AZ-500: Microsoft Azure Security Technologies Studienführer

Prüfungsübersicht

• Zertifizierung: Microsoft Azure Security Engineer Associate
• Prüfungscode: AZ-500
• Zielgruppe: Sicherheitsingenieure, die die Sicherheit für Azure-Ressourcen implementieren, verwalten und überwachen
• Erforderliche Erfahrung: Praktische Erfahrung in der Azure-Administration, starke Vertrautheit mit Microsoft Entra ID, Compute, Netzwerk und Speicher

Gemessene Fähigkeiten (gültig ab 31. Januar 2025)

1. Sichere Identität und Zugriff (15-20%)

Verwalten von Sicherheitskontrollen für Identität und Zugriff

• Verwalten von Azure integrierte Rollenzuweisungen
• Verwalten von benutzerdefinierten Rollen (Azure-Rollen und Microsoft Entra-Rollen)
• Implementieren und Verwalten von Microsoft Entra Permissions Management
• Planen und Verwalten von Azure-Ressourcen in Microsoft Entra Privileged Identity Management
• Implementieren von Multi-Faktor-Authentifizierung (MFA) für Azure-Ressourcen
• Implementieren von Zugriffssteuerungsrichtlinien für Cloud-Ressourcen
• Verwalten des Zugriffs auf Microsoft Entra-Anwendungen

Verwalten des Microsoft Entra-Anwendungszugriffs

• Verwalten des Zugriffs auf Unternehmensanwendungen (einschließlich OAuth-Berechtigungserteilung)
• Verwalten von Microsoft Entra-App-Registrierungen
• Konfigurieren von App-Registrierungsberechtigungsbereichen
• Verwalten der App-Registrierungsberechtigungserteilung
• Verwalten und Verwenden von Dienstprinzipalen
• Verwalten von verwalteten Identitäten

2. Sicheres Netzwerk (20-25%)

Planen und Implementieren der Sicherheit für virtuelle Netzwerke

• Planen und Implementieren von Netzwerksicherheitsgruppen (NSGs) und Anwendungssicherheitsgruppen (ASGs)
• Verwalten virtueller Netzwerke mit Azure Virtual Network Manager
• Planen und Implementieren benutzerdefinierter Routen (UDRs)
• Planen und Implementieren von Virtual Network-Peering oder VPN-Gateway
• Planen und Implementieren von Virtual WAN (einschließlich gesicherter virtueller Hub)
• Sichere VPN-Konnektivität (punkt-zu-standort und standort-zu-standort)
• Implementieren von Verschlüsselung über ExpressRoute
• Konfigurieren von Firewall-Einstellungen für Azure-Ressourcen
• Überwachen der Netzwerksicherheit mit Network Watcher

Planen und Implementieren der Sicherheit für den privaten Zugriff auf Azure-Ressourcen

• Planen und Implementieren von Virtual Network Service-Endpunkten
• Planen und Implementieren von Private Endpoints
• Planen und Implementieren von Private Link-Diensten
• Planen und Implementieren der Netzwerkintegration für App Service und Functions
• Netzwerksicherheitskonfigurationen für App Service Environment (ASE)
• Netzwerksicherheitskonfigurationen für Azure SQL Managed Instance

Planen und Implementieren der Sicherheit für den öffentlichen Zugriff auf Azure-Ressourcen

• Planen und Implementieren von TLS für Anwendungen (App Service, API Management)
• Planen, Implementieren und Verwalten von Azure Firewall (einschließlich Firewall-Manager)
• Planen und Implementieren von Azure Application Gateway
• Planen und Implementieren von Azure Front Door (einschließlich CDN)
• Planen und Implementieren von Web Application Firewall (WAF)
• Empfehlen, wann Azure DDoS Protection Standard verwendet werden soll

3. Sichere Compute, Speicher und Datenbanken (20-25%)

Planen und Implementieren erweiterter Sicherheit für Compute

• Planen und Implementieren von Remotezugriff auf VMs (Azure Bastion, JIT)
• Konfigurieren der Netzwerktrennung für Azure Kubernetes Service (AKS)
• Sichern und überwachen von AKS
• Konfigurieren der Authentifizierung für AKS
• Konfigurieren der Sicherheitsüberwachung für Azure Container Instances
• Konfigurieren der Sicherheitsüberwachung für Azure Container Apps
• Verwalten des Zugriffs auf Azure Container Registry
• Konfigurieren der Daten-Verschlüsselung (ADE, Verschlüsselung auf Hostebene, vertrauliche Daten-Verschlüsselung)
• Empfehlen von Sicherheitskonfigurationen für Azure API Management

