FSI 登陆区域对于 Azure 登陆区域 (ALZ) 的一个重要补充是与客户的关键控制目标相一致的一系列政策举措。 这些政策举措建立在 ALZ 提供的默认控制和 Microsoft 云安全基准之上。
您还可以根据目标工作负荷使用更多控制框架。 此外,此处还提供了法规合规内置政策库。 在金融服务领域,这些包括 PCI DSS 4.0、NIST SP 800-53 Rev. 5 和 SWIFT CSP-CSCF v2022 等基础。
| # | 控制目标 | 控制 | 已实施? |
|---|---|---|---|
| SO-01 | 客户数据必须完全在位于按客户定义的要求批准的地理区域的数据中心存储和处理。 | 数据驻留 | 处于预览阶段 |
| SO-03 | 客户定义的敏感客户数据只能以加密方式供云和托管服务操作员访问。 | 机密计算 | 处于预览阶段 |
| SO-04 | 客户必须对决定哪些身份可以访问用于解密客户定义的敏感数据的密钥有独占控制权。 | 客户管理的密钥 | 处于预览阶段 |
| TR-01 | 客户必须能够深入了解其环境中发生的情况。 | 日志记录 | 正式发布 |
| TR-02 | 客户必须了解 Microsoft 的行动和更改。 | 透明日志、RBAC 透明度、政策变更 | |
| TR-03 | 客户必须批准云和托管服务操作员访问客户数据。 | 客户密码箱 | |
| TR-04 | 客户会持续收到有关事件和中断的通知 | 事件中心 | |
| RE-01 | 客户必须确保跨所有工作负荷的多区域和主动-主动复原能力 | 区域和异地复制,计划更新 | |
| SD-01 | 客户必须将可部署的服务限制为加入允许列表的服务 | 允许服务列表 | |
| SD-02 | 云服务应配置为关闭或默认安全状态,并手动配置为允许连接和使用。 | 默认参数安全 | |
| SD-03 | 服务必须为敏感函数提供专用访问。 | 专用访问,公司 LZ | |
| SD-04 | 不能允许对任何资源进行本地身份验证。 | 禁用本地身份验证 |