Consulta de Apuntes de Estudio

Questions and Answers

¿Cuál de las siguientes opciones de configuración debe usar cuando configura una solicitud de conexión de portal de Azure para que una aplicación mueva cargas de trabajo desde un centro de datos local a Azure?

• Configuración de VPN de sitio a sitio (correct)
• Configuración de Proxy de aplicación de Microsoft Entra
• Configuración de VPN de punto a sitio
• Configuración de Puerta de enlace de datos local

Se recomienda el uso de grupos de seguridad de red (NSG) para controlar el acceso a recursos en otras redes, ya que son los más eficaces para el acceso a recursos de aplicaciones de funciones en otros recursos de aplicaciones.

False (B)

Se recomienda el uso de la característica de Conexiones Híbridas de Azure Relay para acceder a recursos de aplicaciones en otras redes. También es necesario mencionar que no se deben recomendar los _____ , los puntos finales privados y los puntos finales de servicio para este escenario.

Grupos de seguridad de red (NSG)

Para cumplir con las políticas de seguridad de una empresa, solo se permite el tráfico saliente desde un servidor JumpHost a un servidor de aplicaciones compatible. Un usuario necesita descargar una actualización de seguridad desde un dominio específico, pero está bloqueado. El equipo de seguridad está de acuerdo en habilitar el acceso al dominio solo desde el JumpHost. ¿Qué solución se puede utilizar para permitir que un usuario descargue el archivo?

Azure Firewall

Relacione las diferentes opciones de la característica de Control de aplicaciones adaptativas de Microsoft Defender for Cloud con sus descripciones:

Habilita la posibilidad de crear y aplicar políticas de control de aplicaciones de manera automática = Control de aplicaciones adaptativas Identifica y crea automáticamente políticas de aplicaciones basadas en características de comportamiento y patrones de los servicios y la infraestructura de las aplicaciones. = Aprendizaje automático e inteligencia artificial Proporciona visibilidad de las actividades en tiempo real = Análisis y modelo de aprendizaje automático Permite una intervención manual mucho menor = Manejo de eventos desencadenados Necesita la intervención manual del administrador = Control de aplicaciones tradicional Utiliza algoritmos y técnicas de aprendizaje automático para identificar patrones o anomalías en el uso y la configuración de aplicaciones. = Monitorear y aplicar automáticamente políticas de control de aplicaciones

¿La solución cumple con el objetivo?

False (B)

¿Cumple la solución con el objetivo?

False (B)

¿Qué deberías configurar?

PERMISOS DELEGADOS que requieren el consentimiento del Administrador (A)

¿Cuáles dos acciones podrías realizar?

Marcar la casilla de verificación Agregar su dirección IP de cliente. (D), Cambiar la configuración de la cuenta de almacenamiento a Todas las redes. (E)

¿Qué herramienta debe usar para modificar el libro de jugadas?

Diseñador de aplicaciones lógicas de Azure (C)

¿Qué tres acciones debes realizar en secuencia?

Agregar costcenterTag1 y productnameTag1 a la definición de Iniciativa. (A), Agregar costcenterTag1 y productnameTag1 a la definición de Iniciativa. (D), Crear una definición de Iniciativa. (E), Asignar la definición de Iniciativa a Subscription1. (F)

¿Qué características de seguridad deberías implementar?

Identidad administrada: Protege los recursos de back-end con acceso autenticado. (A), Microsoft Defender for Cloud: Ejecuta automáticamente evaluaciones de seguridad y proporciona recomendaciones de seguridad. (D), Restricciones de acceso: Restringe el acceso a la aplicación web a una lista de direcciones IP. (E)

¿Qué debe hacer?

Crear una nueva política de seguridad. (A)

¿Qué dos acciones debes realizar?

Añadir el permiso Microsoft.Network/*/write a la sección de Acciones. (B)

Flashcards

Solución 1: Grupos de Microsoft Entra

La solución propuesta implica crear grupos de Microsoft Entra para cada aplicación, agregar usuarios a estos grupos y asignarles roles a nivel de grupo de recursos. Esta solución cumple con el objetivo, ya que proporciona una gestión centralizada de permisos.

