AZ-500: Guia de Estudos sobre Tecnologias de Segurança da Microsoft Azure

Visão Geral do Exame

• Certificação: Associado de Engenheiro de Segurança da Microsoft Azure
• Código do Exame: AZ-500
• Público-Alvo: Engenheiros de segurança que implementam, gerenciam e monitoram a segurança de recursos do Azure
• Experiência Necessária: Experiência prática em administração do Azure, familiaridade sólida com Microsoft Entra ID, computação, rede e armazenamento

Habilidades Avaliadas (a partir de 31 de janeiro de 2025)

1. Proteger Identidade e Acesso (15-20%)

Gerenciar Controles de Segurança para Identidade e Acesso

• Gerenciar atribuições de funções internas do Azure
• Gerenciar funções personalizadas (funções do Azure e funções da Microsoft Entra)
• Implementar e gerenciar o Gerenciamento de Permissões da Microsoft Entra
• Planejar e gerenciar recursos do Azure no Gerenciamento de Identidade Privilegiada da Microsoft Entra
• Implementar a autenticação multifator (MFA) para recursos do Azure
• Implementar políticas de Acesso Condicional para recursos de nuvem
• Gerenciar o acesso a aplicativos da Microsoft Entra

Gerenciar o Acesso a Aplicativos da Microsoft Entra

• Gerenciar o acesso a aplicativos empresariais (incluindo concessões de permissão OAuth)
• Gerenciar os registros de aplicativos da Microsoft Entra
• Configurar escopos de permissão de registro de aplicativos
• Gerenciar o consentimento de permissão de registro de aplicativos
• Gerenciar e usar entidades de serviço
• Gerenciar identidades gerenciadas

2. Proteger a Rede (20-25%)

Planejar e Implementar Segurança para Redes Virtuais

• Planejar e implementar Grupos de Segurança de Rede (NSGs) e Grupos de Segurança de Aplicativos (ASGs)
• Gerenciar redes virtuais usando o Gerenciador de Rede Virtual do Azure
• Planejar e implementar rotas definidas pelo usuário (UDRs)
• Planejar e implementar emparelhamento de Rede Virtual ou gateway VPN
• Planejar e implementar WAN Virtual (incluindo hub virtual protegido)
• Proteger a conectividade VPN (ponto a site e site a site)
• Implementar criptografia sobre ExpressRoute
• Configurar as configurações de firewall em recursos do Azure
• Monitorar a segurança de rede usando o Network Watcher

Planejar e Implementar Segurança para Acesso Privado aos Recursos do Azure

• Planejar e implementar Pontos de Extremidade de Serviço de Rede Virtual
• Planejar e implementar Pontos de Extremidade Privados
• Planejar e implementar Serviços de Link Privado
• Planejar e implementar a integração de rede para o Serviço de Aplicativo e as Funções
• Configurações de segurança de rede para o Ambiente do Serviço de Aplicativo (ASE)
• Configurações de segurança de rede para a Instância Gerenciada do SQL do Azure

Planejar e Implementar Segurança para Acesso Público aos Recursos do Azure

• Planejar e implementar TLS para aplicativos (Serviço de Aplicativo, Gerenciamento de API)
• Planejar, implementar e gerenciar o Azure Firewall (incluindo o Gerenciador de Firewall)
• Planejar e implementar o Azure Application Gateway
• Planejar e implementar o Azure Front Door (incluindo CDN)
• Planejar e implementar o Web Application Firewall (WAF)
• Recomendar quando usar a Proteção contra DDoS do Azure Standard

3. Proteger Computação, Armazenamento e Bancos de Dados (20-25%)

Planejar e Implementar Segurança Avançada para Computação

• Planejar e implementar acesso remoto a VMs (Azure Bastion, JIT)
• Configurar o isolamento de rede para o Azure Kubernetes Service (AKS)
• Proteger e monitorar o AKS
• Configurar a autenticação para o AKS
• Configurar o monitoramento de segurança para o Azure Container Instances
• Configurar o monitoramento de segurança para o Azure Container Apps
• Gerenciar o acesso ao Azure Container Registry
• Configurar a criptografia de disco (ADE, criptografia no host, criptografia de disco confidencial)
• Recomendar configurações de segurança para o Gerenciamento de API do Azure

