Курс AZ-500T00 Технологии безопасности Microsoft Azure

1. Безопасная идентификация и доступ

1.1 Управление контролем безопасности для идентификации и доступа

• Что такое Microsoft Entra ID
• Безопасные пользователи Microsoft Entra
• Создание нового пользователя в Microsoft Entra ID
• Безопасность группы Microsoft Entra
• Рекомендация по использованию внешних идентификаторов
• Безопасные внешние идентификаторы
• Внедрение защиты идентификационных данных Microsoft Entra
• Microsoft Entra Connect
• Microsoft Entra Cloud Sync
• Параметры аутентификации
• Синхронизация хэша пароля с Microsoft Entra ID
• Сквозная аутентификация Microsoft Entra
• Федерация с Microsoft Entra ID
• Аутентификация Microsoft Entra
• Внедрение многофакторной аутентификации (MFA)
• Kerberos аутентификация
• Протокол аутентификации New Technology Local Area Network Manager (NTLM)
• Варианты аутентификации без пароля для Microsoft Entra ID
• Реализация аутентификации без пароля
• Релизация защиты пароля
• Технология единого входа Microsoft Entra ID
• Внедрение технологии единого входа (SSO)
• Интеграция технологии единого входа (SSO) и Identity providers
• Введение в проверенный идентификатор Microsoft Entra
• Настройка проверенного идентификатора Microsoft Entra
• Рекомендации и применение современных протоколов аутентификации
• Группы управления Azure
• Настройка разрешения ролей Azure для групп управления, подписок, групп ресурсов и ресурсов
• Управление доступом на основе ролей Azure
• Встроенные роли Azure
• Назначение разрешений ролей Azure для групп управления, подписок, групп ресурсов и ресурсов
• Встроенные роли Microsoft Entra
• Назначение встроенных ролей в Microsoft Entra ID
• Контроль доступа на основе ролей Microsoft Entra
• Создание и назначение пользовательской роли в Microsoft Entra ID
• Управление разрешениями Microsoft Entra
• Применение и управление разрешениями Microsoft Entra
• Модель нульової довіри (Zero Trust security)
• Управление привилегированными удостоверениями Microsoft Entra
• Настройка управления привилегированными идентификаторами
• Управление идентификатором Microsoft Entra
• Управление жизненным циклом идентичности
• Жизненный цикл рабочих процессов
• Управление правами
• Делегирование и роли в управлении правами
• Обзор доступа
• Настройка управления ролями и обзор доступа с помощью Microsoft Entra ID governance
• Внедрение политик условного доступа

1.2 Управление доступом к приложению Microsoft Entra

• Управление доступом к корпоративным приложениям в Microsoft Entra ID, включая предоставление разрешений OAuth
• Управление регистрацией приложений в идентификаторе Microsoft Entra
• Настройка области разрешений регистрации приложений
• Управление разрешением на регистрацию приложения
• Управление и использование service principals
• Управление управляемыми удостоверениями для ресурсов Azure
• Рекомендации по использованию и настрайко Microsoft Entra Application Proxy, включая аутентификацию

2. Безопасное сетевое взаимодействие

2.1 Планирование и реализация безопасности виртуальных сетей

• Microsoft Cloud Security Benchmark: защита данных, ведение журнала и обнаружение угроз, а также сетевая безопасность
• Что такое виртуальная сеть Azure
• Azure Virtual Network Manager
• Планирование и внедрение групп безопасности сети (NSG) и групп безопасности приложений (ASG)
• Планирование и реализация User-Defined Routes (UDRs)
• Планирование и реализация пиринга или шлюза виртуальной сети
• Планирование и реализация виртуальной глобальной сети, включая защищенный виртуальный хаб
• Безопасное VPN-подключение, включая соединение «точка-сайт» и «сайт-сайт»
• Шифрование Azure
• Что такое шифрование виртуальной сети Azure?
• Azure ExpressRoute
• Внедрение шифрования через ExpressRoute
• Настройка параметров брандмауэра на ресурсах Azure
• Контроль безопасности сети с помощью Network Watcher

2.2 Планирование и реализация безопасности для частного доступа к ресурсам Azure

• Планирование и внедрение конечных точек обслуживания виртуальной сети
• Планирование и внедрение частных конечных точек
• Планирование и реализация услуг Private Link
• Планирование и реализация сетевой интеграции для Azure App Service и Azure Functions
• Планирование и реализация конфигураций сетевой безопасности для среды службы приложений (ASE)
• Планирование и реализация конфигураций сетевой безопасности для управляемого экземпляра Azure SQL

2.3 Планирование и реализация безопасности для публичного доступа к ресурсам Azure

• Планирование и внедрение протокола Transport Layer Security (TLS) для приложений, включая службу приложений Azure и управление API
• Планирование, реализация и​ управление брандмауэром Azure, диспетчером брандмауэров Azure и политиками брандмауэра
• Планирование и реализация Azure Application Gateway
• Планирование и внедрение Web Application Firewall (WAF)
• Планирование и реализация Azure Front Door, включая сеть доставки контента (CDN)
• Рекомендация, когда следует использовать Azure DDoS Protection Standard

3.1 Планирование и реализация расширенной безопасности для вычислений

• Планирование и реализация удаленного доступа к общедоступным конечным точкам, Azure Bastion и оперативного (JIT) доступа к виртуальным машинам (VM)
• Что такое Azure Kubernetes Service
• Настройка сетевой изоляции для Azure Kubernetes Service (AKS)
• Защита и мониторинг службы Azure Kubernetes
• Настройка аутентификации для службы Azure Kubernetes
• Настройка безопасности для Azure Container Instances (ACI)
• Настройка безопасности для Azure Container Apps (ACA)
• Управление доступом к Azure Container Registry (ACR)
• Настройка шифрования диска, Azure Disk Encryption (ADE), шифрование в качестве хоста и конфиденциальное шифрование диска
• Рекомендация по конфигурации безопасности для Azure API Management

