Laboratorio práctico — SC-100 Microsoft Cybersecurity Architect

Última revisión: mayo de 2026

Crea los servicios de AWS del examen SC-100 con Terraform puro: bloque a bloque, cada uno vinculado a un dominio del examen. El mismo código funciona en OpenTofu.

Descripción general

Al finalizar este laboratorio, habrá aprovisionado, con Terraform simple, el andamiaje de Confianza Cero SC-100 — un esbozo de política de Acceso Condicional a través del proveedor azuread, Microsoft Defender for Cloud + Sentinel incorporados a un único espacio de trabajo de Log Analytics, una asignación de Azure Policy que aplica 'las cuentas de almacenamiento deben requerir HTTPS' en toda la suscripción, y un Key Vault para la capa de secretos de la arquitectura. Este es el dominio SC-100 Diseñar una estrategia y arquitectura de Confianza Cero en cinco bloques.

Pegue los fragmentos en un único main.tf, ejecute terraform init, luego terraform apply paso a paso.

Requisitos previos

Terraform >= 1.5 o OpenTofu >= 1.6.
Una suscripción de Azure con permisos de Propietario.
Licencia de Microsoft Entra ID P1 o P2 para la política de Acceso Condicional en el Paso 2 (CA requiere Entra ID Premium).
Azure CLI autenticado (az login).
El proveedor de Terraform azuread para la política de Acceso Condicional.
Debe tener permisos de escritura de Acceso Condicional en Entra — típicamente el rol de Administrador de Acceso Condicional o Administrador de Seguridad.

Nota sobre el costo

Microsoft Entra ID P1 (requerido para Acceso Condicional): $6/usuario/mes si no tiene licencia ya. La mayoría de los inquilinos empresariales ya tienen P1; las suscripciones de laboratorio en MSDN individuales pueden no tenerlo — verifique antes de aplicar.
Defender for Cloud CSPM Fundamental, base de Sentinel: gratis a escala de laboratorio.
Log Analytics: 5 GB gratis.
Asignación de Azure Policy: gratis.
Key Vault: centavos por mes.

La licencia de Entra P1 es la importante — sin una licencia de inquilino existente, $6/usuario/mes es un costo real. El CSPM Fundamental y los datos de Sentinel del laboratorio son esencialmente gratis.

Pasos

1.Proveedor, Grupo de Recursos, nomenclatura

Apertura estándar de Azure + el proveedor azuread para Acceso Condicional.

terraform {
  required_version = ">= 1.5"

  required_providers {
    azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
    azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
  }
}

provider "azurerm" {
  features {
    key_vault {
      purge_soft_delete_on_destroy = true
    }
  }
}

provider "azuread" {}

data "azurerm_client_config" "current" {}
data "azurerm_subscription" "current" {}

locals {
  tags = {
    Project   = "certlabpro-sc-100"
    ManagedBy = "terraform"
  }
}

resource "azurerm_resource_group" "main" {
  name     = "certlabpro-sc-100-rg"
  location = "eastus"
  tags     = local.tags
}

2.Crear un esbozo de política de Acceso Condicional (puerta de identidad de Confianza Cero)
Aprovisiona:
- Microsoft Entra ID
Acceso Condicional es la primitiva de identidad de Confianza Cero SC-100: verificar explícitamente — cada solicitud de acceso se evalúa contra el contexto (usuario, dispositivo, ubicación, aplicación, riesgo) antes de ser concedida. Creamos una política en modo de solo informe que dice "para todos los usuarios que acceden a todas las aplicaciones en la nube, requerir MFA". Solo informe significa que la política registra lo que sucedería si se aplicara — el camino recomendado por SC-100 antes de cambiar una política de CA a habilitada.

Las arquitecturas reales de Confianza Cero apilan muchas políticas de CA — basadas en riesgo, basadas en ubicación, basadas en cumplimiento de dispositivos, control de sesión. Este esbozo es la forma; el dominio Diseñar una estrategia para asegurar el acceso privilegiado de SC-100 prueba la composición de políticas en capas.
```
resource "azuread_conditional_access_policy" "require_mfa_report" {
  display_name = "certlabpro-sc-100-require-mfa-report-only"
  state        = "enabledForReportingButNotEnforced"

  conditions {
    client_app_types = ["all"]

    users {
      included_users = ["All"]
    }

    applications {
      included_applications = ["All"]
    }
  }

  grant_controls {
    operator          = "OR"
    built_in_controls = ["mfa"]
  }
}
```
3.Incorporar Defender for Cloud CSPM Fundamental + Microsoft Sentinel
Aprovisiona:
- Microsoft Defender for Cloud
- Microsoft Sentinel
SC-100 Evaluar estrategias técnicas de Gobernanza, Riesgo y Cumplimiento (GRC) prueba el doble propósito de estos dos servicios: Defender for Cloud es la capa de postura (evaluación continua de cumplimiento, recomendaciones de seguridad); Sentinel es la capa de detección (búsqueda KQL, respuesta a incidentes). Juntos son la respuesta de Microsoft a "¿cómo diseño la observabilidad de seguridad para un entorno de Confianza Cero?".

