Kurs
digicode: SC500
Implement End‑to‑End Security Controls for Cloud and AI Workloads – Intensive Training (SC-500)
SC-500
Kurs-Facts
Als PDF herunterladen- Stärken der Identitätssicherheit durch die Durchsetzung einer mehrstufigen, passwortlosen Authentifizierung sowie durch Privileged Identity Management (PIM) zur Beseitigung von Dauerzugriffen
- Einführen einer mehrschichtigen Verteidigungsstrategie für alle Cloud-Ressourcen, einschliesslich Key Vault, Speicher und SQL-Datenbanken, um Daten zu schützen und Geheimnisse zu verwalten
- Durchsetzen von Governance und Compliance mithilfe von Richtlinien und Ressourcensperren, um nicht konforme Bereitstellungen in hybriden Umgebungen zu verhindern
- Implementieren mehrschichtiger Netzwerkkontrollen durch Segmentierung von Workloads und Ersatz von VPNs durch Zero-Trust-Zugriff auf Anwendungsebene
- Sichern von KI-Workloads durch die Bekämpfung spezifischer Angriffsflächen mit dediziertem Identitätsmanagement und Echtzeit-Laufzeitschutz
- Absichern der Infrastruktur durch Anwendung von Sicherheitsbaselines auf virtuelle Maschinen und Container unter Verwendung von Verschlüsselung und Schwachstellenscans
- Aufrechterhalten einer umfassenden Sicherheitslage über Microsoft Defender for Cloud, um einheitliche Transparenz und effektive Risikobehebung zu gewährleisten
- Aufbauen automatisierter Reaktionsarchitekturen durch die Zentralisierung von Daten in Microsoft Sentinel und die Nutzung von Security Copilot für das Incident Management
1 Sicherer Zugriff auf Ressourcen mit Microsoft Entra
Die Kontrolle darüber, wer unter welchen Bedingungen auf welche Ressourcen zugreifen darf, ist eine der wichtigsten Aufgaben im Bereich der Cloud-Sicherheit. Eine falsch konfigurierte Authentifizierungsrichtlinie, ein Konto mit übermässigen Berechtigungen, das nicht überprüft wird, oder ein unzureichend gesicherter KI-Agent können jeweils zu dem Einfallstor werden, das ein Angreifer benötigt, um dich lateral durch deine Umgebung zu bewegen.
In diesem Modul erwibrst du die Fähigkeiten, diese Lücken zu schliessen. Du beginnst mit dem Entwerfen und Bereitstellen einer sicheren Authentifizierung in Microsoft Entra ID, einschliesslich der Konfiguration der Multi-Faktor-Authentifizierung. Als Nächstes konfigurierst du Richtlinien für den bedingten Zugriff, passwortlose Optionen und die Selbstbedienungs-Passwortzurücksetzung für hybride Umgebungen. Anschliessend widmest du dich dem privilegierten Zugriff, wo du mithilfe von Privileged Identity Management (PIM) Just-in-Time-Zugriff für Microsoft Entra-Rollen und Azure-Ressourcen implementierst. Just-in-Time-Zugriff eliminiert permanente Berechtigungen, die unnötige Risiken verursachen. Schliesslich wendest du diese Identitäts- und Zugriffsprinzipien auf eine moderne Herausforderung an: die Sicherung von KI-gestützten Anwendungen und deklarativen Agenten, die API-Plugins verwenden, um im Namen der Benutzer zu handeln.
Am Ende dieses Moduls verfügst du über einen praktischen, mehrschichtigen Ansatz für die Zugriffssicherheit, der die Absicherung von Anmeldeinformationen, die Governance des privilegierten Zugriffs und das identitätsbewusste Design von KI-Anwendungen umfasst.
2 Sichern der Azure Key Vault mit einer mehrschichtigen Verteidigungsstrategie für Cloud- und KI-Workloads
Implementiere eine mehrschichtige Sicherheitsstrategie für Azure Key Vault. In diesem Modul wendest du eine sicherheitsoptimierte Vault-Konfiguration an, setzt den Prinzip des geringsten Privilegs mit Just-in-Time-Aktivierung durch, verwaltest den gesamten Lebenszyklus von Schlüsseln, Geheimnissen und Zertifikaten und nutzt Microsoft Defender for Cloud, um offengelegte Anmeldedaten und böswillige Zugriffsmuster zu erkennen, die auf deine Vaults abzielen.
