任何有效的技术安全策略的构建基块都是对这些领域及其控制的坚定理解,这些领域及其控制构成了允许审查当前实现的框架。 Microsoft Cloud 提供了多种方式,您可以通过这些方式查看、了解和定期检查安全控制基准。 有关 Microsoft Cloud 的基准控制集的详细信息,请参阅 Microsoft Cloud 安全基准。
但是,Microsoft 也明白,虽然全球公认的框架(如系统和组织控制 (SOC)、国际标准化组织 (ISO) 或支付卡行业 (PCI))对一些控制有规定,但也有一些与某些安全领域相关的控制超出基准。 在这一背景下,金融服务公司通常处理的领域包括复原能力、访问、事件响应和漏洞管理。
复原能力
美国标准技术研究所 (NIST)、SOC、ISO 和其他控制制度都非常关注业务连续性和灾难恢复。 Microsoft 云服务帮助满足与此领域关联的控制要求。 以下链接提供了您的组织可以用来最适宜地使用 Microsoft Cloud 并在您的工作负荷中实现适当级别的复原能力的信息:
访问权限
对于金融机构来说,用来限制和监视员工和云服务提供商对资源的访问的控制非常重要。 Microsoft 工程师没有访问客户资源的永久访问权限,除非在故障排除场景被要求获得访问权限。 使用持续接受审查的安全组、强制性人员筛选、使用安全管理工作站 (SAW) 进行生产环境访问,以及使用准时 (JIT) 等技术工具限制访问开孔并创建访问审批链,这些都是 Microsoft 环境中高度安全的访问控制的一部分。
您这边增加额外步骤时,请考虑使用 Microsoft 客户密码箱,它可以确保 Microsoft 在未经您明确批准的情况下无法访问您的内容。 使用密码箱可提供额外的控制和安全层。 它让您可以在解决问题时批准或拒绝来自 Microsoft 工程师的访问请求,确保只有授权人员才能访问您的数据。 它还可以帮助满足合规要求并增强数据隐私保护。 有关详细信息,请参阅客户密码箱。
Microsoft 需要及时 (JIT) 技术来审查我们自己的工程师的访问请求,您的组织也可以部署 JIT,来确保您的员工的访问受到同样的管控。 Azure 虚拟机 (VM) 上的 JIT 访问通过仅在需要时、在特定端口上和有限时间内允许访问来增强安全性。 它降低了未经授权的访问和潜在攻击的风险。 您可以通过 Microsoft Defender for Cloud 或通过 PowerShell 和 API 以编程方式轻松配置和管理 JIT 访问。 有关详细信息,请参阅及时 (JIT)。
事件响应
Microsoft 的事件响应团队通过抵御不良行为者、建立复原能力和弥补防御措施,在网络安全事件发生之前、期间和之后提供帮助。 以下信息资源提供了有关 Microsoft 如何帮助增强安全性和复原能力以及响应事件的详细信息。
您可以使用云原生安全信息和事件管理 (SIEM) 解决方案 Microsoft Sentinel 进行高效的大体量的数据分析。 Microsoft Sentinel 允许来自各种来源的实时日志数据聚合、关联和分析,帮助安全团队快速检测事件并作出响应。 Microsoft Sentinel 与 Defender 套件与 Azure 相结合,为事件响应调查提供宝贵的趋势数据。
漏洞管理
Microsoft 安全研究人员监视威胁态势,并与客户、合作伙伴和行业专家合作,不断发现新的漏洞和漏洞利用。 随着威胁和计算环境的不断演变,漏洞发现、协调响应和其他形式的威胁情报共享对于保护客户免受当前和未来威胁至关重要。 有关详细信息,请参阅漏洞和漏洞利用。
Defender 漏洞管理提供了一个全面的解决方案,用于识别、评估和修正关键资产中的漏洞,包括 Windows、macOS、Linux、Android、iOS 和网络设备。 使用 Microsoft 威胁情报和基于风险的优先级排序,通过持续监视和解决最关键的漏洞,帮助金融机构降低网络风险,即使是在未连接到公司网络的设备。 它可以确保增强安全性并减少暴露在潜在漏洞下的情况。 有关详细信息,请参阅 Defender 漏洞管理。
主权
Microsoft 主权云功能为您提供必要的工具和控制,以满足严格的合规要求并确保数据主权不受影响。 使用 Microsoft 的可信云平台,您可以通过各种功能达到合规要求,如 Azure 机密计算、客户管理的密钥和 Azure 托管硬件安全模块 (HSM)。 这些功能为敏感工作负荷提供增加的保护,防止未经授权访问数据和资源。
您可以参考以下信息资源,了解主权功能的详细信息,您还可以在金融领域实现这些功能:
- Microsoft Cloud for Sovereignty 中的密钥和证书管理
- Azure 机密计算
- Microsoft Cloud for Sovereignty 策略组合
- 主权登陆区域概述
- 主权登陆区域的工作负荷模板
透明度
Microsoft Cloud for Financial Services 客户可以使用全面的工具和资源来确保云环境的透明度,并了解自己的云活动。 通过监视 Microsoft 的操作和更改,控制对资源的访问,以及接收事件和中断的通知,金融部门可以保护对 Microsoft Cloud 的使用,并确保高透明度,这反过来又有助于与公司风险委员会和监管机构开展对话。
有关这方面的更多详细信息,请浏览以下信息资源:
- Microsoft Purview 审核
- 透明度日志
- Microsoft Azure 客户密码箱和 Power Platform 与 Dynamics 365 中的客户密码箱
- Azure 服务运行状况
默认安全
Microsoft 云服务提供了一套强大的工具和功能,可帮助您保持“默认安全”的心态。 使用这些服务,您可以确保您的云环境从一开始就是安全的,能够最大限度地减少漏洞并增强整体安全态势。 要实现默认安全状态,您的组织可以使用以下功能:
- 使用 Azure Policy 强制实施组织标准,成规模评估合规情况。 Azure Policy 可帮助您创建、分配和管理策略,以为资源强制执行规则和效果。 通过定义一组加入允许列表的可部署服务,您可以确保在云环境中仅使用已批准的服务。 有关详细信息,请参阅 Azure Policy。
- Microsoft Defender for Cloud 通过提供将安全发现结果聚合为一个分数的安全分数来帮助改善安全态势。 此分数帮助评估当前的安全状况,并确定改善安全状况的行动的优先级。 安全分数基于 Microsoft 云安全基准 (MCSB) 标准,在启用 Defender for Cloud 时默认应用此标准。 有关详细信息,请参阅 Microsoft Defender for Cloud。
- Azure 专用链接让您能够访问 Azure 服务,如 Azure 存储和 SQL 数据库,以及通过您的虚拟网络中的专用终结点访问您的服务。 它可以确保虚拟网络与服务之间的流量经过 Microsoft 主干网络,从而为敏感功能提供专用访问。 有关详细信息,请参阅 Azure 专用链接。
- Microsoft Entra 为云服务提供集中式身份和访问管理。 通过强制实施多重身份验证 (MFA) 并使用 Microsoft Entra ID 条件访问策略,您可以确保不允许对任何资源进行本地身份验证。 此措施通过要求用户使用 Microsoft Entra 凭据进行身份验证来增强安全性。 有关访问策略的详细信息,请参阅条件访问策略。