控制區域

任何有效的技術安全策略的構建塊都是對域及其控制措施的深刻理解，這些領域構成了允許審查當前實施的框架。 Microsoft Cloud 提供了多種方式，您可以通過這些方式查看、理解和定期檢查安全控制基線。 有關 Microsoft Cloud 的基準控制措施集的詳細資訊，請參閱 Microsoft 雲安全基準。

但是，Microsoft 也明白，雖然系統和組織控制 (SOC)、國際標準化組織 (ISO) 或支付卡片行業 (PCI) 等全球公認的框架要求進行一些控制，但也有一些與基線之外的某些安全域相關的控制。 在這種情況下，金融服務公司通常處理包括彈性、訪問、事件回覆和漏洞管理等領域。

復原

美國國家標準與技術學會 (NIST)、SOC、ISO 和其他控制制度非常關注業務連續性和災難恢復。 Microsoft 雲端服務有助於滿足與此域關聯的控制要求。 以下連結提供了您的組織可以最佳地使用 Microsoft Cloud 並在工作負載中實現適當級別的彈性的資訊：

• 什麼是 Azure 可用區？
• 可用區服務支援
• 可靠性快速連結 - Microsoft Azure Well-Architected Framework
• 使用可用區和區域的建議

存取權

對於金融機構來說，限制和監控其員工和雲服務提供者對資源的訪問的控制措施非常重要。 Microsoft 工程師無權訪問客戶資源，除非在故障排除場景中請求獲取訪問許可權。 使用持續審查的安全組、強制性人員篩選、使用安全管理員工作站 (SAW) 進行生產環境訪問，以及使用即時 (JIT) 等技術工具來限制訪問孔徑和創建訪問批准鏈，這些都是 Microsoft 環境中高度安全的訪問控制的一部分。

對於您最後的額外步驟，請考慮使用 Microsoft 客戶密碼箱，這可確保 Microsoft 未經您的明確批准無法訪問您的內容。 使用密碼箱可提供額外的控制和安全性圖層。 在排查問題時，您可以批准或拒絕 Microsoft 工程師的訪問請求，確保只有授權人員才能訪問您的數據。 它還有助於滿足合規性要求並增強數據隱私。 有關詳細資訊，請參閱 客戶密碼箱。

雖然 Microsoft 需要即時 (JIT) 技術來審查我們自己的工程師的訪問請求，但您的組織也可以部署 JIT 以確保您的員工的訪問受到同樣的警惕。 Azure 虛擬機 (VM) 上的 JIT 訪問僅允許在需要時、在特定埠上和有限時間內進行訪問，從而增強了安全性。 它降低了未經授權訪問和潛在攻擊的風險。 您可以通過 Microsoft Defender for Cloud 或通過 PowerShell 和 API 以程式設計方式輕鬆配置和管理 JIT 訪問。 有關更多資訊，請參閱 Just-in-time (JIT)。

事件回應

Microsoft 的 Incident 回覆團隊 通過消除不良行為者、建立復原力和修復防禦措施，在網络安全事件發生之前、期間和之後提供説明。 以下信息資源提供了有關 Microsoft 如何幫助增強安全性和彈性以及回應事件的更多資訊。

• Microsoft 事件回覆
• 統一企業計劃詳細資訊
• 網路安全事件回覆
• 支援關鍵任務

您可以使用 雲原生安全資訊和事件管理 (SIEM) 解決方案 Microsoft Sentinel 進行高效的大容量數據分析。 Microsoft Sentinel 允許對來自各種來源的日誌數據進行即時聚合、關聯和分析，説明安全團隊快速檢測和回覆事件。 Microsoft Sentinel 與 Defender 套件和 Azure 相結合，為事件回覆調查提供了寶貴的趨勢數據。

漏洞管理

Microsoft 安全研究人員監控威脅態勢，並與客戶、合作夥伴和行業專家合作，以發現新的漏洞和漏洞。 隨著威脅和計算環境的不斷發展，漏洞發現、協調回覆和其他形式的威脅情報共用對於保護客戶免受當前和未來的威脅至關重要。 有關更多資訊，請參閱 漏洞和漏洞利用。

