Слушатели получат знания и навыки, необходимые для реализации мер безопасности, поддержания состояния безопасности, а также выявления и устранения уязвимостей с помощью различных инструментов безопасности. Курс охватывает настройку и развертывание решений безопасности для облачной архитектуры N-уровня.
По окончании курса слушатели смогут:
- описывать специализированные классификации данных в Azure;
- определять механизмы защиты данных Azure;
- реализовывать методы шифрования данных Azure;
- обеспечивать безопасность интернет-протоколов и знать способы их реализации в Azure;
- описывать службы и функции безопасности Azure.
Аудитория
Слушатели должны иметь как минимум один год практического опыта по защите рабочих нагрузок Azure и опыт управления безопасностью рабочих нагрузок в Azure.
Для эффективного обучения на курсе, слушатели должны обладать следующими знаниями и навыками:
Перед посещением курса настоятельно рекомендуется приобрести знания, эквивалентные тем, что оцениваются в рамках сертификации «Microsoft Azure Administrator Associate».
1. Безопасная идентификация и доступ
1.1 Управление контролем безопасности для идентификации и доступа
- Что такое Microsoft Entra ID
- Безопасные пользователи Microsoft Entra
- Создание нового пользователя в Microsoft Entra ID
- Безопасность группы Microsoft Entra
- Рекомендация по использованию внешних идентификаторов
- Безопасные внешние идентификаторы
- Внедрение защиты идентификационных данных Microsoft Entra
- Microsoft Entra Connect
- Microsoft Entra Cloud Sync
- Параметры аутентификации
- Синхронизация хэша пароля с Microsoft Entra ID
- Сквозная аутентификация Microsoft Entra
- Федерация с Microsoft Entra ID
- Аутентификация Microsoft Entra
- Внедрение многофакторной аутентификации (MFA)
- Kerberos аутентификация
- Протокол аутентификации New Technology Local Area Network Manager (NTLM)
- Варианты аутентификации без пароля для Microsoft Entra ID
- Реализация аутентификации без пароля
- Релизация защиты пароля
- Технология единого входа Microsoft Entra ID
- Внедрение технологии единого входа (SSO)
- Интеграция технологии единого входа (SSO) и Identity providers
- Введение в проверенный идентификатор Microsoft Entra
- Настройка проверенного идентификатора Microsoft Entra
- Рекомендации и применение современных протоколов аутентификации
- Группы управления Azure
- Настройка разрешения ролей Azure для групп управления, подписок, групп ресурсов и ресурсов
- Управление доступом на основе ролей Azure
- Встроенные роли Azure
- Назначение разрешений ролей Azure для групп управления, подписок, групп ресурсов и ресурсов
- Встроенные роли Microsoft Entra
- Назначение встроенных ролей в Microsoft Entra ID
- Контроль доступа на основе ролей Microsoft Entra
- Создание и назначение пользовательской роли в Microsoft Entra ID
- Управление разрешениями Microsoft Entra
- Применение и управление разрешениями Microsoft Entra
- Модель нульової довіри (Zero Trust security)
- Управление привилегированными удостоверениями Microsoft Entra
- Настройка управления привилегированными идентификаторами
- Управление идентификатором Microsoft Entra
- Управление жизненным циклом идентичности
- Жизненный цикл рабочих процессов
- Управление правами
- Делегирование и роли в управлении правами
- Обзор доступа
- Настройка управления ролями и обзор доступа с помощью Microsoft Entra ID governance
- Внедрение политик условного доступа
1.2 Управление доступом к приложению Microsoft Entra
- Управление доступом к корпоративным приложениям в Microsoft Entra ID, включая предоставление разрешений OAuth
- Управление регистрацией приложений в идентификаторе Microsoft Entra
- Настройка области разрешений регистрации приложений
- Управление разрешением на регистрацию приложения
- Управление и использование service principals
- Управление управляемыми удостоверениями для ресурсов Azure
- Рекомендации по использованию и настрайко Microsoft Entra Application Proxy, включая аутентификацию
2. Безопасное сетевое взаимодействие
2.1 Планирование и реализация безопасности виртуальных сетей
- Microsoft Cloud Security Benchmark: защита данных, ведение журнала и обнаружение угроз, а также сетевая безопасность
- Что такое виртуальная сеть Azure
- Azure Virtual Network Manager
- Планирование и внедрение групп безопасности сети (NSG) и групп безопасности приложений (ASG)
- Планирование и реализация User-Defined Routes (UDRs)
- Планирование и реализация пиринга или шлюза виртуальной сети
- Планирование и реализация виртуальной глобальной сети, включая защищенный виртуальный хаб
- Безопасное VPN-подключение, включая соединение «точка-сайт» и «сайт-сайт»
- Шифрование Azure
- Что такое шифрование виртуальной сети Azure?
