Compliance Framework'leri
Hazırlayan: Aether365 Ekibi Hedef Kitle: Güvenlik yöneticileri ve uyumluluk sorumluları Kapsam: CIS, EIDSCA, CISA SCuBA ve NIS2 framework açıklamaları
Aether365, Microsoft 365 tenant'ınızı dört yerleşik güvenlik framework'üne göre değerlendirir. Her framework farklı bir otorite tarafından yönetilir ve farklı odak alanı, kapsam ve hedef kitleye sahiptir.
CIS Microsoft 365 Foundations Benchmark
Yöneten: Center for Internet Security (CIS) Sürüm: v3.0 Hedef Kitle: Microsoft 365 kullanan tüm kuruluşlar Kapsam: Hesap güvenliği, Entra ID, Exchange, Teams, SharePoint, denetim günlüğü
CIS, en yaygın kabul görmüş M365 güvenlik kriteridir. Her biri ayrıntılı uygulama rehberliği içeren net ve uygulanabilir bir kontrol seti tanımlar. Kontroller Seviye 1 veya Seviye 2 olarak kategorize edilir:
| Seviye | Açıklama | Ne zaman uygulanır |
|---|---|---|
| L1 | Minimum operasyonel etkiye sahip temel kontroller | Tüm kuruluşlar |
| L2 | Kullanıcı deneyimini etkileyebilecek daha sıkı kontroller | Güvenlik açısından hassas ortamlar |
Kontrol kimliği formatı: CIS.M365.{bölüm}.{altbölüm}.{öğe} - örneğin, CIS.M365.1.1.1
CIS kontrolleri, kıyaslama ölçütünün 1 ile 9 arasındaki bölümlerini kapsar:
- Bölüm 1: Kimlik ve Erişim Yönetimi
- Bölüm 2: Microsoft Entra ID
- Bölüm 3: Microsoft 365 Uygulamaları
- Bölüm 4: Microsoft Teams
- Bölüm 5: E-posta Güvenliği (Exchange Online)
- Bölüm 6: SharePoint Online
- Bölüm 7: OneDrive
- Bölüm 8: Microsoft Defender
- Bölüm 9: Denetim Günlüğü
EIDSCA (Entra ID Security Config Analyzer)
Yöneten: Microsoft ve açık kaynak topluluğu Hedef Kitle: Entra ID'yi yoğun kullanan kuruluşlar Kapsam: Entra ID yapılandırma derinliği
EIDSCA, özellikle Entra ID'ye (eski adıyla Azure Active Directory) odaklanır ve CIS'in aynı derinlikte ele almadığı alanları kapsar. Başlıca alanlar:
- Kimlik doğrulama yöntemi kaydı ve SSPR politikaları
- Koşullu erişim boşlukları ve taban çizgisi politika kapsamı
- Privileged Identity Management (PIM) yapılandırması
- Token ömrü ve oturum kontrolleri
- Konuk kullanıcı ve B2B işbirliği ayarları
- Dış kimlik sağlayıcı güven ayarları
EIDSCA, kuruluşunuz Privileged Identity Management, dış işbirliği veya özel kimlik doğrulama akışları gibi Entra ID özelliklerine yoğun şekilde bağımlıysa özellikle faydalıdır.
Kontrol kimliği formatı: EIDSCA.{kategori}{numara} - örneğin, EIDSCA.PR01
CISA SCuBA M365 Güvenlik Taban Çizgisi
Yöneten: ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Sürüm: Güncel yayınlanmış taban çizgisi Hedef Kitle: ABD federal ajansları ve bunlarla çalışan kuruluşlar; düzenlenmiş sektörler Kapsam: Tam M365 ürün ailesi
SCuBA (Secure Cloud Business Applications), ABD federal hükümetinin bulut üretkenlik platformları için güvenlik taban çizgisidir. Kontrol kategorisine göre değil, M365 ürününe göre yapılandırılmıştır:
| Ürün | Kontrollerin kapsadığı |
|---|---|
| Microsoft Entra ID | Kimlik ve erişim yönetimi |
| Microsoft Defender for Office 365 | Tehdit koruma politikaları |
| Exchange Online | E-posta aktarımı, kimlik avı önleme, şifreleme |
| Microsoft Teams | Dış erişim, toplantı politikaları |
| SharePoint Online ve OneDrive | Paylaşım, erişim kontrolü |
| Microsoft 365 Apps | Makro politikaları, eklenti yönetimi |
| Power Platform | Bağlayıcı politikaları (yalnızca Enterprise) |
SCuBA, ABD federal ortamlarının ötesinde de geçerlidir. Net politika ifadeleri ve otomatik test formatı, titiz ve bağımsız rehberlik arayan her kuruluş için faydalı bir taban çizgisi yapar.
Kontrol kimliği formatı: MS.{ÜRÜN}.{numara}.{altnumara} - örneğin, MS.AAD.1.1
NIS2
Yöneten: Avrupa Birliği Direktif: AB 2022/2502 (NIS2) Hedef Kitle: AB'de faaliyet gösteren kuruluşlar, özellikle temel ve önemli kuruluş operatörleri Kapsam: Madde 21 kapsamında teknik ve organizasyonel önlemler
NIS2 teknik bir kıyaslama ölçütü değildir - düzenleyici bir direktiftir. Aether365, M365 yapılandırma kontrollerini NIS2'nin Madde 21 kapsamında zorunlu kıldığı teknik gereksinimlere eşler; bu madde kuruluşların siber güvenlik riskini yönetmek için uygun önlemler almasını gerektirir.
Aether365'teki NIS2 kontrolleri şunlara odaklanır:
| NIS2 Alanı | M365 kontrolleri |
|---|---|
| Erişim kontrolü ve kimlik doğrulama | MFA, ayrıcalıklı erişim, koşullu erişim |
| Olay müdahalesi | Denetim günlüğü, uyarı politikaları, güvenlik olayları |
| İş sürekliliği | Yedekleme ve kurtarma ayarları, veri yerleşimi |
| Tedarik zinciri güvenliği | Uygulama onay politikaları, dış bağlayıcı ayarları |
| Temel siber hijyen | Eski kimlik doğrulama, yama ile ilgili ayarlar |
NIS2 Uyumluluk Kapsamı
Aether365, NIS2 ile ilgili M365'e özgü teknik kontrolleri kapsar. Tam NIS2 uyumluluğu, M365 yapılandırmanızın ötesinde daha geniş bir teknik ve organizasyonel önlemler programı gerektirir. Aether365 sonuçları bir NIS2 uyumluluk sertifikası oluşturmaz.
Framework Karşılaştırması
| Boyut | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Otorite | CIS | Açık kaynak / Microsoft | ABD CISA | AB düzenlemesi |
| Odak | Geniş M365 | Entra ID derinliği | Ürüne göre | Risk tabanlı düzenleme |
| Detay düzeyi | Yüksek | Çok yüksek | Yüksek | Orta |
| AB kuruluşları için uygun | Evet | Evet | Evet | Zorunlu |
| ABD federal için uygun | Evet | Evet | Zorunlu | Geçerli değil |
| Tüm kuruluşlar için uygun | Evet | Evet | Evet | AB düzenlemesine tabiyse |
| Aether365'teki kontrol sayısı | ~60 | ~40 | ~50 | ~30 |
Tüm framework'ler bir Compliance Taraması kapsamında çalışır. Tarama başına tek tek framework seçemezsiniz - tüm geçerli kontroller birlikte çalışır ve sonuçlar filtreleme için framework'e göre etiketlenir.