Planejar e Implementar Segurança para Armazenamento

• Configurar o controle de acesso para contas de armazenamento
• Gerenciar as chaves de acesso da conta de armazenamento
• Selecionar e configurar o acesso aos Arquivos do Azure
• Selecionar e configurar o acesso ao Armazenamento de Blobs do Azure
• Proteger contra ameaças à segurança de dados (exclusão reversível, backups, versionamento, armazenamento imutável)
• Configurar Traga Sua Própria Chave (BYOK)
• Habilitar a criptografia dupla na infraestrutura do Armazenamento do Azure

Planejar e Implementar Segurança para o Banco de Dados SQL do Azure e a Instância Gerenciada do SQL

• Habilitar a autenticação do banco de dados da Microsoft Entra
• Habilitar a auditoria de banco de dados
• Planejar e implementar a máscara dinâmica
• Implementar a Criptografia de Dados Transparente (TDE)
• Recomendar quando usar a Sempre Criptografada do Banco de Dados SQL do Azure

4. Proteger o Azure usando o Microsoft Defender para Nuvem e o Microsoft Sentinel (30-35%)

Implementar e Gerenciar a Aplicação de Políticas de Governança da Nuvem

• Criar, atribuir e interpretar políticas e iniciativas no Azure Policy
• Configurar as configurações de rede do Cofre de Chaves
• Configurar o acesso ao Cofre de Chaves (políticas de acesso ao cofre e RBAC do Azure)
• Gerenciar certificados, segredos e chaves
• Configurar a rotação de chaves
• Realizar backup e recuperação de certificados, segredos e chaves
• Implementar controles de segurança para proteger backups
• Implementar controles de segurança para o gerenciamento de ativos

Gerenciar a Postura de Segurança usando o Microsoft Defender para Nuvem

• Identificar e remediar riscos de segurança usando o Secure Score e o Inventário
• Avaliar a conformidade com estruturas de segurança
• Gerenciar normas de conformidade
• Adicionar normas personalizadas
• Conectar ambientes de nuvem híbrida e multicloud (AWS, GCP)
• Implementar e usar o Microsoft Defender External Attack Surface Management

Configurar e Gerenciar a Proteção contra Ameaças usando o Microsoft Defender para Nuvem

• Habilitar serviços de proteção de carga de trabalho
• Configurar o Microsoft Defender para Servidores, Bancos de Dados e Armazenamento
• Implementar e gerenciar a análise sem agente para VMs
• Implementar e gerenciar o Microsoft Defender Vulnerability Management
• Conectar e configurar o Defender para Segurança DevOps da Nuvem (GitHub, Azure DevOps, GitLab)

Configurar e Gerenciar Soluções de Monitoramento e Automação de Segurança

• Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem
• Configurar a automação de fluxo de trabalho
• Monitorar eventos de segurança de rede e dados de desempenho usando DCRs no Azure Monitor
• Configurar conectores de dados no Microsoft Sentinel
• Habilitar regras analíticas no Microsoft Sentinel
• Configurar a automação no Microsoft Sentinel

Principais Recursos de Estudo

Caminhos de Aprendizagem Oficiais da Microsoft

• Gerenciar identidade e acesso
• Implementar a proteção da plataforma
• Proteger dados e aplicativos
• Gerenciar as operações de segurança

Documentação de Segurança

• Segurança da identidade da Microsoft Entra
• Segurança de rede do Azure
• Segurança de Armazenamento do Azure
• Microsoft Defender para Nuvem
• Microsoft Sentinel
• Azure Policy

Recursos de Prática

• Avaliação Prática Gratuita no Microsoft Learn
• Laboratórios do Azure Security Center
• Laboratório de treinamento do Microsoft Sentinel
• Laboratórios práticos de segurança do Azure