- Azure ExpressRoute
- Внедрение шифрования через ExpressRoute
- Настройка параметров брандмауэра на ресурсах Azure
- Контроль безопасности сети с помощью Network Watcher
2.2 Планирование и реализация безопасности для частного доступа к ресурсам Azure
- Планирование и внедрение конечных точек обслуживания виртуальной сети
- Планирование и внедрение частных конечных точек
- Планирование и реализация услуг Private Link
- Планирование и реализация сетевой интеграции для Azure App Service и Azure Functions
- Планирование и реализация конфигураций сетевой безопасности для среды службы приложений (ASE)
- Планирование и реализация конфигураций сетевой безопасности для управляемого экземпляра Azure SQL
2.3 Планирование и реализация безопасности для публичного доступа к ресурсам Azure
- Планирование и внедрение протокола Transport Layer Security (TLS) для приложений, включая службу приложений Azure и управление API
- Планирование, реализация и управление брандмауэром Azure, диспетчером брандмауэров Azure и политиками брандмауэра
- Планирование и реализация Azure Application Gateway
- Планирование и внедрение Web Application Firewall (WAF)
- Планирование и реализация Azure Front Door, включая сеть доставки контента (CDN)
- Рекомендация, когда следует использовать Azure DDoS Protection Standard
3. Безопасные вычисления, хранение и базы данных
3.1 Планирование и реализация расширенной безопасности для вычислений
- Планирование и реализация удаленного доступа к общедоступным конечным точкам, Azure Bastion и оперативного (JIT) доступа к виртуальным машинам (VM)
- Что такое Azure Kubernetes Service
- Настройка сетевой изоляции для Azure Kubernetes Service (AKS)
- Защита и мониторинг службы Azure Kubernetes
- Настройка аутентификации для службы Azure Kubernetes
- Настройка безопасности для Azure Container Instances (ACI)
- Настройка безопасности для Azure Container Apps (ACA)
- Управление доступом к Azure Container Registry (ACR)
- Настройка шифрования диска, Azure Disk Encryption (ADE), шифрование в качестве хоста и конфиденциальное шифрование диска
- Рекомендация по конфигурации безопасности для Azure API Management
3.2 Планирование и реализация мер безопасности для хранения
- Azure Storage
- Настройка контроля доступа для учетных записей хранения
- Управление жизненным циклом ключей доступа к учетной записи хранения
- Выбор и настройка подходящего метода доступа к файлам Azure
- Выбор и настройка подходящего метода доступа к Azure Blobs
- Выбор и настройка подходящего метода доступа к таблицам Azure.