3 Durchsetzen von Sicherheits-Governance und Einhaltung gesetzlicher Vorschriften
Setze Sicherheits-Governance und die Einhaltung gesetzlicher Vorschriften in allen Azure-Umgebungen durch. Konfiguriere Azure Policy und Ressourcensperren, um nicht konforme Bereitstellungen zu blockieren. Verwalte anschliessend Sicherheitsstandards und setze Empfehlungen in Defender for Cloud um, bewerte den Stand der Einhaltung gesetzlicher Vorschriften, steuere RBAC-Rollenzuweisungen in grossem Massstab, schütze Backup-Daten vor Ransomware und Löschung und integriere Sicherheitskontrollen in Bicep-Pipelines, bevor Ressourcen in die Produktion gelangen.
4 Implementieren von Sicherheit für Azure Storage für den Cloud- und KI-Sicherheitsingenieur
Implementiere eine mehrschichtige Sicherheitsstrategie für Azure Storage. In diesem Modul härtest du Speicherkonten gegen gängige Angriffsvektoren ab und steuerst den Zugriff mit verwalteten Identitäten von Microsoft Entra ID und gespeicherten Zugriffsrichtlinien. Anschliessend konfigurierst du Netzwerkperimeterkontrollen mithilfe von Firewall-Regeln und privaten Endpunkten und aktivierst Microsoft Defender for Storage, um Bedrohungen wie böswillige Datei-Uploads und kompromittierte Anmeldeinformationen von KI-Agenten zu erkennen.
5 Implementieren von Sicherheitsmassnahmen für Azure SQL-Datenbanken
Implementiere durchgängige Sicherheitsmassnahmen für Azure SQL Database und SQL Managed Instance. Konfiguriere die Entra ID-Authentifizierung mit verwaltetem Identitätszugriff, stelle private Endpunkte bereit und wende Verschlüsselung und Zugriffskontrollen an, um sensible Finanzdaten zu schützen. Richte konforme Prüfpfade ein und aktiviere Microsoft Defender for Databases, um SQL-Injection, anomale Zugriffe und Sicherheitslücken zu erkennen.
6 Implementieren von Netzwerksicherheitskontrollen in Azure
Implementiere mehrschichtige Netzwerksicherheitskontrollen in Azure. Segmentiere Workloads und erzwinge den Zugriff mit minimalen Berechtigungen mithilfe von NSGs, ASGs und Azure Virtual Network Manager. Überwache und steuere den Datenverkehr zentral mit Azure Firewall. Sichere Remote- und Hybridverbindungen und ersetze den breiten VPN-Zugriff durch Zero-Trust-Zugriff auf Anwendungsebene mithilfe von Microsoft Entra Private Access. Verhindere die öffentliche Exposition von PaaS- und KI-Diensten durch private Endpunkte und Azure Private Link.
7 Implementieren von Sicherheit für KI
KI-Workloads führen neue Angriffsflächen über Identitäts-, Daten- und Laufzeitschichten hinweg ein, die von herkömmlichen Sicherheitskontrollen nicht vollständig abgedeckt werden. In diesem Modul implementierst du mehrschichtige KI-Sicherheitskontrollen über die gesamte Microsoft-Sicherheitsplattform hinweg.
Zunächst ermittelst und bewertest du KI-Datenrisiken mithilfe von Microsoft Purview Data Security Posture Management (DSPM). Anschliessend sicherst du die Identitäten der Agenten mithilfe von Microsoft Entra Agent ID und Conditional Access und analysierst den Identitäts-Blast-Radius sowie Angriffspfade für KI in Microsoft Defender XDR. Danach konfigurierst du den Echtzeit-Laufzeitschutz für Copilot Studio-Agenten mithilfe von Microsoft Defender for Cloud Apps und sicherst den Datenverkehr von KI-Modellen mithilfe von AI Gateway in Microsoft Foundry. Schliesslich konfigurierst du Schutzmassnahmen in Microsoft Foundry, schützt KI-Workloads mit Microsoft Defender for Cloud und verwaltest bereitgestellte Agenten mit Microsoft Agent 365.
