CC
📚 Más Materiales:
📋Resumen de Certificación📝Hoja de Trucos📚RevisorExámenes de Práctica

Guia oficial del examen AZ-500

Formato del examen, dominios y consejos de preparacion

AZ-500: Guía de estudio de Microsoft Azure Security Technologies

Resumen del examen

  • Certificación: Microsoft Azure Security Engineer Associate
  • Código del examen: AZ-500
  • Audiencia objetivo: Ingenieros de seguridad que implementan, administran y monitorean la seguridad de los recursos de Azure
  • Experiencia requerida: Experiencia práctica en la administración de Azure, conocimiento sólido de Microsoft Entra ID, computación, red y almacenamiento

Habilidades evaluadas (a partir del 31 de enero de 2025)

1. Asegurar la identidad y el acceso (15-20%)

Administrar los controles de seguridad para la identidad y el acceso

  • Administrar las asignaciones de roles integrados de Azure
  • Administrar roles personalizados (roles de Azure y roles de Microsoft Entra)
  • Implementar y administrar la Administración de permisos de Microsoft Entra
  • Planificar y administrar los recursos de Azure en la Administración de identidades con privilegios de Microsoft Entra
  • Implementar la autenticación multifactor (MFA) para los recursos de Azure
  • Implementar políticas de acceso condicional para recursos en la nube
  • Administrar el acceso a las aplicaciones empresariales de Microsoft Entra

Administrar el acceso a las aplicaciones de Microsoft Entra

  • Administrar el acceso a las aplicaciones empresariales (incluidos los permisos de OAuth)
  • Administrar los registros de aplicaciones de Microsoft Entra
  • Configurar los ámbitos de permisos de registro de aplicaciones
  • Administrar el consentimiento de permisos de registro de aplicaciones
  • Administrar y usar entidades de servicio
  • Administrar identidades administradas

2. Asegurar la red (20-25%)

Planificar e implementar la seguridad para las redes virtuales

  • Planificar e implementar grupos de seguridad de red (NSG) y grupos de seguridad de aplicaciones (ASG)
  • Administrar redes virtuales mediante el Administrador de redes virtuales de Azure
  • Planificar e implementar rutas definidas por el usuario (UDR)
  • Planificar e implementar el emparejamiento de redes virtuales o la puerta de enlace VPN
  • Planificar e implementar WAN virtual (incluido el hub virtual seguro)
  • Asegurar la conectividad VPN (punto a sitio y sitio a sitio)
  • Implementar cifrado a través de ExpressRoute
  • Configurar la configuración de firewall en los recursos de Azure
  • Monitorear la seguridad de red utilizando Network Watcher

Planificar e implementar la seguridad para el acceso privado a los recursos de Azure

  • Planificar e implementar puntos de conexión de servicio de red virtual
  • Planificar e implementar Puntos de conexión privados
  • Planificar e implementar servicios de Vínculo privado
  • Planificar e implementar la integración de red para App Service y Functions
  • Configuraciones de seguridad de red para App Service Environment (ASE)
  • Configuraciones de seguridad de red para Azure SQL Managed Instance

Planificar e implementar la seguridad para el acceso público a los recursos de Azure

  • Planificar e implementar TLS para aplicaciones (App Service, API Management)
  • Planificar, implementar y administrar Azure Firewall (incluido Firewall Manager)
  • Planificar e implementar Azure Application Gateway
  • Planificar e implementar Azure Front Door (incluida CDN)
  • Planificar e implementar Web Application Firewall (WAF)
  • Recomendar cuándo usar Azure DDoS Protection Standard

3. Asegurar la computación, el almacenamiento y las bases de datos (20-25%)

Planificar e implementar seguridad avanzada para la computación

  • Planificar e implementar el acceso remoto a máquinas virtuales (Azure Bastion, JIT)
  • Configurar el aislamiento de red para Azure Kubernetes Service (AKS)
  • Asegurar y monitorear AKS
  • Configurar la autenticación para AKS
  • Configurar el monitoreo de seguridad para Azure Container Instances
  • Configurar el monitoreo de seguridad para Azure Container Apps
  • Administrar el acceso a Azure Container Registry
  • Configurar el cifrado de disco (ADE, cifrado en el host, cifrado de disco de confianza)
  • Recomendar configuraciones de seguridad para Azure API Management

