CC

ClearCertify

📚 更多学习材料:

📋认证概述 📝速查表 📚复习 ✅练习测试

官方 AZ-500 考试指南

考试格式、领域和准备技巧

AZ-500: Microsoft Azure 安全技术学习指南

考试概览

认证: Microsoft Azure 安全工程师 Associate
考试代码: AZ-500
目标受众: 负责实施、管理和监控 Azure 资源安全的安全工程师
所需经验: Azure 管理方面的实践经验,对 Microsoft Entra ID、计算、网络和存储有深入了解

考试范围 (截止至2025年1月31日)

1. 保护身份和访问 (15-20%)

管理身份和访问的安全控制

管理 Azure 内置角色分配
管理自定义角色 (Azure 角色和 Microsoft Entra 角色)
实施和管理 Microsoft Entra 权限管理
规划和管理 Microsoft Entra 特权身份管理中的 Azure 资源
为 Azure 资源实施多重身份验证 (MFA)
为云资源实施条件访问策略
管理 Microsoft Entra 应用程序访问

管理 Microsoft Entra 应用程序访问

管理对企业应用程序的访问 (包括 OAuth 权限授予)
管理 Microsoft Entra 应用程序注册
配置应用程序注册权限范围
管理应用程序注册权限同意
管理和使用服务主体
管理托管标识

2. 保护网络 (20-25%)

规划并实施虚拟网络安全

规划和实施网络安全组 (NSG) 和应用程序安全组 (ASG)
使用 Azure 虚拟网络管理器管理虚拟网络
规划和实施用户定义路由 (UDR)
规划和实施虚拟网络对等互连或 VPN 网关
规划和实施虚拟 WAN (包括已保护的虚拟中心)
保护 VPN 连接 (点到站点和站点到站点)
在 ExpressRoute 上实施加密
为 Azure 资源配置防火墙设置
使用网络观察程序监控网络安全

规划并实施对 Azure 资源的私有访问

规划和实施虚拟网络服务终结点
规划和实施专用终结点
规划和实施专用链路服务
规划和实施 App Service 和函数的网络集成
App Service 环境 (ASE) 的网络安全配置
Azure SQL 托管实例的网络安全配置

规划并实施对 Azure 资源的公共访问

规划和实施应用程序的 TLS (App Service、API 管理)
规划、实施和管理 Azure 防火墙 (包括防火墙管理器)
规划和实施 Azure 应用程序网关
规划和实施 Azure Front Door (包括 CDN)
规划和实施 Web 应用程序防火墙 (WAF)
建议何时使用 Azure DDoS 防护标准版

3. 保护计算、存储和数据库 (20-25%)

规划并实施计算的高级安全

规划和实施对 VM 的远程访问 (Azure Bastion、JIT)
配置 Azure Kubernetes Service (AKS) 的网络隔离
保护和监控 AKS
配置 AKS 的身份验证
配置 Azure 容器实例的安全监控
配置 Azure 容器应用的安全监控
管理对 Azure 容器注册表的访问
配置磁盘加密 (ADE、主机加密、保密磁盘加密)
建议 Azure API 管理的安全配置

规划并实施存储安全

配置存储帐户的访问控制
管理存储帐户访问密钥
选择和配置对 Azure 文件的访问
选择和配置对 Azure Blob 存储的访问
防范数据安全威胁(软删除、备份、版本控制、不可变存储)
配置 Bring Your Own Key (BYOK)
在 Azure 存储基础设施级别启用双重加密

规划并实施 Azure SQL 数据库和 SQL 托管实例的安全

启用 Microsoft Entra 数据库身份验证
启用数据库审核
规划和实施动态数据屏蔽
实施透明数据加密 (TDE)
建议何时使用 Azure SQL 数据库始终加密

4. 使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 保护 Azure (30-35%)

实施和管理云治理策略执行

在 Azure Policy 中创建、分配和解释策略和计划
配置 Azure Key Vault 网络设置
配置对 Key Vault 的访问 (保管库访问策略和 Azure RBAC)
管理证书、机密和密钥
配置密钥轮换
执行证书、机密和密钥的备份和恢复
实施保护备份的安全控制
实施资产管理的安全控制

