CC
📚 Esplora Altri Materiali di Studio:
📋Panoramica della Certificazione📝Foglio di Consultazione📚RevisoreTest Pratici

Guida ufficiale all'esame AZ-500

Formato dell'esame, domini e suggerimenti per la preparazione

AZ-500: Guida allo studio sulla sicurezza delle tecnologie Microsoft Azure

Panoramica dell'esame

  • Certificazione: Microsoft Azure Security Engineer Associate
  • Codice Esame: AZ-500
  • Destinatari: Ingegneri della sicurezza che implementano, gestiscono e monitorano la sicurezza per le risorse di Azure
  • Esperienza Richiesta: Esperienza pratica nell'amministrazione di Azure, familiarità con Microsoft Entra ID, calcolo, rete e archiviazione

Competenze valutate (al 31 gennaio 2025)

1. Proteggere identità e accessi (15-20%)

Gestire i controlli di sicurezza per identità e accessi

  • Gestire le assegnazioni di ruoli predefiniti di Azure
  • Gestire ruoli personalizzati (ruoli Azure e ruoli Microsoft Entra)
  • Implementare e gestire Microsoft Entra Permissions Management
  • Pianificare e gestire le risorse di Azure in Microsoft Entra Privileged Identity Management
  • Implementare l'autenticazione a più fattori (MFA) per le risorse di Azure
  • Implementare criteri di Accesso Condizionale per le risorse cloud
  • Gestire l'accesso alle applicazioni Microsoft Entra

Gestire l'accesso alle applicazioni Microsoft Entra

  • Gestire l'accesso alle applicazioni aziendali (incluse le concessioni di autorizzazione OAuth)
  • Gestire le registrazioni di applicazioni Microsoft Entra
  • Configurare gli ambiti di autorizzazione per la registrazione di applicazioni
  • Gestire il consenso alle autorizzazioni di registrazione di applicazioni
  • Gestire e utilizzare i principali di servizio
  • Gestire le identità gestite

2. Proteggere la rete (20-25%)

Pianificare e implementare la sicurezza per le reti virtuali

  • Pianificare e implementare Network Security Groups (NSG) e Application Security Groups (ASG)
  • Gestire le reti virtuali utilizzando Azure Virtual Network Manager
  • Pianificare e implementare route definite dall'utente (UDR)
  • Pianificare e implementare il peering di reti virtuali o il gateway VPN
  • Pianificare e implementare Virtual WAN (incluso il hub virtuale protetto)
  • Proteggere la connettività VPN (point-to-site e site-to-site)
  • Implementare la crittografia su ExpressRoute
  • Configurare le impostazioni firewall sulle risorse di Azure
  • Monitorare la sicurezza di rete utilizzando Network Watcher

Pianificare e implementare la sicurezza per l'accesso privato alle risorse di Azure

  • Pianificare e implementare Endpoint servizio di rete virtuale
  • Pianificare e implementare Private Endpoint
  • Pianificare e implementare servizi Private Link
  • Pianificare e implementare l'integrazione di rete per l'App Service e le Functions
  • Configurazioni di sicurezza di rete per l'App Service Environment (ASE)
  • Configurazioni di sicurezza di rete per Azure SQL Managed Instance

Pianificare e implementare la sicurezza per l'accesso pubblico alle risorse di Azure

  • Pianificare e implementare TLS per le applicazioni (App Service, API Management)
  • Pianificare, implementare e gestire Azure Firewall (incluso Firewall Manager)
  • Pianificare e implementare Azure Application Gateway
  • Pianificare e implementare Azure Front Door (incluso CDN)
  • Pianificare e implementare Web Application Firewall (WAF)
  • Raccomandare quando utilizzare Azure DDoS Protection Standard

3. Proteggere calcolo, archiviazione e database (20-25%)

Pianificare e implementare la sicurezza avanzata per il calcolo

  • Pianificare e implementare l'accesso remoto alle macchine virtuali (Azure Bastion, JIT)
  • Configurare l'isolamento di rete per Azure Kubernetes Service (AKS)
  • Proteggere e monitorare AKS
  • Configurare l'autenticazione per AKS
  • Configurare il monitoraggio della sicurezza per Azure Container Instances
  • Configurare il monitoraggio della sicurezza per Azure Container Apps
  • Gestire l'accesso ad Azure Container Registry
  • Configurare la crittografia dei dischi (ADE, crittografia a livello host, crittografia di dischi riservati)
  • Raccomandare configurazioni di sicurezza per Azure API Management