Detalhes do Exame

• Pontuação de Aprovação: 700
• Formato das Questões: Múltipla escolha, estudos de caso, arrastar e soltar
• Duração do Exame: 120 minutos (150 minutos para falantes não nativos de inglês)
• Idiomas Disponíveis: Diversos idiomas, incluindo inglês, japonês, chinês, coreano, alemão, francês, espanhol, português
• Custo do Exame: $165 USD (varia por região)

Conceitos Importantes de Segurança

Modelo de Confiança Zero

• Verificar explicitamente
• Acesso com privilégios mínimos
• Supor violação
• Microsegmentação
• Identidade como perímetro de segurança

Defesa em Profundidade

• Segurança física
• Identidade e acesso
• Segurança de perímetro
• Segurança de rede
• Camada de computação
• Camada de aplicativo
• Camada de dados

Segurança de Identidade

• Gerenciamento de Identidade Privilegiada (PIM)
• Acesso Condicional
• Proteção de Identidade
• Revisões de Acesso
• Gerenciamento de Direitos

Segurança de Rede

• Segmentação de rede
• Implementação de DMZ
• Pontos de Extremidade de Serviço vs. Pontos de Extremidade Privados
• Grupos de Segurança de Rede
• Grupos de Segurança de Aplicativos

Proteção de Dados

• Criptografia em repouso
• Criptografia em trânsito
• Gerenciamento de chaves
• Classificação de dados
• Prevenção de perda de dados

Principais Serviços de Segurança do Azure

Microsoft Entra ID (anteriormente Azure AD)

• Métodos de autenticação
• Políticas de Acesso Condicional
• Proteção de Identidade
• Gerenciamento de Identidade Privilegiada
• Gerenciamento de aplicativos

Azure Firewall

• Filtragem de FQDN
• Regras de rede
• Regras de aplicativo
• Inteligência contra ameaças
• Gerenciador de Firewall

Microsoft Defender para Nuvem

• Secure Score
• Conformidade regulatória
• Proteção de carga de trabalho
• Gerenciamento de Postura de Segurança na Nuvem (CSPM)
• Plataforma de Proteção de Carga de Trabalho na Nuvem (CWPP)

Microsoft Sentinel

• Conectores de dados
• Regras analíticas
• Playbooks (Logic Apps)
• Pastas de Trabalho
• Caça a ameaças

Azure Key Vault

• Gerenciamento de segredos
• Gerenciamento de chaves
• Gerenciamento de certificados
• Chaves com backup de HSM
• RBAC vs. políticas de acesso ao cofre

Melhores Práticas de Segurança

Gerenciamento de Identidade

• Habilitar MFA para todos os usuários
• Usar PIM para funções privilegiadas
• Revisões de acesso regulares
• Implementar Acesso Condicional
• Usar identidades gerenciadas

Segurança de Rede

• Implementar a topologia hub-spoke
• Usar NSGs no nível de sub-rede
• Habilitar a proteção contra DDoS
• Implementar WAF para aplicativos web
• Usar Pontos de Extremidade Privados

Segurança de Dados

• Habilitar a criptografia por padrão
• Usar chaves gerenciadas pelo cliente
• Implementar a classificação de dados
• Backup regular e teste de restauração
• Habilitar a exclusão reversível

Monitoramento e Resposta

• Habilitar o registro de diagnóstico
• Configurar alertas de segurança
• Automatizar a resposta a incidentes
• Avaliações de segurança regulares
• Atividades de caça a ameaças

Caminho de Certificação

• Pré-requisitos: Recomendado Fundamentos do Azure (AZ-900)
• Renovação: Necessária a cada 12 meses por meio do Microsoft Learn
• Certificações Relacionadas:
  • Associado de Administrador do Azure (AZ-104)
  • Especialista em Arquitetura de Soluções do Azure (AZ-305)
  • Analista de Operações de Segurança (SC-200)

Conformidade e Governança

• Azure Policy vs. RBAC
• Painel de conformidade regulatória
• Azure Blueprints
• Bloqueios de recursos
• Grupos de gerenciamento
• Gerenciamento de custos e tags