Planen und Implementieren der Sicherheit für Speicher

• Konfigurieren der Zugriffssteuerung für Speicherkonten
• Verwalten der Speicherkonto-Zugriffsschlüssel
• Auswählen und Konfigurieren des Zugriffs auf Azure Files
• Auswählen und Konfigurieren des Zugriffs auf Azure Blob Storage
• Schutz vor Datensicherheitsbedrohungen (Softlöschung, Sicherungen, Versionsverwaltung, unveränderbare Speicherung)
• Konfigurieren von Bring Your Own Key (BYOK)
• Aktivieren der doppelten Verschlüsselung auf Azure Storage-Infrastrukturebene

Planen und Implementieren der Sicherheit für Azure SQL-Datenbank und SQL Managed Instance

• Aktivieren der Microsoft Entra-Datenbankgültigkeit
• Aktivieren der Datenbanküberwachung
• Planen und Implementieren dynamischer Maskierung
• Implementieren der transparenten Datenverschlüsselung (TDE)
• Empfehlen, wann Azure SQL-Datenbank Always Encrypted verwendet werden soll

4. Sichern von Azure mit Microsoft Defender for Cloud und Microsoft Sentinel (30-35%)

Implementieren und Verwalten der Durchsetzung von Cloud-Governance-Richtlinien

• Erstellen, Zuweisen und Interpretieren von Richtlinien und Initiativen in Azure Policy
• Konfigurieren der Netzwerkeinstellungen von Azure Key Vault
• Konfigurieren des Zugriffs auf Key Vault (Tresor-Zugriffsrichtlinien und Azure RBAC)
• Verwalten von Zertifikaten, Geheimnissen und Schlüsseln
• Konfigurieren der Schlüsseldrehung
• Durchführen von Sicherung und Wiederherstellung von Zertifikaten, Geheimnissen und Schlüsseln
• Implementieren von Sicherheitskontrollen zum Schutz von Sicherungen
• Implementieren von Sicherheitskontrollen für das Assetmanagement

Verwalten der Sicherheitspostur mit Microsoft Defender for Cloud

• Identifizieren und Beheben von Sicherheitsrisiken mit Secure Score und Bestandsaufnahme
• Bewerten der Konformität mit Sicherheitsrahmenwerken
• Verwalten von Compliance-Standards
• Hinzufügen von benutzerdefinierten Standards
• Herstellen von Verbindungen zu Hybrid-Cloud- und Multi-Cloud-Umgebungen (AWS, GCP)
• Implementieren und Verwenden von Microsoft Defender External Attack Surface Management

Konfigurieren und Verwalten des Bedrohungsschutzes mit Microsoft Defender for Cloud

• Aktivieren von Workload-Schutzleistungen
• Konfigurieren von Microsoft Defender für Server, Datenbanken und Speicher
• Implementieren und Verwalten der agentenfreien Überprüfung für VMs
• Implementieren und Verwalten von Microsoft Defender Vulnerability Management
• Verbinden und Konfigurieren von Defender for Cloud DevOps Security (GitHub, Azure DevOps, GitLab)

Konfigurieren und Verwalten von Sicherheitsüberwachungs- und Automatisierungslösungen

• Verwalten und Reagieren auf Sicherheitswarnungen in Microsoft Defender for Cloud
• Konfigurieren von Workflow-Automatisierung
• Überwachen von Netzwerksicherheitsereignissen und Leistungsdaten mit DCRs in Azure Monitor
• Konfigurieren von Datenconnectoren in Microsoft Sentinel
• Aktivieren von Analytics-Regeln in Microsoft Sentinel
• Konfigurieren der Automatisierung in Microsoft Sentinel

Wichtige Studienressourcen

Offizielle Microsoft Learn-Lernpfade

• Identität und Zugriff verwalten
• Plattformschutz implementieren
• Daten und Anwendungen sichern
• Sicherheitsoperationen verwalten

Sicherheitsdokumentation

• Microsoft Entra ID-Sicherheit
• Azure-Netzwerksicherheit
• Azure Storage-Sicherheit
• Microsoft Defender for Cloud
• Microsoft Sentinel
• Azure Policy