Incorporamos ambos a un único espacio de trabajo de Log Analytics — la arquitectura de referencia SC-100 para la eficiencia de costos (los datos se almacenan una vez, ambos servicios leen del mismo almacén).
```
resource "azurerm_log_analytics_workspace" "main" {
  name                = "log-sc100"
  resource_group_name = azurerm_resource_group.main.name
  location            = azurerm_resource_group.main.location
  sku                 = "PerGB2018"
  retention_in_days   = 30

  tags = local.tags
}

resource "azurerm_security_center_subscription_pricing" "cspm" {
  tier          = "Free" # Foundational CSPM
  resource_type = "CloudPosture"
}

resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
  workspace_id = azurerm_log_analytics_workspace.main.id
}
```
4.Asignar una Azure Policy que aplique 'el almacenamiento requiere HTTPS' a nivel de suscripción
Aprovisiona:
- Azure Policy
Azure Policy es la primitiva de SC-100 Diseñar una estrategia para la gobernanza y el cumplimiento — aplica reglas en cada recurso dentro de un ámbito. Asignamos la política incorporada Secure transfer to storage accounts should be enabled a nivel de suscripción con effect = Deny, lo que impide la creación de cualquier nueva cuenta de almacenamiento que permita HTTP. El examen prueba esta distinción entre DenyAssignment y Audit: Deny evita que ocurra la mala configuración; Audit solo la señala después del hecho.

El principio de Confianza Cero que esto aplica es cifrar en tránsito por defecto — uno de los temas recurrentes del examen SC-100. Las implementaciones reales de Confianza Cero usan Iniciativas de política (grupos de políticas) para aplicar docenas de controles a la vez; esta es la forma más pequeña y demostrable.
```
# Look up the built-in policy definition by name.
data "azurerm_policy_definition" "storage_https" {
  display_name = "Secure transfer to storage accounts should be enabled"
}

resource "azurerm_subscription_policy_assignment" "storage_https" {
  name                 = "certlabpro-sc-100-storage-https"
  display_name         = "Storage accounts must require HTTPS"
  description          = "Enforces secure transfer (HTTPS-only) on all storage accounts in the subscription."
  policy_definition_id = data.azurerm_policy_definition.storage_https.id
  subscription_id      = data.azurerm_subscription.current.id

  # The built-in policy defaults to Audit; force Deny for Zero Trust enforcement.
  parameters = jsonencode({
    effect = {
      value = "Deny"
    }
  })
}
```
5.Aprovisionar un Key Vault como la capa de secretos de la arquitectura
Aprovisiona:
- Azure Key Vault
Las arquitecturas de Confianza Cero centralizan los secretos en un almacén reforzado — solo RBAC, sin atajos de clave de administrador, eliminación suave + protección de purga activada. Aprovisionamos el almacén con la protección de purga desactivada para facilitar la limpieza del laboratorio; en producción, cada almacén recomendado por SC-100 tiene purge_protection_enabled = true para cumplir con los requisitos de cumplimiento estándar de 'eliminación irrecuperable requerida'.

Con los cinco bloques en su lugar (Acceso Condicional para identidad, Defender + Sentinel para postura y detección, Azure Policy para barandillas, Key Vault para secretos), el andamiaje de Confianza Cero SC-100 está formado. Cada patrón arquitectónico adicional de SC-100 (Privileged Identity Management para elevación Just-In-Time, Microsoft Purview para clasificación de datos, Defender XDR para protección unificada contra amenazas) se superpone a esta base.
```
resource "azurerm_key_vault" "main" {
  name                       = "kv-sc100-${substr(replace(uuid(), "-", ""), 0, 6)}"
  resource_group_name        = azurerm_resource_group.main.name
  location                   = azurerm_resource_group.main.location
  tenant_id                  = data.azurerm_client_config.current.tenant_id
  sku_name                   = "standard"
  enable_rbac_authorization  = true
  soft_delete_retention_days = 7
  purge_protection_enabled   = false # set true in production for compliance

  tags = local.tags

  lifecycle {
    ignore_changes = [name]
  }
}

resource "azurerm_role_assignment" "kv_admin_self" {
  scope                = azurerm_key_vault.main.id
  role_definition_name = "Key Vault Administrator"
  principal_id         = data.azurerm_client_config.current.object_id
}
```