Pianificare e implementare la sicurezza per l'archiviazione

  • Configurare il controllo degli accessi per gli account di archiviazione
  • Gestire le chiavi di accesso degli account di archiviazione
  • Selezionare e configurare l'accesso ad Azure Files
  • Selezionare e configurare l'accesso ad Azure Blob Storage
  • Proteggere dai rischi per la sicurezza dei dati (eliminazione soft, backup, versioning, archiviazione immodificabile)
  • Configurare Bring Your Own Key (BYOK)
  • Abilitare la doppia crittografia a livello dell'infrastruttura di Archiviazione di Azure

Pianificare e implementare la sicurezza per Azure SQL Database e SQL Managed Instance

  • Abilitare l'autenticazione del database Microsoft Entra
  • Abilitare l'audit del database
  • Pianificare e implementare la mascheratura dinamica
  • Implementare la Transparent Data Encryption (TDE)
  • Raccomandare quando utilizzare Azure SQL Database Always Encrypted

4. Proteggere Azure utilizzando Microsoft Defender for Cloud e Microsoft Sentinel (30-35%)

Implementare e gestire l'applicazione di criteri di governance cloud

  • Creare, assegnare e interpretare criteri e iniziative in Azure Policy
  • Configurare le impostazioni di rete di Azure Key Vault
  • Configurare l'accesso a Key Vault (criteri di accesso al vault e RBAC di Azure)
  • Gestire certificati, segreti e chiavi
  • Configurare la rotazione delle chiavi
  • Eseguire il backup e il ripristino di certificati, segreti e chiavi
  • Implementare controlli di sicurezza per proteggere i backup
  • Implementare controlli di sicurezza per la gestione degli asset

Gestire la postura di sicurezza utilizzando Microsoft Defender for Cloud

  • Identificare e risolvere i rischi di sicurezza utilizzando Secure Score e Inventory
  • Valutare la conformità rispetto ai framework di sicurezza
  • Gestire gli standard di conformità
  • Aggiungere standard personalizzati
  • Connettere ambienti cloud ibridi e multi-cloud (AWS, GCP)
  • Implementare e utilizzare Microsoft Defender External Attack Surface Management

Configurare e gestire la protezione dalle minacce utilizzando Microsoft Defender for Cloud

  • Abilitare i servizi di protezione dei carichi di lavoro
  • Configurare Microsoft Defender per Server, Database e Storage
  • Implementare e gestire la scansione senza agenti per le macchine virtuali
  • Implementare e gestire Microsoft Defender Vulnerability Management
  • Connettere e configurare Defender for Cloud DevOps Security (GitHub, Azure DevOps, GitLab)

Configurare e gestire soluzioni di monitoraggio e automazione della sicurezza

  • Gestire e rispondere agli avvisi di sicurezza in Microsoft Defender for Cloud
  • Configurare l'automazione dei flussi di lavoro
  • Monitorare gli eventi di sicurezza di rete e i dati sulle prestazioni utilizzando DCR in Azure Monitor
  • Configurare i connettori dati in Microsoft Sentinel
  • Abilitare regole di analisi in Microsoft Sentinel
  • Configurare l'automazione in Microsoft Sentinel

Risorse di studio chiave

Percorsi di apprendimento ufficiali Microsoft Learn

  • Gestire identità e accessi
  • Implementare la protezione della piattaforma
  • Proteggere dati e applicazioni
  • Gestire le operazioni di sicurezza

Documentazione sulla sicurezza

  • Sicurezza Microsoft Entra ID
  • Sicurezza di rete di Azure
  • Sicurezza Archiviazione di Azure
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Azure Policy

Risorse di pratica

  • Valutazione pratica gratuita su Microsoft Learn
  • Lab di Azure Security Center
  • Lab di formazione su Microsoft Sentinel
  • Lab pratici sulla sicurezza di Azure