Defender 漏洞管理提供了一個全面的解決方案，用於識別、評估和修正關鍵資產 (包括 Windows、macOS、 Android iOSLinux 和網路設備) 中的漏洞。 使用 Microsoft 威脅情報和基於風險的優先順序分析，可説明金融機構通過持續監控和解決最關鍵的漏洞來降低網路風險，即使在未連接到公司網络的設備上也是如此。 它可確保增強安全性並減少潛在漏洞的風險。 有關詳細資訊，請參閱 Defender 漏洞管理。

Sovereignty

Microsoft 主權雲功能為您提供滿足嚴格的合規性要求和確保數據主權所需的工具和控制措施。 通過使用 Microsoft 的可信雲平臺，您可以通過各種功能實現合規性，例如 Azure 機密計算、客戶管理的密鑰和 Azure 託管硬體安全模組 (HSM)。 這些功能為敏感工作負載提供增強的保護，防止未經授權訪問數據和資源。

您可以參考以下資訊資源，瞭解有關主權功能的詳細資訊，您也可以在金融領域實施這些功能：

• 金鑰和證書管理 Microsoft Cloud for Sovereignty
• Azure 機密計算
• Microsoft Cloud for Sovereignty 策略組合
• Sovereign 登陸區概述
• Sovereign Landing Zone 的工作負載範本

透明度

Microsoft Cloud for Financial Services 客戶可以使用全面的工具和資源來確保其雲環境的透明度，並了解他們自己的雲活動。 通過監控 Microsoft 的操作和更改、控制對資源的訪問以及接收事件和中斷的通知，金融部門可以保護他們對 Microsoft Cloud 的使用並確保高度透明，這反過來又有助於與企業風險委員會和監管機構進行對話。

有關這方面的更多詳細資訊，請流覽以下資訊資源：

• Microsoft Purview 審計
• Transparency 日誌
• 客戶密碼箱和 Microsoft Azure 客戶密碼箱輸入 Power Platform 和 Dynamics 365
• Azure 服務運行狀況

預設安全

Microsoft 雲端服務提供了一套強大的工具和功能，可説明您採用“預設安全”的思維方式。 通過使用這些服務，您可以確保您的雲環境從一開始就是安全的，從而最大限度地減少漏洞並增強整體安全狀況。 要實現 secure by default 狀態，您的組織可以使用以下功能：

• 使用 Azure 策略來實施組織標準並大規模評估合規性。 Azure 策略可説明您創建、分配和管理對資源實施規則和效果的策略。 通過定義一組列入允許清單的可部署服務，您可以確保在雲環境中僅使用已批准的服務。 有關更多資訊，請參閱 Azure 策略。
• Microsoft Defender for Cloud 通過提供將安全結果聚合為單個分數的安全分數，説明改善安全狀況。 此分數有助於評估當前的安全狀況，並確定改善安全狀況的行動的優先順序。 安全分數基於 Microsoft 雲安全基準 (MCSB) 標準，該標準在啟用 Defender for Cloud 時默認應用。 有關詳細資訊，請參閱 Microsoft Defender for Cloud。
• Azure 專用連結使您能夠通過虛擬網络中的專用端點訪問 Azure 服務，例如 Azure 存儲和 SQL 資料庫。 它確保您的虛擬網路和服務之間的流量通過 Microsoft 主幹網络傳輸，從而為敏感功能提供專用訪問。 有關更多資訊，請參閱 Azure 私有連結。
• Microsoft Entra 為雲端服務提供集中式身份和訪問管理。 通過強制實施多重身份驗證 (MFA) 和使用 Microsoft Entra ID 條件訪問策略，您可以確保不允許對任何資源進行本地身份驗證。 此措施通過要求使用者使用其 Microsoft Entra 憑證進行身份驗證來增強安全性。 有關訪問策略的更多資訊，請參閱 條件訪問策略。

相關資訊

• 基礎設施治理
  
• Microsoft 合規工具
  
• Microsoft Cloud 的合規性計劃