控制区域
任何有效的技术安全策略的构建块都是对域及其控制措施的深刻理解,这些领域构成了允许审查当前实施的框架。 Microsoft Cloud 提供了多种方式,您可以通过这些方式查看、理解和定期检查安全控制基线。 有关 Microsoft Cloud 的基准控制措施集的详细信息,请参阅 Microsoft 云安全基准。
但是,Microsoft 也明白,虽然系统和组织控制(SOC)、国际标准化组织(ISO)或支付卡片行业(PCI)等全球公认的框架要求进行一些控制,但也有一些控制措施与基线之外的某些安全域相关。 在这种情况下,金融服务公司通常处理包括弹性、访问、事件回复和漏洞管理在内的领域。
复原能力
美国国家标准与技术学会(NIST)、SOC、ISO 和其他控制制度非常关注业务连续性和灾难恢复。 Microsoft 云服务有助于满足与此域关联的控制要求。 以下链接提供了您的组织可以最佳地使用 Microsoft Cloud 并在工作负载中实现适当级别的弹性的信息:
访问权限
对于金融机构来说,限制和监控其员工和云服务提供商对资源的访问的控制措施非常重要。 Microsoft 工程师无权访问客户资源,除非在故障排除场景中请求获取访问权限。 使用持续审查的安全组、强制性人员筛选、使用安全管理员工作站(SAW)进行生产环境访问,以及使用即时(JIT)等技术工具来限制访问孔径和创建访问批准链,都是 Microsoft 环境中高度安全的访问控制的一部分。
对于您最后的额外步骤,请考虑使用 Microsoft 客户密码箱,这可确保 Microsoft 未经您的明确批准无法访问您的内容。 使用密码箱提供了额外的控制和安全图层。 在排查问题时,您可以批准或拒绝 Microsoft 工程师的访问请求,确保只有授权人员才能访问您的数据。 它还有助于满足合规性要求并增强数据隐私。 有关详细信息,请参阅 客户密码箱。
虽然 Microsoft 需要即时(JIT)技术来审查我们自己的工程师的访问请求,但您的组织也可以部署 JIT 以确保您的员工的访问受到同样的警惕。 Azure 虚拟机(VM)上的 JIT 访问仅允许在需要时、在特定端口上和有限时间内进行访问,从而增强了安全性。 它降低了未经授权访问和潜在攻击的风险。 您可以通过 Microsoft Defender for Cloud 或通过 PowerShell 和 API 以编程方式轻松配置和管理 JIT 访问。 有关更多信息,请参阅 Just-in-time(JIT)。
事件响应
Microsoft 的 Incident 回复团队 通过消除不良行为者、建立复原力和修复防御措施来在网络安全事件发生之前、期间和之后提供帮助。 以下信息资源提供了有关 Microsoft 如何帮助增强安全性和弹性以及响应事件的更多信息。
您可以使用 Microsoft Sentinel,云原生安全信息和事件管理(SIEM)解决方案,进行高效的大容量数据分析。 Microsoft Sentinel 允许对来自各种来源的日志数据进行实时聚合、关联和分析,帮助安全团队快速检测和回复事件。 Microsoft Sentinel 与 Defender 套件和 Azure 相结合,为事件回复调查提供了宝贵的趋势数据。
漏洞管理
Microsoft 安全研究人员监控威胁态势,并与客户、合作伙伴和行业专家合作,以发现新的漏洞和漏洞。 随着威胁和计算形势的不断发展,漏洞发现、协调回复和其他形式的威胁情报共享对于保护客户免受当前和未来的威胁至关重要。 有关更多信息,请参阅 漏洞和漏洞利用。
Defender 漏洞管理提供了一个全面的解决方案,用于识别、评估和修正关键资产(包括 Windows、macOS、 Android iOSLinux 和网络设备)中的漏洞。 使用 Microsoft 威胁情报和基于风险的优先级分析,可帮助金融机构通过持续监控和解决最关键的漏洞来降低网络风险,即使在未连接到公司网络的设备上也是如此。 它可确保增强安全性并减少潜在漏洞的风险。 有关详细信息,请参阅 Defender 漏洞管理。
主权
Microsoft 主权云功能为您提供满足严格的合规性要求和确保数据主权所需的工具和控制措施。 通过使用 Microsoft 的可信云平台,您可以通过各种功能实现合规性,例如 Azure 机密计算、客户管理的密钥和 Azure 托管硬件安全模块(HSM)。 这些功能为敏感工作负载提供增强的保护,防止未经授权访问数据和资源。
您可以参考以下信息资源,了解有关主权功能的详细信息,您也可以在金融领域实施这些功能:
- 密钥和证书管理 Microsoft Cloud for Sovereignty
- Azure 机密计算
- Microsoft Cloud for Sovereignty 策略组合
- Sovereign 登陆区概述
- Sovereign Landing Zone 的工作负载模板
透明度
Microsoft Cloud for Financial Services 客户可以使用全面的工具和资源来确保其云环境的透明度,并了解自己的云活动。 通过监控 Microsoft 的操作和更改、控制对资源的访问以及接收事件和中断的通知,金融部门可以保护他们对 Microsoft Cloud 的使用并确保高度透明,这反过来又有助于与企业风险委员会和监管机构进行对话。
有关这方面的更多详细信息,请浏览以下信息资源:
- Microsoft Purview 审计
- Transparency 日志
- 客户密码箱和 Microsoft Azure 客户密码箱输入 Power Platform 和 Dynamics 365
- Azure 服务他 alth
默认安全
Microsoft 云服务提供了一组强大的工具和功能,可帮助你采用“默认安全”的思维方式。 通过使用这些服务,您可以确保您的云环境从一开始就是安全的,从而最大限度地减少漏洞并增强整体安全状况。 要实现 secure by default 状态,您的组织可以使用以下功能:
- 使用 Azure 策略来实施组织标准并大规模评估合规性。 Azure 策略可帮助您创建、分配和管理对资源实施规则和效果的策略。 通过定义一组列入允许列表的可部署服务,您可以确保在云环境中仅使用已批准的服务。 有关更多信息,请参阅 Azure 策略。
- Microsoft Defender for Cloud 通过提供将安全结果聚合为单个分数的安全分数,帮助改善安全状况。 此分数有助于评估当前的安全状况,并确定改善安全状况的行动的优先级。 安全分数基于 Microsoft 云安全基准(MCSB)标准,该标准在启用 Defender for Cloud 时默认应用。 有关详细信息,请参阅 Microsoft Defender for Cloud。
- Azure 专用链接使你能够通过虚拟网络中的专用终结点访问 Azure 服务,例如 Azure 存储和 SQL 数据库。 它确保您的虚拟网络和服务之间的流量通过 Microsoft 主干网络传输,从而为敏感功能提供专用访问。 有关更多信息,请参阅 Azure 私有链接。
- Microsoft Entra 为云服务提供集中式身份和访问管理。 通过强制实施多重身份验证(MFA)和使用 Microsoft Entra ID 条件访问策略,您可以确保不允许对任何资源进行本地身份验证。 此措施通过要求用户使用其 Microsoft Entra 凭证进行身份验证来增强安全性。 有关访问策略的更多信息,请参阅 条件访问策略。