3.2 Планирование и реализация мер безопасности для хранения

• Azure Storage
• Настройка контроля доступа для учетных записей хранения
• Управление жизненным циклом ключей доступа к учетной записи хранения
• Выбор и настройка подходящего метода доступа к файлам Azure
• Выбор и настройка подходящего метода доступа к Azure Blobs
• Выбор и настройка подходящего метода доступа к таблицам Azure.
• Выбор и настройка подходящего метода доступа к Azure Queues
• Выбор и настройка соответствующего метода защиты от угроз безопасности данных, включая мягкое удаление, резервное копирование, управление версиями и неизменяемое хранилище
• Настройка функции «Принеси свой ключ» (BYOK)
• Включение двойного шифрования на уровне инфраструктуры хранилища Azure

3.3 Планирование и реализация безопасности для базы данных Azure SQL и управляемого экземпляра Azure SQL

• Безопасность базы данных SQL Azure и управляемого экземпляра SQL
• Включение аутентификации базы данных Microsoft Entra
• Включение и контроль аудита базы данных
• Определение вариантов использования портала управления Microsoft Purview
• Реализация классификации конфиденциальной информации с помощью портала управления Microsoft Purview
• Планирование и реализация динамической маски
• Внедрение прозрачного шифрования данных
• Рекомендация, когда следует использовать Azure SQL Database Always Encrypted
• Внедрение брандмауэра базы данных Azure SQL

4.1 Внедрение и контроль соблюдения политик управления облаком

• Тест безопасности облака Microsoft: доступ, данные, идентификация, сеть, конечная точка, управление, восстановление, инциденты и управление уязвимостями
• Управление Azure
• Создание, назначение и понимание политики и инициативы безопасности в Azure Policy
• Azure Blueprints
• Настройка параметров безопасности с помощью Azure Blueprint
• Развертывание защищенных инфраструктур с использованием целевой зоны
• Azure Key Vault
• Безопасность Azure Key Vault
• Аутентификация Azure Key Vault
• Создание и настройка Azure Key Vault
• Рекомендация, когда следует использовать Hardware Security Module (HSM)
• Настройка доступа к Key Vault, включая политики доступа к хранилищу и управление доступом на основе ролей Azure
• Управление сертификатами, секретами и ключами
• Настройка смены ключей
• Настройка резервного копирования и восстановления сертификатов, секретов и ключей
• Внедрение средств контроля безопасности для защиты резервных копий
• Внедрение мер безопасности для управления активами

4.2 Управление безопасностью с помощью Microsoft Defender для облака

• Внедрение Microsoft Defender для облака
• Выявление и устранение рисков безопасности с помощью Microsoft Defender для Cloud Secure Score and Inventory
• Оценка соответствия фреймворкам безопасности и Microsoft Defender для облака
• Добавление отраслевых и нормативных стандартов в Microsoft Defender для облака
• Добавление пользовательскиъ инициатив в Microsoft Defender для облака
• Подключение гибридных облачных и многооблачных сред к Microsoft Defender для облака
• Примение Microsoft Defender External Attack Surface Management (Defender EASM)

4.3 Настройка и управление защитой от угроз с помощью Microsoft Defender for Cloud

• Обнаружение угроз конфиденциальным данным
• Развертывание Microsoft Defender для хранилища
• Включение настройки встроенной политики Azure
• Настройка планов Microsoft Defender для серверов, баз данных и хранилищ
• Внедрение и управление уязвимостями Microsoft Defender
• Рабочее пространство Log Analytics
• Управление сохранением данных в рабочей области Log Analytics
• Развертывание агента Azure Monitor
• Сбор данных с помощью Azure Monitor Agent
• Правила сбора данных (DCR) в Azure Monitor
• Преобразования в правилах сбора данных (DCR)
• Мониторинг событий безопасности сети и данных о производительности путем настройки правил сбора данных (DCR) в Azure Monitor
• Подключение подписок Azure
• Своевременный доступ к машинам
• Обеспечение своевременного доступа
• Безопасность контейнеров в Microsoft Defender
• Управление факторами угроз Кубернетес
• Архитектура Defender для контейнеров
• Настройка компонентов Microsoft Defender для контейнеров
• Microsoft Defender для безопасности DevOps в облаке
• Поддержка безопасности DevOps и предварительные условия
• Состояние безопасности среды DevOps
• Подключение лабораторной среды GitHub к Microsoft Defender для облака
• Настройка Microsoft Security DevOps GitHub action
• Защита от угроз ИИ в Microsoft Defender для облака
• Включение защиты от угроз для рабочих нагрузок ИИ в Defender для облака
• Получение контекст приложений и конечных пользователей для оповещений ИИ

4.4 Настройка и управление решениями по мониторингу и автоматизации безопасности

• Управление оповещениями безопасности и реагирование на них в Microsoft Defender for Cloud
• Настройка автоматизации рабочего процесса с помощью Microsoft Defender for Cloud
• Планы хранения журналов в Microsoft Sentinel
• Оповещения и инциденты от Microsoft Sentinel
• Настройка соединителей данных в Microsoft Sentinel
• Включение правил аналитики в Microsoft Sentinel
• Настройка автоматизации в Microsoft Sentinel
• Автоматизация реагирования на угрозы с помощью Microsoft Sentinel