Limpieza

terraform destroy elimina todo. Notas:

La política de Acceso Condicional está en modo de solo informe, por lo que nunca bloqueó a ningún usuario — la eliminación es segura.
La asignación de Azure Policy deja de aplicarse inmediatamente al ser eliminada; las cuentas de almacenamiento existentes creadas durante el laboratorio conservan su configuración https_traffic_only_enabled (la política aplica la creación; no reconfigura los recursos existentes).
Key Vault tiene eliminación suave de 7 días; purge_soft_delete_on_destroy = true en el proveedor realmente purga.

Lo que no cubre este laboratorio

SC-100 cubre una superficie arquitectónica enorme que este laboratorio no puede abarcar — Privileged Identity Management (PIM), Microsoft Entra Identity Protection, la superficie completa de integración de Microsoft Defender XDR, Microsoft Purview (gestión de datos + riesgo + cumplimiento + Riesgo Interno + eDiscovery + Protección de la Información / DLP), el centro de cumplimiento de Microsoft 365, iniciativas de Azure Policy (grupos de políticas, la respuesta de producción SC-100), el nivel de pago CSPM-Plus de Defender for Cloud (consultas de gráficos de activos, escaneo sin agente, análisis de rutas de ataque), Azure Lighthouse para la gestión multi-inquilino, y toda la experiencia multi-nube de Defender for Cloud (conectores de AWS / GCP).

Nos ceñimos a las primitivas de Acceso Condicional + Defender + Sentinel + Azure Policy + Key Vault porque son el sustrato sobre el cual se construyen todas las arquitecturas SC-100 más avanzadas. PIM eleva las membresías de grupos de Entra sobre las que Acceso Condicional establece condiciones. Defender XDR enriquece las alertas de Defender for Cloud. Purview clasifica los datos que residen en cuentas de almacenamiento protegidas por Key Vault. Las iniciativas de política agrupan los controles que ha definido aquí en paquetes de cumplimiento.

Para cobertura servicio por servicio, consulte las secciones Buscar, Manual y Editorial de esta página de certificación.

← Volver al centro de SC-100

Descripción general

Pegue los fragmentos en un único main.tf, ejecute terraform init, luego terraform apply paso a paso.

Requisitos previos

Terraform >= 1.5 o OpenTofu >= 1.6.
Una suscripción de Azure con permisos de Propietario.
Licencia de Microsoft Entra ID P1 o P2 para la política de Acceso Condicional en el Paso 2 (CA requiere Entra ID Premium).
Azure CLI autenticado (az login).
El proveedor de Terraform azuread para la política de Acceso Condicional.
Debe tener permisos de escritura de Acceso Condicional en Entra — típicamente el rol de Administrador de Acceso Condicional o Administrador de Seguridad.

Nota sobre el costo

Microsoft Entra ID P1 (requerido para Acceso Condicional): $6/usuario/mes si no tiene licencia ya. La mayoría de los inquilinos empresariales ya tienen P1; las suscripciones de laboratorio en MSDN individuales pueden no tenerlo — verifique antes de aplicar.
Defender for Cloud CSPM Fundamental, base de Sentinel: gratis a escala de laboratorio.
Log Analytics: 5 GB gratis.
Asignación de Azure Policy: gratis.
Key Vault: centavos por mes.