- Выбор и настройка подходящего метода доступа к Azure Queues
- Выбор и настройка соответствующего метода защиты от угроз безопасности данных, включая мягкое удаление, резервное копирование, управление версиями и неизменяемое хранилище
- Настройка функции «Принеси свой ключ» (BYOK)
- Включение двойного шифрования на уровне инфраструктуры хранилища Azure
3.3 Планирование и реализация безопасности для базы данных Azure SQL и управляемого экземпляра Azure SQL
- Безопасность базы данных SQL Azure и управляемого экземпляра SQL
- Включение аутентификации базы данных Microsoft Entra
- Включение и контроль аудита базы данных
- Определение вариантов использования портала управления Microsoft Purview
- Реализация классификации конфиденциальной информации с помощью портала управления Microsoft Purview
- Планирование и реализация динамической маски
- Внедрение прозрачного шифрования данных
- Рекомендация, когда следует использовать Azure SQL Database Always Encrypted
- Внедрение брандмауэра базы данных Azure SQL
4. Защита Azure с помощью Microsoft Defender для облака и Microsoft Sentinel
4.1 Внедрение и контроль соблюдения политик управления облаком
- Тест безопасности облака Microsoft: доступ, данные, идентификация, сеть, конечная точка, управление, восстановление, инциденты и управление уязвимостями
- Управление Azure
- Создание, назначение и понимание политики и инициативы безопасности в Azure Policy
- Azure Blueprints
- Настройка параметров безопасности с помощью Azure Blueprint
- Развертывание защищенных инфраструктур с использованием целевой зоны
- Azure Key Vault
- Безопасность Azure Key Vault
- Аутентификация Azure Key Vault
- Создание и настройка Azure Key Vault
- Рекомендация, когда следует использовать Hardware Security Module (HSM)
- Настройка доступа к Key Vault, включая политики доступа к хранилищу и управление доступом на основе ролей Azure
- Управление сертификатами, секретами и ключами
- Настройка смены ключей
- Настройка резервного копирования и восстановления сертификатов, секретов и ключей
- Внедрение средств контроля безопасности для защиты резервных копий
- Внедрение мер безопасности для управления активами
4.2 Управление безопасностью с помощью Microsoft Defender для облака
- Внедрение Microsoft Defender для облака
- Выявление и устранение рисков безопасности с помощью Microsoft Defender для Cloud Secure Score and Inventory
- Оценка соответствия фреймворкам безопасности и Microsoft Defender для облака
- Добавление отраслевых и нормативных стандартов в Microsoft Defender для облака
- Добавление пользовательскиъ инициатив в Microsoft Defender для облака
- Подключение гибридных облачных и многооблачных сред к Microsoft Defender для облака
- Примение Microsoft Defender External Attack Surface Management (Defender EASM)
4.3 Настройка и управление защитой от угроз с помощью Microsoft Defender for Cloud
- Обнаружение угроз конфиденциальным данным
- Развертывание Microsoft Defender для хранилища
- Включение настройки встроенной политики Azure
- Настройка планов Microsoft Defender для серверов, баз данных и хранилищ
- Внедрение и управление уязвимостями Microsoft Defender
- Рабочее пространство Log Analytics
- Управление сохранением данных в рабочей области Log Analytics
- Развертывание агента Azure Monitor
- Сбор данных с помощью Azure Monitor Agent
- Правила сбора данных (DCR) в Azure Monitor
- Преобразования в правилах сбора данных (DCR)
- Мониторинг событий безопасности сети и данных о производительности путем настройки правил сбора данных (DCR) в Azure Monitor
- Подключение подписок Azure
- Своевременный доступ к машинам
- Обеспечение своевременного доступа
- Безопасность контейнеров в Microsoft Defender
- Управление факторами угроз Кубернетес
- Архитектура Defender для контейнеров
- Настройка компонентов Microsoft Defender для контейнеров
- Microsoft Defender для безопасности DevOps в облаке
- Поддержка безопасности DevOps и предварительные условия
- Состояние безопасности среды DevOps
- Подключение лабораторной среды GitHub к Microsoft Defender для облака
- Настройка Microsoft Security DevOps GitHub action
- Защита от угроз ИИ в Microsoft Defender для облака
- Включение защиты от угроз для рабочих нагрузок ИИ в Defender для облака
- Получение контекст приложений и конечных пользователей для оповещений ИИ
4.4 Настройка и управление решениями по мониторингу и автоматизации безопасности
- Управление оповещениями безопасности и реагирование на них в Microsoft Defender for Cloud
- Настройка автоматизации рабочего процесса с помощью Microsoft Defender for Cloud
- Планы хранения журналов в Microsoft Sentinel
- Оповещения и инциденты от Microsoft Sentinel
- Настройка соединителей данных в Microsoft Sentinel
- Включение правил аналитики в Microsoft Sentinel
- Настройка автоматизации в Microsoft Sentinel
- Автоматизация реагирования на угрозы с помощью Microsoft Sentinel