FSI 登陸區相對於 Azure 登陸區 (ALZ) 的一個重要補充是一系列與客戶關鍵控制目標一致的原則舉措。 這些原則措施建立在 ALZ 和 Microsoft 雲端安全基準提供的預設控制之上。
您也可以根據目標工作負載使用更多控制框架。 此外,這裡還提供了一個法規遵從內建策略庫。 在金融服務領域,這些涵蓋了 PCI DSS 4.0、NIST SP 800-53 Rev. 5 和 SWIFT CSP-CSCF v2022 等基礎。
| # | 控制目標 | 控制項 | 已實施? |
|---|---|---|---|
| SO-01 | 客戶資料必須完全儲存和處理在根據客戶定義的要求位於核准的地緣政治區域的資料中心。 | 資料落地 | 預覽版 |
| SO-03 | 客戶定義的敏感性客戶資料只能以加密方式供雲端和受控服務業者存取。 | 機密計算 | 預覽版 |
| SO-04 | 客戶必須對決定哪些身分識別可以存取用於解密客戶已定義敏感性資料的金鑰擁有獨佔控制權。 | 客戶自控金鑰 | 預覽版 |
| TR-01 | 客戶必須深入了解其環境中發生的事情。 | 記錄 | 正式推出 |
| TR-02 | 客戶必須了解 Microsoft 的行動和變化。 | 透明記錄、RBAC 透明度、原則變更 | |
| TR-03 | 客戶必須核准雲端和受控服務業者存取客戶資料。 | 客戶加密箱 | |
| TR-04 | 持續向客戶通報事故及停電狀況 | 事件中心 | |
| RE-01 | 客戶必須確保所有工作負載的多區域和主動-主動彈性 | 區域和地理複製、定期更新 | |
| SD-01 | 客戶必須將可部署服務限制在允許清單中 | 允許的服務清單 | |
| SD-02 | 雲端服務應設定為封閉或預設安全狀態,並手動設定以允許連接和使用。 | 預設安全參數 | |
| SD-03 | 服務必須為敏感功能提供私人存取。 | 私人通道,公司 LZ | |
| SD-04 | 任何資源都不允許進行本地驗證。 | 停用本地驗證 |