考试大纲 | Azure AZ-500(最新版)

Jul 31st, 2025 by Anna

■ 考试名称

Azure Security Engineer Associate

■ 版本编号

AZ-500

■ 技能概览

• 保护身份验证和访问控制 (15–20%)
• 安全网络 (20-25%)
• 保护计算、存储和数据库 (20-25%)
• 使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 保护 Azure (30–35%)

■ 保护身份验证和访问控制 (15–20%)

管理身份验证和访问控制的安全控制

管理 Azure 内置角色分配
管理自定义角色,包括 Azure 角色和 Microsoft Entra 角色
实现和管理 Microsoft Entra 权限管理
在 Microsoft Entra Privileged Identity Management 中计划和管理 Azure 资源,包括设置和分配
实现多重身份验证 (MFA) 以访问 Azure 资源
在 Azure 中为云资源实施条件访问策略

管理 Microsoft Entra 应用程序访问

在 Microsoft Entra ID 中管理对企业应用程序的访问权限(包括 OAuth 权限授予)
管理 Microsoft Entra 应用程序注册
配置应用程序注册权限范围
管理应用注册权限同意
管理和使用服务主体
管理托管标识

■ 安全网络 (20-25%)

计划和实现虚拟网络安全性

计划和实现网络安全组 (NSG) 和应用程序安全组 (ASG)
使用 Azure Virtual Network Manager 管理虚拟网络
计划和实现用户定义的路由 (UDR)
计划和实现虚拟网络对等互连或 VPN 网关
计划和实现虚拟 WAN(包括安全虚拟中心)
安全 VPN 连接(包括点到站点和站点到站点)
实现基于 ExpressRoute 的加密
配置 Azure 资源的防火墙设置
使用网络观察程序监视网络安全

计划和实现对 Azure 资源的专用访问的安全性

计划和实现虚拟网络服务终结点
计划和实现专用终结点
计划和实现专用链接服务
计划和实现 Azure 应用服务和 Azure Functions 的网络集成
计划和实现应用服务环境 (ASE) 的网络安全配置
计划和实现 Azure SQL 托管实例的网络安全配置

计划和实现对 Azure 资源的公共访问的安全性

计划和实现应用程序的传输层安全性 (TLS),包括 Azure 应用服务和 API 管理
计划、实现和管理 Azure 防火墙(包括 Azure 防火墙管理器和防火墙策略)
计划和实现 Azure 应用程序网关
计划和实现 Azure Front Door(包括内容分发网络 [CDN])
计划和实现 Web 应用程序防火墙 (WAF)
就何时使用 Azure DDoS 防护标准层提供建议

■ 保护计算、存储和数据库 (20-25%)

计划和实现计算的高级安全性

计划和实现对虚拟机的远程访问,包括 Azure Bastion 和即时 (JIT)
配置 Azure Kubernetes 服务 (AKS) 的网络隔离
保护和监视 AKS
配置 AKS 的身份验证
配置 Azure 容器实例 (ACI) 的安全监视
配置 Azure 容器应用 (ACA) 的安全监视
管理对 Azure 容器注册表 (ACR) 的访问权限
配置磁盘加密,包括 Azure 磁盘加密 (ADE)、主机加密和机密磁盘加密
就 Azure API 管理安全配置提供建议

计划和实现存储安全性

配置存储帐户的访问控制
管理存储帐户访问密钥
选择并配置访问 Azure 文件存储的适当方法
选择并配置访问 Azure Blob 存储的适当方法
选择并配置防范数据安全威胁的适当方法(包括软删除、备份、版本控制以及不可变存储)
配置创建自己的密钥 (BYOK)
在 Azure 存储基础结构级别启用双重加密

计划和实现 Azure SQL 数据库及 Azure SQL 托管实例的安全性

启用 Microsoft Entra 数据库身份验证
启用数据库审核
计划和实现动态掩码
实现透明数据加密 (TDE)
就何时使用 Azure SQL 数据库 Always Encrypted 提供建议

■ 使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 保护 Azure (30–35%)

实施和管理云治理策略的强制措施

在 Azure Policy 中创建、分配和解释策略和计划
配置 Azure Key Vault 网络设置
配置对 Key Vault 的访问权限(包括保管库访问策略和 Azure 基于角色的访问控制)
管理证书、机密和密钥
配置密钥轮换
执行证书、机密和密钥的备份和恢复
实施安全控制以保护备份
实现资产管理的安全控制

使用 Microsoft Defender for Cloud 管理安全状况

使用 Microsoft Defender for Cloud 安全分数和清单识别和修正安全风险
通过使用 Microsoft Defender for Cloud 对安全框架进行合规性评估
管理 Microsoft Defender for Cloud 中的合规性标准
将自定义标准添加到 Microsoft Defender for Cloud
将混合云和多云环境连接到 Microsoft Defender for Cloud,包括 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP)
实现和使用 Microsoft Defender 外部攻击面管理 (EASM)

使用 Microsoft Defender for Cloud 配置和管理威胁防护

在 Microsoft Defender for Cloud 中启用工作负载保护服务
配置 Microsoft Defender for Servers、Microsoft Defender for Databases 以及 Microsoft Defender for Storage
在 Microsoft Defender for Servers 中实现与管理虚拟机的无代理扫描
为 Azure 虚拟机实现和进行 Microsoft Defender 漏洞管理
在 Microsoft Defender for Cloud Devops 安全性(包括 GitHub、Azure DevOps 和 GitLab)中连接和配置设置

配置和管理安全监视和自动化解决方案

在 Microsoft Defender for Cloud 中管理和响应安全警报
使用 Microsoft Defender for Cloud 配置工作流自动化
通过在 Azure Monitor 中配置数据收集规则 (DCR) 来监视网络安全事件和性能数据
在 Microsoft Sentinel 中配置数据连接器
启用 Microsoft Sentinel 中的分析规则
配置 Microsoft Sentinel 中的自动化