soroltak:
| Szint | Leírás | Mikor alkalmazandó |
|---|---|---|
| L1 | Alapvető vezérlők minimális üzemeltetési hatással | Minden szervezet |
| L2 | Szigorúbb vezérlők, amelyek hathatnak a felhasználói élményre | Biztonság-érzékeny környezetek |
Ellenőrzés-azonosító formátum: CIS.M365.{szekció}.{alszekció}.{elem} - például CIS.M365.1.1.1
A CIS ellenőrzések a referencia 1-9. szekcióit fedik le, beleértve:
- szekció: Identitás és hozzáférés-kezelés
- szekció: Microsoft Entra ID
- szekció: Microsoft 365 alkalmazások
- szekció: Microsoft Teams
- szekció: E-mail biztonság (Exchange Online)
- szekció: SharePoint Online
- szekció: OneDrive
- szekció: Microsoft Defender
- szekció: Naplózás
EIDSCA (Entra ID Security Config Analyzer)
Fenntartja: Microsoft és a nyílt forráskódú közösség Célközönség: Jelentős Entra ID használatú szervezetek Hatályosság: Entra ID konfiguráció mélysége
Az EIDSCA kimondottan az Entra ID-re (korábban Azure Active Directory) összpontosít, és olyan területeket fed le, amelyeket a CIS nem kezel azonos mélységben. Fő területek:
- Hitelesítési módszer regisztráció és SSPR szabályzatok
- Feltételes hozzáférési hiányosságok és alapszintű szabályzat-lefedettség
- Privileged Identity Management (PIM) konfiguráció
- Token élettartam és munkamenet-vezérlők
- Vendégfelhasználói és B2B együttműködési beállítások
- Külső identitásszolgáltató megbízhatósági beállítások
Az EIDSCA különösen hasznos, ha a szervezeted nagymértékben támaszkodik az Entra ID funkcióira, mint a Privileged Identity Management, külső együttműködés vagy egyedi hitelesítési folyamatok.
Ellenőrzés-azonosító formátum: EIDSCA.{kategória}{szám} - például EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Fenntartja: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Verzió: Aktuális kiadott alapvonal Célközönség: Amerikai szövetségi ügynökségek és velük együttműködő szervezetek; szabályozott iparágak Hatályosság: Teljes M365 termékcsalád
Az SCuBA (Secure Cloud Business Applications) az Egyesült Államok szövetségi kormányzatának biztonsági alapvonala felhőalapú termelékenységi platformokhoz. Termékenként strukturált, nem vezérlő-kategóriák szerint:
| Termék | Mit fed le |
|---|---|
| Microsoft Entra ID | Identitás és hozzáférés-kezelés |
| Microsoft Defender for Office 365 | Fenyegetésvédelem-szabályzatok |
| Exchange Online | E-mail szállítás, adathalász-ellenőrzés, titkosítás |
| Microsoft Teams | Külső hozzáférés, értekezlet-szabályzatok |
| SharePoint Online és OneDrive | Megosztás, hozzáférés-vezérlés |
| Microsoft 365 Apps | Makró-szabályzatok, bővítmény-kezelés |
| Power Platform | Csatlakozó-szabályzatok (csak Enterprise) |
Az SCuBA az Egyesült Államok szövetségi környezetein túl is releváns. Világos szabályzati nyilatkozatai és automatizált tesztformátuma hasznos alapvonallá teszi bármely szervezet számára, amely szigorú, függetlenül karbantartott iránymutatást keres.
Ellenőrzés-azonosító formátum: MS.{TERMÉK}.{szám}.{alszám} - például MS.AAD.1.1
NIS2
Fenntartja: Európai Unió Irányelvek: EU 2022/2502 (NIS2) Célközönség: Az EU-ban működő szervezetek, különösen a létfontosságú és fontos entitások üzemeltetői Hatályosság: A 21. cikk szerinti technikai és szervezeti intézkedések
A NIS2 nem technikai referencia - hanem szabályozási irányelv. Az Aether365 az M365 konfigurációs vezérlőket a NIS2 által a 21. cikk értelmében megkövetelt technikai követelményekre képezi le, amelyek megkövetelik a szervezetektől a megfelelő intézkedéseket a kiberbiztonsági kockázat kezelésére.
Az Aether365 NIS2 ellenőrzéseinek fókuszpontjai:
| NIS2 terület | M365 vezérlők |
|---|---|
| Hozzáférés-vezérlés és hitelesítés | MFA, privilegizált hozzáférés, feltételes hozzáférés |
| Incidenskezelés | Naplózás, riasztási szabályzatok, biztonsági események |
| Üzletfolytonosság | Biztonsági mentés és helyreállítási beállítások, adatszékhely-szabály |
| Ellátási lánc biztonság | Alkalmazás-hozzájárulási szabályzatok, külső csatlakozó beállítások |
| Alapvető kiberhigiénia | Örökölt hitelesítés, javítással kapcsolatos beállítások |
NIS2 megfelelőség hatályossága
Az Aether365 a NIS2-hoz releváns M365-specifikus technikai vezérlőket fedi le. A teljes NIS2 megfelelőséghez az M365 konfigurációdon túli technikai és szervezeti intézkedések széles körű programjára van szükség. Az Aether365 eredményei nem minősülnek NIS2 megfelelőségi tanúsításnak.
Keretrendszer-összehasonlítás
| Dimenzió | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Hatóság | CIS | Nyílt forráskód / Microsoft | US CISA | EU szabályozás |
| Fókusz | Széles körű M365 | Entra ID mélység | Termékenként | Kockázatalapú szabályozás |
| Részletezettség szintje | Magas | Nagyon magas | Magas | Közepes |
| Alkalmas EU szervezeteknek | Igen | Igen | Igen | Kötelezettség |
| Alkalmas US szövetséginek | Igen | Igen | Kötelezettség | Nem alkalmazható |
| Alkalmas minden szervezetnek | Igen | Igen | Igen | Ha EU-szabályozott |
| Ellenőrzésszám az Aether365-ben | ~60 | ~40 | ~50 | ~30 |
Minden keretrendszer a Megfelelőségi vizsgálat részeként fut. Egyedi keretrendszereket nem választhatsz vizsgálatonként - minden alkalmazható ellenőrzés együtt fut, és az eredmények keretrendszer szerint címkézettek a szűréshez.