使用 Microsoft Defender for Cloud 管理安全态势

使用安全分数和资产清单识别和补救安全风险
评估对安全框架的合规性
管理合规性标准
添加自定义标准
连接混合云和多云环境 (AWS、GCP)
实施和使用 Microsoft Defender 外部攻击面管理

配置和管理 Microsoft Defender for Cloud 的威胁防护

启用工作负载保护服务
配置 Microsoft Defender for Servers、Databases 和 Storage
实施和管理无客户端 VM 扫描
实施和管理 Microsoft Defender 漏洞管理
连接和配置 Defender for Cloud DevOps 安全 (GitHub、Azure DevOps、GitLab)

配置和管理安全监控和自动化解决方案

管理和响应 Microsoft Defender for Cloud 中的安全警报
配置工作流自动化
使用 Azure Monitor 中的 DCR 监控网络安全事件和性能数据
在 Microsoft Sentinel 中配置数据连接器
在 Microsoft Sentinel 中启用分析规则
在 Microsoft Sentinel 中配置自动化

主要学习资源

官方 Microsoft Learn 学习路径

管理身份和访问
实施平台保护
保护数据和应用程序
管理安全操作

安全文档

Microsoft Entra ID 安全
Azure 网络安全
Azure 存储安全
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Policy

实践资源

Microsoft Learn 上的免费实践评估
Azure 安全中心实验室
Microsoft Sentinel 培训实验室
Azure 安全动手实验

考试详情

及格分: 700
题型: 多选择题、案例研究、拖放
考试时长: 120 分钟 (非英语母语考生为 150 分钟)
可用语言: 包括英语、日语、中文、韩语、德语、法语、西班牙语、葡萄牙语在内的多种语言
考试费用: 165 美元 (因地区而异)

关键安全概念

零信任模型

显式验证
最小权限访问
假设存在违规
微分段
以身份为安全边界

纵深防御

物理安全
身份和访问
边界安全
网络安全
计算层
应用层
数据层

身份安全

特权身份管理 (PIM)
条件访问
身份保护
访问评审
权利管理

网络安全

网络分段
DMZ 实现
服务终结点与专用终结点
网络安全组
应用程序安全组

数据保护

静态加密
传输中加密
密钥管理
数据分类
数据丢失防护

重要的 Azure 安全服务

Microsoft Entra ID (原 Azure AD)

身份验证方法
条件访问策略
身份保护
特权身份管理
应用程序管理

Azure 防火墙

FQDN 过滤
网络规则
应用程序规则
威胁情报
防火墙管理器

Microsoft Defender for Cloud

安全分数
法规合规性
工作负载保护
云安全态势管理 (CSPM)
云工作负载保护平台 (CWPP)

Microsoft Sentinel

数据连接器
分析规则
Playbooks (Logic Apps)
工作簿
威胁狩猎

Azure Key Vault

机密管理
密钥管理
证书管理
基于 HSM 的密钥
RBAC 与保管库访问策略

安全最佳实践

身份管理

为所有用户启用 MFA
使用 PIM 管理特权角色
定期访问评审
实施条件访问
使用托管标识

网络安全

实施中心-辐射拓扑
在子网级别使用 NSG
启用 DDoS 防护
为 Web 应用实施 WAF
使用专用终结点

数据安全

默认启用加密
使用客户管理的密钥
实施数据分类
定期备份并测试恢复
启用软删除

监控和响应

启用诊断日志记录
配置安全警报
自动化事件响应
定期进行安全评估
开展威胁狩猎活动

认证路径

先决条件: 建议获得 Azure 基础 (AZ-900)
续订: 需要通过 Microsoft Learn 每 12 个月续订
相关认证:
- Azure 管理员 Associate (AZ-104)
- Azure 解决方案架构师 Expert (AZ-305)
- 安全运营分析师 (SC-200)

合规性和治理

Azure Policy vs RBAC
法规合规性仪表板
Azure 蓝图
资源锁
管理组
成本管理和标记