Solución 2: Grupos de seguridad AD DS

Crear grupos de seguridad en AD DS, agregar usuarios a estos grupos y asignar roles a los grupos a nivel de grupo de recursos. Esta solución también cumple con el objetivo, ya que se basa en la sincronización de estos grupos a Microsoft Entra.

Solución 3: Permisos de usuario a nivel de suscripción

La solución propuesta implica asignar permisos a los usuarios a nivel de suscripción. Esta solución no cumple con el objetivo, ya que los permisos deben gestionarse a nivel de grupo de recursos.

Autenticación Azure Storage con Microsoft Entra

Azure Storage admite el acceso a recursos de almacenamiento de archivos utilizando credenciales de Microsoft Entra. Para autorizar a los usuarios, debe asignar a su cuenta uno de los siguientes roles de control de acceso basado en roles (RBAC).

Automatización de la rotación de claves

Para automatizar la rotación de contraseñas a través de Key Vault, se debe crear una función personalizada que cree una nueva clave en Key Vault y luego actualice la contraseña de SQL. Esta solución cumple con el objetivo.

Puerta de enlace de datos local

Una puerta de enlace de datos local facilita la transferencia de datos entre los datos locales y los servicios en la nube de Microsoft. No es la solución adecuada para permitir que los usuarios se autentiquen en Azure Storage utilizando credenciales de Microsoft Entra.

Microsoft Entra Application Proxy

Microsoft Entra Application Proxy no es adecuado para permitir la autenticación en recursos compartidos de archivos de Azure Storage utilizando credenciales de Microsoft Entra.

Rol Colaborador de recursos compartidos de archivos SMB

Asignar el rol de Colaborador de recursos compartidos de archivos SMB de datos de almacenamiento a los usuarios cumple con el objetivo, ya que Azure Storage admite el acceso a recursos de almacenamiento de archivos utilizando credenciales de Microsoft Entra.

Runbook de PowerShell

Para automatizar la rotación de contraseñas, se debe crear una función personalizada. El uso de un runbook de PowerShell configurado para ejecutarse cada 90 días no cumple con el objetivo, ya que la contraseña debe rotarse tres días antes de la fecha de vencimiento.

Permisos de aplicación

Para permitir que una aplicación móvil acceda a los atributos de usuario dentro del inquilino de Microsoft Entra, se debe configurar Permisos de aplicación. Este ajuste permite que la aplicación acceda a esta información en nombre del usuario.

Configuración del firewall de una cuenta de almacenamiento

Para poder gestionar y acceder a los datos dentro de la cuenta de almacenamiento, se debe permitir el acceso al firewall. Esto implica cambiar la configuración de la cuenta de almacenamiento a Todas las redes o agregar la dirección IP del cliente.

Iniciativa de seguridad de Azure

Una iniciativa de seguridad de Azure es una colección de definiciones o reglas de políticas que se organizan juntas para lograr un objetivo específico. Esto permite una gestión simplificada de las políticas.

Rol personalizado y el principio de menor privilegio

Para resolver el error de creación de VM de User1, es necesario agregar el permiso Microsoft.Network//write a la sección de acciones del rol personalizado Role1. Esto permitirá que User1 cree una LAN virtual (VLAN) y una tarjeta de interfaz de red (NIC).

Registro de cambios de las cuentas de usuario de Microsoft Entra

Para registrar los cambios en las cuentas de usuario de Microsoft Entra durante 180 días, se debe crear un espacio de trabajo de Log Analytics con una retención de 180 días y configurar la exportación de datos para que Microsoft Entra envíe registros de auditoría al espacio de trabajo de Log Analytics.

Restricciones de acceso a Internet para las máquinas virtuales en una red virtual

Para restringir el acceso a Internet para las máquinas virtuales (VM) dentro de una red virtual (VNet), se debe configurar un grupo de seguridad de red (NSG) para la subred que bloquee todo el tráfico saliente, excepto el tráfico saliente a www.mycorp.com.

Política de red para Azure Kubernetes Service (AKS)

Se debe configurar la política de red para AKS01 para que coincida con la configuración actual del grupo de seguridad de red (NSG) para VM01. Esto implica permitir el tráfico TCP 443 desde la red 192.168.1.0/24.

