Hasznos iránymutatás jelent meg a Microsoft 365-höz

A CISA egy olyan kötelező érvényű iránymutatást adott ki, amivel a Microsoft 365 szolgáltatások biztonsági szempontból történő használatát szabályozza.
 

A CISA elkészítette az érintett amerikai szövetségi ügynökségek számára szóló direktíváját (BOD 25-01), amelyet ezeknek a szervezeteknek kötelezően be kell vezetniük a jövő évben. Fontos ugyanakkor megjegyezni, hogy az iránymutatások korántsem csak az ügynökségek számára szolgálnak hasznos megfontolásokkal, hanem a piaci szereplők is profitálhatnak azokból. A direktívában szereplő védelmi intézkedések (többnyire konfigurációs beállítások) alkalmazásával minden szervezet védettebbé teheti a felhős környezeteit.
 
A CISA direktívája jelenleg a Microsoft 365 szolgáltatásainak szabályázásával foglalkozik, de a tervek szerint a jövőben ugyanilyen iránymutatások érkeznek majd a Google Workspace-hez is. A dokumentum azonban jelenleg az alábbiakra tér ki:

• Azure Active Directory / Entra ID
• Microsoft Defender
• Exchange Online
• Power Platform
• SharePoint Online & OneDrive
• Microsoft Teams.

 
A CISA a fenti, széles körben elterjedt szolgáltatások védelme érdekében különféle előírásokat fogalmazott meg, amelyek elsősorban konfigurációs beállítások megtételét jelentik. Szabályozott a hitelesítés, a megosztás, a levelezés, de még a Teams értekezletek indítására vonatkozóan is szerepelnek megkötések.
 
Az érintett ügynökségek első faladata az lesz, hogy pontosan feltérképezzék a felhős tenantjaikat. Majd azok esetében be kell vezetniük a CISA automatizált konfigurációkezelő eszközét (ScubaGear for Microsoft 365) 2025. április 25-ig. Ezután nyár közepéig érvényre kell juttatniuk a szükséges házirendeket, majd folyamatos monitorozást kell végezniük.