课程描述 

本课程向IT安全专业人员提供实施安全控制，维护组织的安全状况以及识别和修复安全漏洞所需的知识和技能。本课程包括身份和存取的安全性、平台保护、数据和应用程序以及安全性操作。 

目标受众 

本课程适用于计划参加相关的认证考试或在日常工作中执行安全任务的Azure Security Engineer。对于希望专门为基于 Azure 的数字平台提供安全性并在保护组织数据中起不可或缺作用的工程师，本课程也将有所帮助。 

先决条件 

为了充分利用本课程，学生应该： 

了解最佳安全做法和行业安全要求，例如深度防御、最低特权访问、基于角色的访问控

制、多重身份验证、共同责任和零信任模型。 

熟悉安全协议，例如虚拟专用网 (VPN)、Internet 安全协议 (IPSec)、安全套接字层 (SSL)、

磁盘和数据加密方法。 

具备一定的 Azure 工作负载部署经验。本课程不涉及Azure管理的基础知识，而是通过添

加特定于安全性的信息来基于该知识构建课程内容。 

具有 Windows 和 Linux 操作系统以及脚本语言的经验。本课程将使用 PowerShell 和 CLI。 

课程目标收益 

完成本课程后，学生将能够： 

实施企业治理策略，包括基于角色的访问控制、Azure策略和资源锁定。 

实施Azure AD基础结构，包括用户、组和多因素身份验证。 

实施Azure AD身份保护，包括风险策略、条件存取和存取审核。 

实施Azure AD特权身份管理，包括Azure AD角色和Azure资源。 

实施Azure AD Connect，包括身份验证方法和本地目录同步。 

实施周边安全策略，包括Azure防火墙。 

实施网络安全策略，包括网络安全组和应用程序安全组。 

实施主机安全策略，包括端点保护、远程存取管理、更新管理和磁盘加密。 

实施容器安全策略，包括Azure容器实例、Azure容器注册表和Azure Kubernetes。 

实现 Azure 密钥保管库，包括证书、密钥和机密。 

实施应用程序安全策略，包括应用程序注册、托管身份和服务端点。 

实施存储安全策略，包括共享存取签名、blob保留策略和Azure Files身份验证。 

实施数据库安全策略，包括身份验证、数据分类、动态数据屏蔽和始终加密。 

实施Azure Monitor，包括连接的源、日志分析和警报。 

实施Azure安全中心，包括策略、建议和及时的虚拟机存取。 

实施Azure Sentinel，包括工作簿、事件和剧本。 

课程大纲 

学习路径 1：管理标识和访问 

模块 1：使用 Azure Active Directory 保护 Azure 解决方案 

配置 Azure AD 和 Azure AD 域服务的安全性 

创建用户和群组，使你的租户得到安全使用 

使用 MFA 保护用户的标识 

配置无密码安全选项 

模块 2：实现混合标识 

部署 Azure AD Connect 

根据你的安全需求选择并配置最佳身份验证选项 

配置密码写回服务 

模块 3：部署 Azure AD 标识保护 

部署和配置标识保护 

为用户、组和应用程序配置 MFA 

创建条件访问策略以确保安全 

创建并遵循访问评审过程 

模块 4：配置 Azure AD Privileged Identity Management 

介绍零信任及其对安全性的影响 

使用 Privileged Identity Management (PIM) 配置和部署角色 

评估每项 PIM 设置的作用，因为它与安全目标相关 

模块 5：设计企业治理策略 

说明共担责任模型及其对安全配置的影响 

创建 Azure 策略以保护解决方案 

使用 RBAC 配置和部署对服务的访问权限 

学习路径 2：实现平台保护 

模块 1：实现外围安全性 

定义深层防御 

保护环境免受拒绝服务攻击 

使用防火墙和 VPN 保护解决方案 

根据安全状况了解端到端边界安全配置 

模块 2：配置网络安全 

部署和配置网络安全组以保护 Azure 解决方案 

配置和锁定服务终结点与专用链接 

使用应用程序网关、Web 应用防火墙和 Front Door 保护应用程序 

配置 ExpressRoute 以帮助保护网络流量 

模块 3：配置和管理主机安全性 

配置和部署 Endpoint Protection 

为设备和特权工作站部署特权访问策略 

保护和访问虚拟机 

部署 Windows Defender 

通过审查和实施安全中心与安全基准来实践分层安全性 

模块 4：实现容器安全性 

定义 Azure 中容器的可用安全工具 

为容器和 Kubernetes 服务配置安全设置 

锁定网络、存储以及连接到容器的标识资源 

部署 RBAC 以控制对容器的访问 

学习路径 3：保护数据和应用程序 

模块 1：部署并保护 Azure Key Vault 

定义什么是密钥保管库以及它如何保护证书和机密 

部署并配置 Azure Key Vault 

保护密钥保管库的访问和管理 

将密钥和机密存储在密钥保管库中 

了解密钥轮换和备份/恢复等密钥安全性注意事项 

模块 2：配置应用程序安全功能 

使用应用注册在 Azure 中注册应用程序 

选择并配置哪些 Azure AD 用户可以访问每个应用程序 

配置和部署 Web 应用证书 

模块 3：实现存储安全性 

定义数据主权以及在 Azure 中实现它的方式 

以安全且受管理的方式配置 Azure 存储访问权限 

加密静态数据和传输中的数据 

应用数据保留规则 

模块 4：配置和管理 SQL 数据库安全 

配置哪些用户和应用程序有权访问 SQL 数据库 

阻止使用防火墙来访问服务器 

对数据的使用进行发现、分类和审核操作 

加密和保护存储在数据库中的数据。 

学习路径 4：管理安全操作 

模块 1：配置和管理 Azure Monitor 

配置和监视 Azure Monitor 

定义要针对 Azure 应用程序跟踪的指标和日志 

连接数据源并配置 Log Analytics 

创建和监视与解决方案安全性关联的警报 

模块 2：启用和管理 Microsoft Defender for Cloud 

定义最常见的网络攻击类型 

根据安全状况配置 Azure 安全中心 

查看安全功能分数并提升该分数 

使用安全中心和 Defender 锁定解决方案 

启用实时访问和其他安全功能 

模块 3：配置和监视 Microsoft Sentinel 

说明什么是 Azure Sentinel 及其使用方式 

部署 Azure Sentinel 

将数据连接到 Azure Sentinel，例如 Azure 日志、Azure AD 等 

使用工作簿、playbook 和搜寻技术跟踪事件