8 Implementieren von Sicherheitsmassnahmen für Server und virtuelle Maschinen
Implementiere mehrschichtige Sicherheitskontrollen für virtuelle Azure-Maschinen und Arc-fähige Hybrid-Server. Konfiguriere Optionen zur Festplattenverschlüsselung, einschliesslich der Verschlüsselung auf dem Host mit vom Kunden verwalteten Schlüsseln und der vertraulichen Festplattenverschlüsselung. Aktiviere die Sicherheitsfunktionen von Trusted Launch – Secure Boot, vTPM und Integritätsüberwachung –, um dich vor Bedrohungen auf Boot-Ebene zu schützen. Beseitige die öffentliche RDP- und SSH-Exposition mit Azure Bastion. Erweitere die Azure-Sicherheits-Governance mithilfe von Azure Arc auf lokale und Multi-Cloud-Server. Stelle Microsoft Defender for Servers für Schwachstellenscans, Endpunkt-Erkennung, agentenloses Scannen von Maschinen und Dateiintegritätsüberwachung bereit. Erzwinge Just-in-Time-Zugriff auf VMs, um dauerhaft offene Verwaltungsports zu beseitigen. Wende Azure Machine Configuration an, um Betriebssystem-Sicherheitsbaselines in deiner gesamten Serverinfrastruktur zu prüfen und durchzusetzen.
9 Sichere Azure-Anwendungsplattformdienste für den Cloud- und KI-Sicherheitsingenieur
Implementiere Sicherheitskontrollen über alle Azure-Anwendungsplattformdienste hinweg – von Container-Workloads bis zur API-Ebene. Konfiguriere Microsoft Defender for Containers, um Risiken in AKS und ACR zu erkennen, AKS-Sicherheitsbaselines durchzusetzen sowie Container-Registries und Laufzeitumgebungen zu härten. Wende anschliessend Authentifizierungs-, Netzwerkzugriffs- und Richtlinienkontrollen auf Azure Function Apps, Logic Apps, App Services, Web Application Firewall und Azure API Management an.
10 Verwalten der Sicherheitslage mit Microsoft Defender for Cloud
Erfahre, wie du mit Microsoft Defender for Cloud eine starke Sicherheitslage in deiner gesamten Hybrid- und Multi-Cloud-Umgebung aufbaust und aufrechterhältst. Zunächst verbindest du lokale, AWS- und GCP-Umgebungen, um einen einheitlichen Überblick zu schaffen. Anschliessend identifizierst und priorisierst du Sicherheitsrisiken mithilfe von Cloud Security Posture Management (CSPM) – einschliesslich Secure Score, Angriffspfadanalyse und Cloud Security Explorer. Du erweiterst diese Sicherheitsübersicht von aussen nach innen mit Microsoft Defender External Attack Surface Management (EASM), um unbekannte, mit dem Internet verbundene Ressourcen zu erkennen und ausnutzbare Schwachstellen aufzudecken. Du bewertest die Compliance-Situation deines Unternehmens anhand regulatorischer Rahmenbedingungen und erstellst auditfähige Berichte. Schliesslich aktivierst du Cloud Workload Protection Platform (CWPP)-Pläne, um Server, Speicher, Datenbanken und KI-Workloads vor aktiven Bedrohungen zu schützen. Konfiguriere anschliessend Microsoft Defender Vulnerability Management, um Schwachstellen auf Azure-VMs zu scannen und zu beheben.
11 Implementierung der Aktivitäts- und Ereigniserfassung in Microsoft Sentinel
Erstelle eine umfassende Architektur für die Ereigniserfassung und -reaktion in Microsoft Sentinel. In diesem Modul richtest du einen Microsoft-Sentinel-Arbeitsbereich ein und sicherst ihn, stellst Content-Hub-Lösungen bereit und verbindest Azure-Ressourcendaten. Anschliessend erfasst du Linux- und Windows-Sicherheitsereignisse mithilfe von Datenerfassungsregeln und implementierst automatisierte Reaktionsworkflows mit Logic Apps-Playbooks. Im letzten Schritt verwaltest du die Datenaufbewahrung und den Zugriff auf Auditprotokolle, um Compliance-Anforderungen zu erfüllen.