Omisión única para MFA

Una omisión única se puede usar para acceder a una cuenta de usuario que está bloqueada por la autenticación multifactor (MFA) en una situación temporal. Permite la autenticación sin MFA, se aplica un límite de tiempo y permite una sola omisión.

Enmascaramiento dinámico de datos (DDM) para protección de PII

Para resolver el problema de la visualización de valores de tarjeta de crédito, se debe implementar el enmascaramiento dinámico de datos (DDM) con un formato de campo de enmascaramiento personalizado. Este método permite enmascarar solo la parte requerida de la tarjeta de crédito, permitiendo conservar la información crucial.

Configurar un registro de contenedores con restricciones de acceso

Al crear un registro de contenedores de Azure, se debe deshabilitar la cuenta de administrador por defecto. Se debe configurar el acceso a la red utilizando un firewall de ACR para permitir el acceso solo desde la ubicación de San Francisco.

Conexión de red virtual global para IaaS

Se debe usar una conexión de red virtual global para conectar las redes virtuales en diferentes regiones de Azure. Esto permite que las oficinas de Leeds, Londres, París y Nueva York se conecten a los recursos de Azure IaaS.

Criptografía de infraestructura para Azure Storage

El cifrado de infraestructura se debe habilitar durante la creación de una cuenta de almacenamiento. Para solucionar el problema de la auditoría de seguridad, se debe volver a crear todas las cuentas de almacenamiento y habilitar el cifrado de infraestructura durante este proceso.

Microsoft Defender for Cloud en entornos de AWS

Se debe configurar un conector para Microsoft Defender for Cloud en tu entorno de AWS. Esto permitirá que Microsoft Defender for Cloud proteja los servidores existentes y nuevos. Esto minimiza los esfuerzos administrativos.

Configuración del firewall para permitir acceso a una URL específica

Para permitir que el contratista descargue la actualización de seguridad, se debe configurar una regla de firewall que permita el tráfico saliente al dominio update.myapp.com desde JumpHost01.

Autenticación integrada de Active Directory para Azure SQL

Se debe usar la autenticación integrada de Active Directory para conectar SQL Server Management Studio (SSMS) a SQL Server1 y SQLDB1. Esto se logra implementando Microsoft Entra Seamless Single Sign-On (SSO).

Azure Backup y Azure Disk Encryption (ADE)

Azure Backup no admite la recuperación de archivos y carpetas desde discos cifrados con Azure Disk Encryption (ADE). Se debe restaurar toda la máquina virtual para recuperar los archivos.

Asignación de permisos a nivel de grupo de recursos

Se debe asignar el rol de Colaborador de Cuenta de Almacenamiento a nivel de grupo de recursos. Esto permite al equipo de ingeniería acceder a las tablas relevantes de Azure y minimiza el esfuerzo administrativo, minimizando el alcance de los permisos asignados.

Revisiones de acceso de Microsoft Entra

Para crear una revisión de acceso para los usuarios del grupo de marketing, se debe asignar una licencia de Microsoft Entra ID P2 al propietario del grupo. A continuación, se debe configurar la revisión de acceso seleccionando el grupo de marketing, especificando la revisión a todos los usuarios y definiendo la recurrencia.

Configurar la protección contra bots en Azure WAF

Se debe usar el cmdlet Set-AzWebAppFirewallPolicy para configurar la protección contra bots para Azure Web Application Firewall (WAF) utilizando PowerShell. Se debe crear una directiva de WAF y activar la directiva de protección contra bots dentro de ella.

Automatización del flujo de trabajo en Microsoft Defender for Cloud

Para automatizar la investigación y respuesta a amenazas de seguridad específicas bien conocidas, se deben crear flujos de trabajo automatizados en Microsoft Defender for Cloud. Estos flujos de trabajo se pueden configurar para responder a las amenazas conocidas y evitar que se propaguen los ataques.