Planificar e implementar seguridad para el almacenamiento

  • Configurar el control de acceso para las cuentas de almacenamiento
  • Administrar las claves de acceso de la cuenta de almacenamiento
  • Seleccionar y configurar el acceso a Azure Files
  • Seleccionar y configurar el acceso a Azure Blob Storage
  • Proteger contra amenazas a la seguridad de los datos (eliminación temporal, copias de seguridad, control de versiones, almacenamiento inmutable)
  • Configurar Bring Your Own Key (BYOK)
  • Habilitar el doble cifrado a nivel de la infraestructura de Azure Storage

Planificar e implementar seguridad para Azure SQL Database y SQL Managed Instance

  • Habilitar la autenticación de bases de datos de Microsoft Entra
  • Habilitar la auditoría de base de datos
  • Planificar e implementar el enmascaramiento dinámico
  • Implementar el cifrado de datos transparente (TDE)
  • Recomendar cuándo usar Always Encrypted de Azure SQL Database

4. Asegurar Azure mediante Microsoft Defender for Cloud y Microsoft Sentinel (30-35%)

Implementar y administrar la aplicación de políticas de gobernanza en la nube

  • Crear, asignar e interpretar políticas e iniciativas en Azure Policy
  • Configurar la configuración de red de Azure Key Vault
  • Configurar el acceso a Key Vault (políticas de acceso al depósito y RBAC de Azure)
  • Administrar certificados, secretos y claves
  • Configurar la rotación de claves
  • Realizar copias de seguridad y recuperación de certificados, secretos y claves
  • Implementar controles de seguridad para proteger las copias de seguridad
  • Implementar controles de seguridad para la gestión de activos

Administrar el estado de seguridad utilizando Microsoft Defender for Cloud

  • Identificar y remediar riesgos de seguridad utilizando Secure Score e Inventario
  • Evaluar el cumplimiento con marcos de seguridad
  • Administrar estándares de cumplimiento
  • Agregar estándares personalizados
  • Conectar entornos híbridos y de varias nubes (AWS, GCP)
  • Implementar y usar Microsoft Defender External Attack Surface Management

Configurar y administrar la protección contra amenazas utilizando Microsoft Defender for Cloud

  • Habilitar servicios de protección de cargas de trabajo
  • Configurar Microsoft Defender para servidores, bases de datos y almacenamiento
  • Implementar y administrar análisis sin agente para máquinas virtuales
  • Implementar y administrar Microsoft Defender Vulnerability Management
  • Conectar y configurar Defender for Cloud DevOps Security (GitHub, Azure DevOps, GitLab)

Configurar y administrar soluciones de monitoreo y automatización de seguridad

  • Administrar y responder a alertas de seguridad en Microsoft Defender for Cloud
  • Configurar la automatización del flujo de trabajo
  • Monitorear eventos de seguridad de red y datos de rendimiento utilizando DCR en Azure Monitor
  • Configurar conectores de datos en Microsoft Sentinel
  • Habilitar reglas analíticas en Microsoft Sentinel
  • Configurar la automatización en Microsoft Sentinel

Recursos clave de estudio

Rutas de aprendizaje oficiales de Microsoft Learn

  • Administrar la identidad y el acceso
  • Implementar la protección de la plataforma
  • Proteger los datos y las aplicaciones
  • Administrar las operaciones de seguridad

Documentación de seguridad

  • Seguridad de Microsoft Entra ID
  • Seguridad de red de Azure
  • Seguridad de Azure Storage
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Azure Policy

Recursos de práctica

  • Evaluación de práctica gratuita en Microsoft Learn
  • Laboratorios de Azure Security Center
  • Laboratorio de capacitación de Microsoft Sentinel
  • Laboratorios prácticos de seguridad de Azure