12 Microsoft Security Copilot bereitstellen und betreiben
In diesem abschliessenden Modul schaffst du eine funktionierende Grundlage mit Microsoft Security Copilot und gehst zu einer unternehmensweiten Bereitstellung und dem täglichen Betrieb über. Zunächst befasst du sich mit den Kernkonzepten, der Verarbeitung von Eingaben in natürlicher Sprache durch Security Copilot, den Elementen einer effektiven Eingabeaufforderung und den Schritten zur Aktivierung der Lösung für deine Organisation. Anschliessend planst und konfigurierst du Arbeitsbereiche mit den richtigen Security Compute Units, Einstellungen zur Datenresidenz und Rollenzuweisungen, um die Anforderungen an die Unternehmenssegmentierung zu erfüllen. Schliesslich regelst du den Zugriff auf Plugins und verwaltest den gesamten Lebenszyklus sowohl von Microsoft- als auch von Partner-Agents, um einen reibungslosen und sicheren Betrieb deiner Bereitstellung zu gewährleisten.
Als Kandidat für diesen Kurs bist du ein Sicherheitsingenieur, der die Systeme und Daten von Unternehmen in Cloud- und Hybridumgebungen schützt, indem er umfassende Sicherheitskontrollen implementiert, die unbefugten Zugriff verhindern und Risiken proaktiv mindern. Diese Rolle erstreckt sich über mehrere Sicherheitsbereiche, darunter Identitäts-, Netzwerk-, Anwendungs-, Daten- und Rechenumgebungen. Ausserdem stellst du sicher, dass die von KI-Workloads genutzten Plattformen, Daten, Identitäten und Infrastrukturen sicher implementiert und überwacht werden. Du arbeitest eng mit Architekten, Administratoren, Ingenieuren, Analysten und Entwicklern zusammen, die für Azure, Microsoft 365, Identität und Zugriff, Informationsschutz, Sicherheitsoperationen, DevOps, Anwendungsentwicklung, Datenbankplattformen und Netzwerke verantwortlich sind. Du solltest über praktische Erfahrung in der Administration von Microsoft Azure und hybriden Umgebungen verfügen, einschliesslich Rechenleistung, Netzwerk und Speicher. Du solltest mit Microsoft Entra ID bestens vertraut sein und über Kenntnisse in der Microsoft 365-Administration verfügen. Zu deinen Aufgaben in dieser Rolle gehören:
- Sichern des Zugriffs auf Ressourcen mithilfe von Microsoft Entra ID und Azure Key Vault
- Durchsetzen von Sicherheits- und Compliance-Vorgaben
- Sichern von Speicher, Datenbanken und Netzwerken
- Sichern von Rechenressourcen
- Sichern von KI-Lösungen
- Verwalten und Überwachen der Sicherheitslage
- Vertrautheit mit den Konzepten von Microsoft Entra ID, einschliesslich Benutzern, Gruppen und Verzeichnisrollen
- Verständnis der rollenbasierten Zugriffssteuerung (RBAC) in Azure, einschliesslich Rollenzuweisungen und der Azure-Gültigkeitsbereichshierarchie (Verwaltungsgruppe, Abonnement, Ressourcengruppe, Ressource)
- Grundlegende Erfahrung in der Navigation im Azure-Portal und im Microsoft Entra Admin Center
- Vertrautheit mit Zero-Trust-Sicherheitsprinzipien, einschliesslich des Prinzips der geringsten Berechtigungen und der Annahme einer Sicherheitsverletzung
- Kenntnis der Lizenzanforderungen für Microsoft Entra ID P2 oder Microsoft Entra ID Governance
Dieses Intensive Training bereitet dich vor auf:
- Prüfung: «SC-500: Implementing End-to-End Security Controls for Cloud and AI Workloads» für die
- Zertifizierung: «Microsoft Certified: Cloud and AI Security Engineer Associate (beta)»