Okviri skladnosti
Aether365 ovrednoti vašega najemnika Microsoft 365 glede na štiri uveljavljene varnostne okvire. Vsak okvir vzdržuje druga avtoriteta in ima drugačno osredotočenost, obseg in ciljno občinstvo.
CIS Microsoft 365 Foundations Benchmark
Vzdržuje: Center for Internet Security (CIS) Različica: v3.0 Občinstvo: Vse organizacije, ki uporabljajo Microsoft 365 Obseg: Varnost računa, Entra ID, Exchange, Teams, SharePoint, revizijsko beleženje
CIS je najbolj razširjen varnostni standard za M365. Določa jasen, izvedljiv nabor kontrol, vsaka s podrobnimi navodili za implementacijo. Kontrole so razvrščene v raven 1 ali raven 2:
| Raven | Opis | Kdaj uporabiti |
|---|---|---|
| L1 | Temeljne kontrole z minimalnim vplivom na delovanje | Vse organizacije |
| L2 | Strožje kontrole, ki lahko vplivajo na uporabniško izkušnjo | Varnostno občutljiva okolja |
Format identifikatorja preverjanja: CIS.M365.{razdelek}.{podrazdelek}.{element} - na primer CIS.M365.1.1.1
Preverjanja CIS pokrivajo razdelke 1 do 9 standarda, vključno z:
- Razdelek 1: Upravljanje identitete in dostopa
- Razdelek 2: Microsoft Entra ID
- Razdelek 3: Aplikacije Microsoft 365
- Razdelek 4: Microsoft Teams
- Razdelek 5: Varnost e-pošte (Exchange Online)
- Razdelek 6: SharePoint Online
- Razdelek 7: OneDrive
- Razdelek 8: Microsoft Defender
- Razdelek 9: Revizijsko beleženje
EIDSCA (Entra ID Security Config Analyzer)
Vzdržuje: Microsoft in odprtokodna skupnost Občinstvo: Organizacije z obsežno uporabo Entra ID Obseg: Poglobljena konfiguracija Entra ID
EIDSCA se osredotoča posebej na Entra ID (prej Azure Active Directory) in pokriva področja, ki jih CIS ne obravnava na enaki ravni podrobnosti. Ključna področja:
- Registracija metod preverjanja pristnosti in politike SSPR
- Vrzeli v pogojnem dostopu in pokritost osnovnih politik
- Konfiguracija upravljanja privilegiranega dostopa (PIM)
- Življenjska doba žetonov in kontrole sej
- Nastavitve za gostujoče uporabnike in B2B sodelovanje
- Nastavitve zaupanja zunanjih ponudnikov identitete
EIDSCA je še posebej uporabna, če se vaša organizacija v veliki meri zanaša na funkcije Entra ID, kot so upravljanje privilegiranega dostopa, zunanje sodelovanje ali lastni tokovi preverjanja pristnosti.
Format identifikatorja preverjanja: EIDSCA.{kategorija}{številka} - na primer EIDSCA.PR01
CISA SCuBA M365 varnostni standard
Vzdržuje: Agencija za kibernetsko varnost in infrastrukturno varnost ZDA (CISA) Različica: Trenutni objavljeni standard Občinstvo: Zvezne agencije ZDA in organizacije, ki z njimi sodelujejo; regulirane panoge Obseg: Celoten nabor izdelkov M365
SCuBA (Secure Cloud Business Applications) je varnostni standard zvezne vlade ZDA za produktivnostne platforme v oblaku. Strukturiran je po izdelku M365 in ne po kategoriji kontrol:
| Izdelek | Preverjanja pokrivajo |
|---|---|
| Microsoft Entra ID | Upravljanje identitete in dostopa |
| Microsoft Defender for Office 365 | Politike zaščite pred grožnjami |
| Exchange Online | Prenos e-pošte, zaščita pred lažnim predstavljanjem, šifriranje |
| Microsoft Teams | Zunanji dostop, politike sestankov |
| SharePoint Online in OneDrive | Deljenje, nadzor dostopa |
| Microsoft 365 Apps | Politike makrov, upravljanje dodatkov |
| Power Platform | Politike priključkov (samo Enterprise) |
SCuBA je relevanten tudi zunaj zveznega okolja ZDA. Jasne izjave politik in avtomatizirani format testov ga naredijo uporaben standard za vsako organizacijo, ki išče rigorozne, neodvisno vzdrževane smernice.
Format identifikatorja preverjanja: MS.{IZDELEK}.{številka}.{podštevilka} - na primer MS.AAD.1.1
NIS2
Vzdržuje: Evropska unija Direktiva: EU 2022/2502 (NIS2) Občinstvo: Organizacije, ki delujejo v EU, zlasti upravljavci bistvenih in pomembnih subjektov Obseg: Tehnični in organizacijski ukrepi po členu 21
NIS2 ni tehnični standard - je regulativna direktiva. Aether365 preslika kontrole konfiguracije M365 v tehnične zahteve, ki jih NIS2 predpisuje po členu 21, ki od organizacij zahteva ustrezne ukrepe za obvladovanje tveganj kibernetske varnosti.
Preverjanja NIS2 v Aether365 se osredotočajo na:
| Področje NIS2 | Kontrole M365 |
|---|---|
| Nadzor dostopa in preverjanje pristnosti | MFA, privilegiran dostop, pogojni dostop |
| Obvladovanje incidentov | Revizijsko beleženje, politike opozoril, varnostni dogodki |
| Neprekinjeno poslovanje | Nastavitve varnostnega kopiranja in obnovitve, rezidenca podatkov |
| Varnost dobavne verige | Politike soglasja aplikacij, nastavitve zunanjih priključkov |
| Osnovna kibernetska higiena | Zastarelo preverjanje pristnosti, nastavitve v zvezi s popravki |
Obseg skladnosti z NIS2
Aether365 pokriva tehnične kontrole M365, ki so relevantne za NIS2. Popolna skladnost z NIS2 zahteva širši program tehničnih in organizacijskih ukrepov, ki presegajo konfiguracijo M365. Rezultati Aether365 ne predstavljajo certifikata skladnosti z NIS2.
Primerjava okvirov
| Dimenzija | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Avtoriteta | CIS | Odprtokodno / Microsoft | CISA (ZDA) | Uredba EU |
| Osredotočenost | Širok M365 | Poglobljen Entra ID | Po izdelkih | Regulativno na osnovi tveganj |
| Raven podrobnosti | Visoka | Zelo visoka | Visoka | Zmerna |
| Primerno za organizacije v EU | Da | Da | Da | Zahtevano |
| Primerno za zvezne institucije ZDA | Da | Da | Zahtevano | Ni uporabno |
| Primerno za vse organizacije | Da | Da | Da | Če regulirano v EU |
| Število preverjanj v Aether365 | ~60 | ~40 | ~50 | ~30 |
Vsi okviri se izvedejo kot del skeniranja skladnosti. Posameznih okvirov na skeniranje ne morete izbirati - vsa ustrezna preverjanja se izvedejo skupaj, rezultati pa so označeni po okviru za filtriranje.