Framework di compliance
Maintainer: Aether365 Team Destinatari: Amministratori della sicurezza e responsabili della conformità Ambito: Descrizione dei framework CIS, EIDSCA, CISA SCuBA e NIS2
Aether365 valuta il tuo tenant Microsoft 365 rispetto a quattro framework di sicurezza consolidati. Ciascun framework è mantenuto da un ente diverso e ha un'area di interesse, un ambito e un pubblico differenti.
CIS Microsoft 365 Foundations Benchmark
Mantenuto da: Center for Internet Security (CIS) Versione: v3.0 Destinatari: Tutte le organizzazioni che utilizzano Microsoft 365 Ambito: Sicurezza degli account, Entra ID, Exchange, Teams, SharePoint, log di audit
CIS è il benchmark di sicurezza M365 più diffuso. Definisce un insieme chiaro e operativo di controlli, ciascuno con istruzioni di implementazione dettagliate. I controlli sono classificati come Livello 1 o Livello 2:
| Livello | Descrizione | Quando applicarlo |
|---|---|---|
| L1 | Controlli fondamentali con impatto operativo minimo | Tutte le organizzazioni |
| L2 | Controlli più restrittivi che possono influire sull'esperienza utente | Ambienti ad alta sicurezza |
Formato ID controllo: CIS.M365.{sezione}.{sottosezione}.{elemento} - ad esempio, CIS.M365.1.1.1
I controlli CIS coprono le sezioni da 1 a 9 del benchmark, tra cui:
- Sezione 1: Gestione dell'identità e degli accessi
- Sezione 2: Microsoft Entra ID
- Sezione 3: App di Microsoft 365
- Sezione 4: Microsoft Teams
- Sezione 5: Sicurezza email (Exchange Online)
- Sezione 6: SharePoint Online
- Sezione 7: OneDrive
- Sezione 8: Microsoft Defender
- Sezione 9: Log di audit
EIDSCA (Entra ID Security Config Analyzer)
Mantenuto da: Microsoft e la community open source Destinatari: Organizzazioni con un utilizzo significativo di Entra ID Ambito: Configurazione approfondita di Entra ID
EIDSCA si concentra specificamente su Entra ID (ex Azure Active Directory) e copre aree che CIS non affronta allo stesso livello di dettaglio. Aree principali:
- Registrazione dei metodi di autenticazione e policy SSPR
- Lacune nell'accesso condizionale e copertura delle policy di base
- Configurazione di Privileged Identity Management (PIM)
- Durata dei token e controlli di sessione
- Impostazioni per utenti guest e collaborazione B2B
- Impostazioni di trust per identity provider esterni
EIDSCA è particolarmente utile se la tua organizzazione si affida molto a funzionalità di Entra ID come Privileged Identity Management, collaborazione esterna o flussi di autenticazione personalizzati.
Formato ID controllo: EIDSCA.{categoria}{numero} - ad esempio, EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Mantenuto da: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Versione: Baseline pubblicata corrente Destinatari: Agenzie federali statunitensi e organizzazioni che collaborano con esse; settori regolamentati Ambito: Suite completa dei prodotti M365
SCuBA (Secure Cloud Business Applications) è la baseline di sicurezza del governo federale statunitense per le piattaforme di produttività cloud. È strutturata per prodotto M365 anziché per categoria di controllo:
| Prodotto | Cosa coprono i controlli |
|---|---|
| Microsoft Entra ID | Gestione dell'identità e degli accessi |
| Microsoft Defender for Office 365 | Policy di protezione dalle minacce |
| Exchange Online | Trasporto email, anti-phishing, crittografia |
| Microsoft Teams | Accesso esterno, policy per le riunioni |
| SharePoint Online e OneDrive | Condivisione, controllo degli accessi |
| Microsoft 365 Apps | Policy per le macro, gestione dei componenti aggiuntivi |
| Power Platform | Policy per i connettori (solo Enterprise) |
SCuBA è rilevante anche al di fuori degli ambienti federali statunitensi. Le sue dichiarazioni di policy chiare e il formato di test automatizzato la rendono una baseline utile per qualsiasi organizzazione che cerchi una guida rigorosa e mantenuta in modo indipendente.
Formato ID controllo: MS.{PRODOTTO}.{numero}.{sottonumero} - ad esempio, MS.AAD.1.1
NIS2
Mantenuto da: Unione Europea Direttiva: EU 2022/2502 (NIS2) Destinatari: Organizzazioni che operano nell'UE, in particolare operatori di entità essenziali e importanti Ambito: Misure tecniche e organizzative ai sensi dell'Articolo 21
NIS2 non è un benchmark tecnico - è una direttiva normativa. Aether365 mappa i controlli di configurazione M365 ai requisiti tecnici imposti dalla NIS2 ai sensi dell'Articolo 21, che richiede alle organizzazioni di adottare misure appropriate per gestire il rischio di cybersicurezza.
I controlli NIS2 in Aether365 si concentrano su:
| Area NIS2 | Controlli M365 |
|---|---|
| Controllo degli accessi e autenticazione | MFA, accesso privilegiato, accesso condizionale |
| Gestione degli incidenti | Log di audit, policy di avviso, eventi di sicurezza |
| Continuità operativa | Impostazioni di backup e recupero, residenza dei dati |
| Sicurezza della supply chain | Policy di consenso per le app, impostazioni connettori esterni |
| Igiene informatica di base | Autenticazione legacy, impostazioni relative alle patch |
Ambito della conformità NIS2
Aether365 copre i controlli tecnici specifici per M365 rilevanti per la NIS2. La piena conformità alla NIS2 richiede un programma più ampio di misure tecniche e organizzative che va oltre la configurazione M365. I risultati di Aether365 non costituiscono una certificazione di conformità NIS2.
Confronto tra framework
| Dimensione | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autorità | CIS | Open source / Microsoft | CISA statunitense | Regolamento UE |
| Focus | M365 ampio | Entra ID in profondità | Prodotto per prodotto | Normativo basato sul rischio |
| Livello di dettaglio | Alto | Molto alto | Alto | Moderato |
| Adatto alle organizzazioni UE | Sì | Sì | Sì | Obbligatorio |
| Adatto alle agenzie federali USA | Sì | Sì | Obbligatorio | Non applicabile |
| Adatto a tutte le organizzazioni | Sì | Sì | Sì | Se regolamentate nell'UE |
| Numero di controlli in Aether365 | ~60 | ~40 | ~50 | ~30 |
Tutti i framework vengono eseguiti come parte di una scansione compliance. Non è possibile selezionare singoli framework per scansione - tutti i controlli applicabili vengono eseguiti insieme e i risultati sono etichettati per framework per la filtrazione.