Dettagli dell'esame

  • Punteggio di passaggio: 700
  • Formato domande: Scelta multipla, studi di casi, trascinamento e rilascio
  • Durata esame: 120 minuti (150 minuti per non madrelingua inglese)
  • Lingue disponibili: Più lingue, inclusi inglese, giapponese, cinese, coreano, tedesco, francese, spagnolo, portoghese
  • Costo esame: $165 USD (varia a seconda della regione)

Concetti di sicurezza chiave

Modello Zero Trust

  • Verifica esplicita
  • Accesso con il minimo necessario
  • Presupporre una violazione
  • Microsegmentazione
  • Identità come perimetro di sicurezza

Difesa in profondità

  • Sicurezza fisica
  • Identità e accessi
  • Sicurezza perimetrale
  • Sicurezza di rete
  • Livello di calcolo
  • Livello applicativo
  • Livello dati

Sicurezza dell'identità

  • Privileged Identity Management (PIM)
  • Accesso Condizionale
  • Protezione dell'identità
  • Revisioni degli accessi
  • Gestione delle autorizzazioni

Sicurezza di rete

  • Segmentazione di rete
  • Implementazione DMZ
  • Endpoint servizio vs Private endpoint
  • Network Security Groups
  • Application Security Groups

Protezione dei dati

  • Crittografia dei dati inattivi
  • Crittografia dei dati in transito
  • Gestione delle chiavi
  • Classificazione dei dati
  • Prevenzione della perdita di dati

Servizi di sicurezza di Azure importanti

Microsoft Entra ID (ex Azure AD)

  • Metodi di autenticazione
  • Criteri di Accesso Condizionale
  • Protezione dell'identità
  • Privileged Identity Management
  • Gestione delle applicazioni

Azure Firewall

  • Filtraggio FQDN
  • Regole di rete
  • Regole applicative
  • Threat intelligence
  • Firewall Manager

Microsoft Defender for Cloud

  • Secure Score
  • Conformità normativa
  • Protezione dei carichi di lavoro
  • Gestione della postura di sicurezza cloud (CSPM)
  • Piattaforma di protezione dei carichi di lavoro cloud (CWPP)

Microsoft Sentinel

  • Connettori dati
  • Regole di analisi
  • Playbook (Logic Apps)
  • Workbook
  • Caccia alle minacce

Azure Key Vault

  • Gestione dei segreti
  • Gestione delle chiavi
  • Gestione dei certificati
  • Chiavi con backup HSM
  • RBAC vs criteri di accesso al vault

Best practice di sicurezza

Gestione dell'identità

  • Abilitare MFA per tutti gli utenti
  • Utilizzare PIM per i ruoli con privilegi
  • Revisioni degli accessi regolari
  • Implementare l'Accesso Condizionale
  • Utilizzare identità gestite

Sicurezza di rete

  • Implementare la topologia hub-spoke
  • Utilizzare NSG a livello di subnet
  • Abilitare la protezione DDoS
  • Implementare WAF per le app web
  • Utilizzare Private Endpoint

Sicurezza dei dati

  • Abilitare la crittografia per impostazione predefinita
  • Utilizzare chiavi gestite dal cliente
  • Implementare la classificazione dei dati
  • Backup regolari e test di ripristino
  • Abilitare l'eliminazione soft

Monitoraggio e risposta

  • Abilitare la registrazione diagnostica
  • Configurare gli avvisi di sicurezza
  • Automatizzare la risposta agli incidenti
  • Valutazioni di sicurezza regolari
  • Attività di caccia alle minacce

Percorso di certificazione

  • Prerequisiti: Consigliata la certificazione Azure Fundamentals (AZ-900)
  • Rinnovo: Richiesto ogni 12 mesi tramite Microsoft Learn
  • Certificazioni Correlate:
    • Azure Administrator Associate (AZ-104)
    • Azure Solutions Architect Expert (AZ-305)
    • Security Operations Analyst (SC-200)

Conformità e governance

  • Azure Policy vs RBAC
  • Dashboard di conformità normativa
  • Azure Blueprints
  • Blocchi delle risorse
  • Gruppi di gestione
  • Gestione dei costi e tag