Übungsressourcen

• Kostenlose Praxisbewertung auf Microsoft Learn
• Azure Security Center-Labs
• Microsoft Sentinel-Schulungslabor
• Azure-Sicherheits-Hands-On-Labs

Prüfungsdetails

• Bestehensgrenze: 700
• Frageformat: Multiple Choice, Fallstudien, Drag-and-Drop
• Prüfungsdauer: 120 Minuten (150 Minuten für Nicht-Muttersprachler)
• Verfügbare Sprachen: Mehrere Sprachen einschließlich Englisch, Japanisch, Chinesisch, Koreanisch, Deutsch, Französisch, Spanisch, Portugiesisch
• Prüfungskosten: 165 USD (je nach Region unterschiedlich)

Wichtige Sicherheitskonzepte

Zero-Trust-Modell

• Explizit überprüfen
• Prinzip der geringstmöglichen Rechte
• Annahme eines Sicherheitsbruchs
• Mikrosegmentierung
• Identität als Sicherheitsperimeter

Mehrfachschutz

• Physische Sicherheit
• Identität und Zugriff
• Perimetersicherheit
• Netzwerksicherheit
• Compute-Ebene
• Anwendungsebene
• Datenebene

Identitätssicherheit

• Privileged Identity Management (PIM)
• Bedingter Zugriff
• Identity Protection
• Zugriffsüberprüfungen
• Berechtigungsverwaltung

Netzwerksicherheit

• Netzwerksegmentierung
• DMZ-Implementierung
• Service-Endpunkte vs. Private-Endpunkte
• Netzwerksicherheitsgruppen
• Anwendungssicherheitsgruppen

Datenschutz

• Verschlüsselung in Ruhe
• Verschlüsselung in Bewegung
• Schlüsselverwaltung
• Dateneinstufung
• Datenverlustprävention

Wichtige Azure-Sicherheitsdienste

Microsoft Entra ID (ehemals Azure AD)

• Authentifizierungsmethoden
• Bedingter Zugriff-Richtlinien
• Identity Protection
• Privileged Identity Management
• Anwendungsverwaltung

Azure Firewall

• FQDN-Filterung
• Netzwerkregeln
• Anwendungsregeln
• Bedrohungsintelligenz
• Firewall-Manager

Microsoft Defender for Cloud

• Secure Score
• Regulatorische Compliance
• Workload-Schutz
• Cloud Security Posture Management (CSPM)
• Cloud Workload Protection Platform (CWPP)

Microsoft Sentinel

• Datenconnectors
• Analyseregelungen
• Playbooks (Logic Apps)
• Arbeitsmappen
• Bedrohungssuche

Azure Key Vault

• Geheimnisspeicherung
• Schlüsselverwaltung
• Zertifikatverwaltung
• HSM-basierte Schlüssel
• RBAC vs. Tresor-Zugriffsrichtlinien

Bewährte Sicherheitspraktiken

Identitätsverwaltung

• MFA für alle Benutzer aktivieren
• PIM für privilegierte Rollen verwenden
• Regelmäßige Zugriffsüberprüfungen
• Bedingten Zugriff implementieren
• Verwaltete Identitäten verwenden

Netzwerksicherheit

• Hub-Spoke-Topologie implementieren
• NSGs auf Subnetzebene verwenden
• DDoS-Schutz aktivieren
• WAF für Webanwendungen implementieren
• Private Endpunkte verwenden

Datensicherheit

• Standardmäßige Verschlüsselung aktivieren
• Kundenmanagte Schlüssel verwenden
• Dateneinstufung implementieren
• Regelmäßige Sicherungen und Testwiederherstellungen
• Softlöschung aktivieren

Überwachung und Reaktion

• Diagnoseprotokollierung aktivieren
• Sicherheitswarnungen konfigurieren
• Automatisierte Vorfallreaktion
• Regelmäßige Sicherheitsanalysen
• Bedrohungssuche-Aktivitäten

Zertifizierungspfad

• Voraussetzungen: Azure Fundamentals (AZ-900) empfohlen
• Verlängerung: Alle 12 Monate über Microsoft Learn erforderlich
• Verwandte Zertifizierungen:
  • Azure Administrator Associate (AZ-104)
  • Azure Solutions Architect Expert (AZ-305)
  • Security Operations Analyst (SC-200)

Compliance und Governance

• Azure Policy vs. RBAC
• Dashboard für regulatorische Compliance
• Azure-Blaupausen
• Ressourcensperren
• Verwaltungsgruppen
• Kostenverwaltung und Tags