Microsoft Purview Data Catalog

Se debe recomendar el Catálogo de Datos de Microsoft Purview para mitigar los problemas de cumplimiento y gobernanza. Este servicio permite encontrar fuentes de datos confiables, alinear los datos con activos comerciales y buscar y filtrar fácilmente los datos descubiertos.

Configuración de una revisión de acceso

Para crear una revisión de acceso, se debe asignar una licencia de Microsoft Entra ID P2 al propietario del grupo de marketing. Luego, se debe configurar una revisión de acceso seleccionando el grupo, definiendo el alcance y estableciendo la recurrencia.

Azure Disk Encryption (ADE) en discos ya existentes

Para habilitar Azure Disk Encryption (ADE) en discos de máquinas virtuales (VM) existentes, se debe volver a desplegar cada VM con ADE habilitado. Esta es la única manera de habilitar ADE en discos existentes.

Controles de aplicaciones adaptativos

Se debe configurar una política de control de acceso en Azure para mitigar este problema. Se recomienda utilizar controles de aplicaciones adaptativos. Estos controles usan aprendizaje automático e inteligencia artificial para crear políticas. Esto mitiga el problema con el menor esfuerzo administrativo.

Autenticación de Microsoft Entra en Azure SQL Database

Para habilitar la autenticación de Microsoft Entra en Azure SQL Database, se debe crear un administrador de Microsoft Entra para el servidor Azure SQL. Luego, se debe implementar ADALSQL.DLL en el cliente y crear usuarios de base de datos. Este enfoque permite a los usuarios acceder a la base de datos usando credenciales de Microsoft Entra.

Configuración del firewall para un registro de contenedores

Se debe crear un firewall para el registro de contenedores y restringir el acceso desde la oficina de San Francisco utilizando 192.168.1.0/24. La cuenta de administrador debe permanecer desactivada debido a la implementación de MFA.

Conexión VPN de sitio a sitio para conectar oficinas

Se debe usar una conexión VPN de sitio a sitio para conectar las oficinas en el Reino Unido con las oficinas en Francia y los Estados Unidos. Esta es la solución ideal ya que minimiza el esfuerzo administrativo.

Grupos de Recursos (Grupos de Recursos)

Un grupo de recursos es una colección de recursos de Azure. Cada grupo de recursos puede ser administrado de manera independiente de otros grupos de recursos. Esta es una forma sencilla de manejar los recursos en la nube.

Automatización de la Rotatividad de las Claves

Para automatizar la rotación de las contraseñas, se necesita crear una función personalizada que cree una nueva contraseña en Key Vault y luego actualice la contraseña del servidor SQL. Es importante recalcar que la contraseña antigua debe seguir funcionando temporalmente mientras las aplicaciones se actualizan a la nueva contraseña.

Defender for Cloud en entornos de AWS

Se debe crear un espacio de trabajo para Microsoft Defender for Cloud en AWS y configurar los ajustes necesarios. Esto permitirá que Microsoft Defender for Cloud proteja los servidores existentes y nuevos.

Grupos de Microsoft Entra

Los grupos de Microsoft Entra proporcionan una gestión centralizada de permisos para usuarios en grupos en lugar de usuarios individuales. Al otorgar permisos al grupo a nivel de grupo de recursos, todos los usuarios del grupo heredan los permisos.

Grupos de seguridad AD DS

Los grupos de seguridad de AD DS se sincronizan con Microsoft Entra Connect, lo que permite su uso para asignar permisos en Microsoft Entra. Similar a los grupos de Microsoft Entra, proporcionan gestión centralizada de permisos.

Permisos de usuario a nivel de suscripción

Asignar permisos a nivel de suscripción no es una práctica recomendada. Los permisos deben gestionarse a nivel de grupo de recursos para que cada usuario solo tenga acceso a los recursos que necesita.

Enmascaramiento dinámico de datos (DDM) para la protección de PII

Se debe implementar el enmascaramiento dinámico de datos (DDM) con un formato de campo personalizado para resolver el problema del acceso a valores de tarjeta de crédito. Esto permite enmascarar solo la parte requerida, manteniendo a salvo la información sensible.

Study Notes

No se proporciona texto. Por favor, proporciona el texto o las preguntas para los que necesites apuntes de estudio.