Detalles del examen

  • Puntaje de aprobación: 700
  • Formato de preguntas: Opción múltiple, estudios de casos, arrastrar y soltar
  • Duración del examen: 120 minutos (150 minutos para hablantes no nativos de inglés)
  • Idiomas disponibles: Varios idiomas incluido inglés, japonés, chino, coreano, alemán, francés, español, portugués
  • Costo del examen: $165 USD (varía según la región)

Conceptos clave de seguridad

Modelo de confianza cero

  • Verificar explícitamente
  • Acceso con privilegios mínimos
  • Asumir que se ha producido una infracción
  • Microsegmentación
  • La identidad como perímetro de seguridad

Defensa en profundidad

  • Seguridad física
  • Identidad y acceso
  • Seguridad perimetral
  • Seguridad de red
  • Capa de computación
  • Capa de aplicación
  • Capa de datos

Seguridad de identidad

  • Administración de identidades con privilegios (PIM)
  • Acceso condicional
  • Protección de identidad
  • Revisiones de acceso
  • Administración de derechos

Seguridad de red

  • Segmentación de red
  • Implementación de DMZ
  • Puntos de conexión de servicio vs. Puntos de conexión privados
  • Grupos de seguridad de red
  • Grupos de seguridad de aplicaciones

Protección de datos

  • Cifrado en reposo
  • Cifrado en tránsito
  • Administración de claves
  • Clasificación de datos
  • Prevención de pérdida de datos

Servicios de seguridad de Azure importantes

Microsoft Entra ID (anteriormente Azure AD)

  • Métodos de autenticación
  • Políticas de acceso condicional
  • Protección de identidad
  • Administración de identidades con privilegios
  • Administración de aplicaciones

Azure Firewall

  • Filtrado FQDN
  • Reglas de red
  • Reglas de aplicación
  • Inteligencia de amenazas
  • Firewall Manager

Microsoft Defender for Cloud

  • Secure Score
  • Cumplimiento normativo
  • Protección de cargas de trabajo
  • Administración de la postura de seguridad en la nube (CSPM)
  • Plataforma de protección de cargas de trabajo en la nube (CWPP)

Microsoft Sentinel

  • Conectores de datos
  • Reglas analíticas
  • Playbooks (Logic Apps)
  • Libros
  • Caza de amenazas

Azure Key Vault

  • Administración de secretos
  • Administración de claves
  • Administración de certificados
  • Claves respaldadas por HSM
  • RBAC vs. políticas de acceso al depósito

Mejores prácticas de seguridad

Gestión de identidades

  • Habilitar MFA para todos los usuarios
  • Usar PIM para roles con privilegios
  • Revisiones de acceso periódicas
  • Implementar acceso condicional
  • Usar identidades administradas

Seguridad de red

  • Implementar topología de concentrador y radios
  • Usar NSG a nivel de subred
  • Habilitar la protección contra DDoS
  • Implementar WAF para aplicaciones web
  • Usar puntos de conexión privados

Seguridad de datos

  • Habilitar el cifrado de forma predeterminada
  • Usar claves administradas por el cliente
  • Implementar clasificación de datos
  • Copias de seguridad regulares y prueba de restauración
  • Habilitar la eliminación temporal

Monitoreo y respuesta

  • Habilitar el registro de diagnóstico
  • Configurar alertas de seguridad
  • Automatizar la respuesta a incidentes
  • Evaluaciones de seguridad periódicas
  • Actividades de caza de amenazas

Ruta de certificación

  • Requisitos previos: Se recomienda Azure Fundamentals (AZ-900)
  • Renovación: Obligatorio cada 12 meses a través de Microsoft Learn
  • Certificaciones relacionadas:
    • Azure Administrator Associate (AZ-104)
    • Azure Solutions Architect Expert (AZ-305)
    • Security Operations Analyst (SC-200)

Cumplimiento y gobernanza

  • Azure Policy vs RBAC
  • Panel de cumplimiento normativo
  • Azure Blueprints
  • Bloqueos de recursos
  • Grupos de administración
  • Administración de costos y etiquetas