Framework Karşılaştırması
Hazırlayan: Aether365 Ekibi Hedef Kitle: Güvenlik yöneticileri ve uyumluluk görevlileri Kapsam: CIS, EIDSCA, CISA SCuBA ve NIS2 framework'lerinin yan yana karşılaştırması
Aether365'in desteklediği dört güvenlik framework'ünün yan yana karşılaştırması.
Genel Bakış
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Tam adı | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | AB Ağ ve Bilgi Sistemleri Direktifi 2 |
| Yayımlayan | Center for Internet Security | Microsoft (açık kaynak) | CISA (ABD federal kurum) | Avrupa Birliği |
| Birincil hedef kitle | Dünya genelindeki ticari kuruluşlar | Entra ID kullanan kuruluşlar | ABD federal kurumları | AB temel/önemli kuruluşlar |
| Odak alanı | Geniş M365 yapılandırması | Entra ID kimlik güvenliği | M365 ürün bazında | Siber güvenlik risk yönetimi |
| Kontrol sayısı | ~100 | ~80 | ~150 | ~50 |
| Güncelleme sıklığı | 12-18 ayda bir büyük sürümler | Sürekli (GitHub) | Yılda bir büyük sürümler | Yasama döngüsü |
| Lisanslama | Ücretsiz kullanım | Açık kaynak (MIT) | Kamu malı | AB yönetmeliği |
CIS Microsoft 365 Foundations Benchmark
En uygun: Ticari olarak tanınan, denetçi dostu bir temel düzey isteyen kuruluşlar.
CIS karşılaştırma ölçütleri, ticari güvenlik programlarındaki fiili standarttır. M365 karşılaştırma ölçütü şunları kapsar:
- Hesap ve kimlik doğrulama - MFA, eski kimlik doğrulama, parola politikaları
- Microsoft 365 Yönetim Merkezi ayarları - konuk erişimi, paylaşım, dış iş birliği
- Exchange Online - e-posta kimlik doğrulama (SPF, DKIM, DMARC), posta akış kuralları, kimlik avı koruması
- SharePoint Online ve OneDrive - paylaşım ayarları, dış erişim kontrolleri
- Microsoft Teams - toplantı politikaları, konuk erişimi, dış federasyon
- Entra ID - koşullu erişim, rol atamaları, güvenlik varsayılanları
Profil düzeyleri:
| Düzey | Açıklama |
|---|---|
| L1 | Temel kontroller. Önce uygulayın. Düşük aksama riski. |
| L2 | Daha yüksek güvenlik. Planlama ve kullanıcı iletişimi gerekebilir. |
Aether365 kontrolleri, L1'i önceliklendirmeniz için her sonuçta profil düzeyini içerir.
EIDSCA (Entra ID Security Config Analyzer)
En uygun: CIS'in kapsadığının ötesinde derinlemesine kimlik güvenliği kapsamı isteyen kuruluşlar.
EIDSCA, Microsoft mühendisleriyle birlikte geliştirilmiştir ve özellikle Entra ID yapılandırmasını hedefler. CIS'in atladığı veya yalnızca kısmen kapsadığı alanları kapsar:
- Privileged Identity Management (PIM) - tam zamanında erişim, rol etkinleştirme ayarları
- Kimlik doğrulama yöntemleri - FIDO2, kimlik doğrulayıcı uygulama ayarları, Windows Hello
- Koşullu erişim politikaları - cihaz uyumluluğu, oturum açma riski, kullanıcı riski
- Uygulama yönetişimi - OAuth uygulama izinleri, onay politikaları
- Güvenlik varsayılanları ve temel düzey - Microsoft'un kendi temel düzey önerileri
- Kimlik koruması - risk politikaları, sızdırılmış kimlik bilgisi tespiti
EIDSCA kontrolleri, Microsoft Entra'daki Güvenlik Puanı kategorileriyle eşleşir ve CIS kontrollerini daha ayrıntılı Entra ID kapsamıyla tamamlar.
CISA SCuBA M365 Güvenlik Temel Düzeyi
En uygun: CISA rehberliğine tabi ABD federal kurumları; kapsamlı ürün düzeyinde kapsam isteyen kuruluşlar.
SCuBA (Secure Cloud Business Applications), güvenlik kategorisi yerine M365 ürünü bazında yapılandırılmıştır:
| Ürün temel düzeyi | Kapsam |
|---|---|
| AAD (Azure Active Directory) | Kimlik, MFA, koşullu erişim |
| Exchange Online | E-posta güvenliği, kimlik avı koruması, posta akışı |
| Teams | Toplantı güvenliği, konuk erişimi, veri kaybı |
| SharePoint ve OneDrive | Paylaşım, dış erişim, DLP |
| Power Platform | Uygulama oluşturma politikaları, konuk erişimi |
| Defender for Office 365 | ATP politikaları, güvenli bağlantılar, güvenli ekler |
Her ürün bölümü zorunlu ve isteğe bağlı politikalar içerir. Aether365, sonuç ayrıntısında isteğe bağlı politikaları açıkça işaretler.
SCuBA teknik olarak ABD federal kurumlarını (FISMA kapsamındaki sistemler) hedefler ancak politikalar herhangi bir kuruluş için genel olarak uygulanabilir.
NIS2 (AB Ağ ve Bilgi Sistemleri Direktifi 2)
En uygun: Temel veya önemli hizmetler işleten ve NIS2 uyumluluğu göstermesi gereken AB merkezli kuruluşlar.
NIS2, teknik bir karşılaştırma ölçütü değil, düzenleyici bir framework'tür. Kuruluşların uygulaması gereken kontrol kategorilerini belirtir - kesin yapılandırma değerleri öngörmez. Aether365'in NIS2 kontrolleri, M365 yapılandırmasını NIS2 madde gereksinimlerine eşler:
| NIS2 Maddesi | Kontrol kategorisi | Örnek M365 kontrolleri |
|---|---|---|
| Md. 21(2)(a) | Risk yönetimi | Güvenlik politikaları, denetim günlüğü |
| Md. 21(2)(b) | Olay yönetimi | Uyarı politikaları, denetim günlüğü saklama |
| Md. 21(2)(c) | İş sürekliliği | Yedekleme, veri saklama ayarları |
| Md. 21(2)(d) | Tedarik zinciri güvenliği | Üçüncü taraf uygulama izinleri |
| Md. 21(2)(e) | Satın alma güvenliği | Uygulama onay politikaları |
| Md. 21(2)(f) | Erişim kontrolü | MFA, ayrıcalıklı erişim, PIM |
| Md. 21(2)(g) | Kriptografi | Şifreleme ayarları, TLS politikası |
| Md. 21(2)(h) | İK güvenliği | İşten çıkarma, konuk hesap gözden geçirme |
| Md. 21(2)(i) | Kimlik doğrulama | MFA, parola politikaları, eski kimlik doğrulama |
Önemli: Aether365'te NIS2 kontrollerini geçmek, NIS2 uyumluluğunu sertifikalandırmaz. NIS2 uyumluluğu, teknik yapılandırmanın ötesinde kurumsal süreçler, hukuki değerlendirmeler ve raporlama yükümlülükleri gerektirir. Aether365'in NIS2 kontrolleri, M365 yapılandırmanızın NIS2 gereksinimlerine aykırı olmadığına dair güvence sağlar.
Hangi Framework'ü Kullanmalıyım?
Birini seçmeniz gerekmez. Aether365 tüm framework'leri çalıştırır ve sonuçları birlikte sunar. Framework'ler arasında önemli ölçüde örtüşme vardır - tek bir yapılandırma ayarı CIS, EIDSCA ve CISA tarafından kontrol edilebilir. Aether365, örtüşen kontrolleri tekrar arındırır ve her bulguyu kapsayan tüm framework'lere çapraz referanslarla birlikte bir kez gösterir.
Başlangıç noktası önerileri:
| Durum | Şununla başlayın |
|---|---|
| Framework deneyimi yok | CIS L1 - temel ve yaygın olarak anlaşılan |
| Kimlik güvenliği odağı | EIDSCA - en derin Entra ID kapsamı |
| ABD federal veya devlet kurumu | CISA SCuBA |
| AB düzenleyici gereksinimi | NIS2, ardından boşlukları CIS ile doldurun |
| Güvenlik denetimini geçmek gerekiyor | CIS - dış denetçiler tarafından en çok tanınan |
| Kapsamlı kapsam isteniyor | Dört framework'ü aynı anda çalıştırın |
Framework'e Göre Kontrol Sayıları
Kontrol sayıları, framework'ler güncelledikçe değişir. Aether365'teki mevcut yaklaşık sayılar:
| Framework | Toplam kontroller | Tipik başarı oranı (KOBİ) | Tipik başarı oranı (Kurumsal) |
|---|---|---|---|
| CIS (L1) | ~60 | %55-70 | %70-85 |
| CIS (L1+L2) | ~100 | %45-65 | %65-80 |
| EIDSCA | ~80 | %50-65 | %65-80 |
| CISA SCuBA | ~150 | %40-60 | %60-75 |
| NIS2 | ~50 | %55-70 | %70-85 |
Başarı oranları tahmini örneklerdir. Oranınız, mevcut yapılandırmanıza, lisanslarınıza ve koşullu erişim politikaları dağıtıp dağıtmadığınıza büyük ölçüde bağlıdır.