Pasos

1.Proveedor, Grupo de Recursos, nomenclatura

Apertura estándar de Azure + el proveedor azuread para Acceso Condicional.

terraform {
  required_version = ">= 1.5"

  required_providers {
    azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
    azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
  }
}

provider "azurerm" {
  features {
    key_vault {
      purge_soft_delete_on_destroy = true
    }
  }
}

provider "azuread" {}

data "azurerm_client_config" "current" {}
data "azurerm_subscription" "current" {}

locals {
  tags = {
    Project   = "certlabpro-sc-100"
    ManagedBy = "terraform"
  }
}

resource "azurerm_resource_group" "main" {
  name     = "certlabpro-sc-100-rg"
  location = "eastus"
  tags     = local.tags
}

2.Crear un esbozo de política de Acceso Condicional (puerta de identidad de Confianza Cero)

Aprovisiona:

Microsoft Entra ID

Acceso Condicional es la primitiva de identidad de Confianza Cero SC-100: verificar explícitamente — cada solicitud de acceso se evalúa contra el contexto (usuario, dispositivo, ubicación, aplicación, riesgo) antes de ser concedida. Creamos una política en modo de solo informe que dice "para todos los usuarios que acceden a todas las aplicaciones en la nube, requerir MFA". Solo informe significa que la política registra lo que sucedería si se aplicara — el camino recomendado por SC-100 antes de cambiar una política de CA a habilitada.

Las arquitecturas reales de Confianza Cero apilan muchas políticas de CA — basadas en riesgo, basadas en ubicación, basadas en cumplimiento de dispositivos, control de sesión. Este esbozo es la forma; el dominio Diseñar una estrategia para asegurar el acceso privilegiado de SC-100 prueba la composición de políticas en capas.

resource "azuread_conditional_access_policy" "require_mfa_report" {
  display_name = "certlabpro-sc-100-require-mfa-report-only"
  state        = "enabledForReportingButNotEnforced"

  conditions {
    client_app_types = ["all"]

    users {
      included_users = ["All"]
    }

    applications {
      included_applications = ["All"]
    }
  }

  grant_controls {
    operator          = "OR"
    built_in_controls = ["mfa"]
  }
}

3.Incorporar Defender for Cloud CSPM Fundamental + Microsoft Sentinel

Aprovisiona:

Microsoft Defender for Cloud
Microsoft Sentinel

SC-100 Evaluar estrategias técnicas de Gobernanza, Riesgo y Cumplimiento (GRC) prueba el doble propósito de estos dos servicios: Defender for Cloud es la capa de postura (evaluación continua de cumplimiento, recomendaciones de seguridad); Sentinel es la capa de detección (búsqueda KQL, respuesta a incidentes). Juntos son la respuesta de Microsoft a "¿cómo diseño la observabilidad de seguridad para un entorno de Confianza Cero?".

Incorporamos ambos a un único espacio de trabajo de Log Analytics — la arquitectura de referencia SC-100 para la eficiencia de costos (los datos se almacenan una vez, ambos servicios leen del mismo almacén).

resource "azurerm_log_analytics_workspace" "main" {
  name                = "log-sc100"
  resource_group_name = azurerm_resource_group.main.name
  location            = azurerm_resource_group.main.location
  sku                 = "PerGB2018"
  retention_in_days   = 30

  tags = local.tags
}

resource "azurerm_security_center_subscription_pricing" "cspm" {
  tier          = "Free" # Foundational CSPM
  resource_type = "CloudPosture"
}

resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
  workspace_id = azurerm_log_analytics_workspace.main.id
}

4.Asignar una Azure Policy que aplique 'el almacenamiento requiere HTTPS' a nivel de suscripción

Aprovisiona:

Azure Policy

Azure Policy es la primitiva de SC-100 Diseñar una estrategia para la gobernanza y el cumplimiento — aplica reglas en cada recurso dentro de un ámbito. Asignamos la política incorporada Secure transfer to storage accounts should be enabled a nivel de suscripción con effect = Deny, lo que impide la creación de cualquier nueva cuenta de almacenamiento que permita HTTP. El examen prueba esta distinción entre DenyAssignment y Audit: Deny evita que ocurra la mala configuración; Audit solo la señala después del hecho.

El principio de Confianza Cero que esto aplica es cifrar en tránsito por defecto — uno de los temas recurrentes del examen SC-100. Las implementaciones reales de Confianza Cero usan Iniciativas de política (grupos de políticas) para aplicar docenas de controles a la vez; esta es la forma más pequeña y demostrable.

# Look up the built-in policy definition by name.
data "azurerm_policy_definition" "storage_https" {
  display_name = "Secure transfer to storage accounts should be enabled"
}

resource "azurerm_subscription_policy_assignment" "storage_https" {
  name                 = "certlabpro-sc-100-storage-https"
  display_name         = "Storage accounts must require HTTPS"
  description          = "Enforces secure transfer (HTTPS-only) on all storage accounts in the subscription."
  policy_definition_id = data.azurerm_policy_definition.storage_https.id
  subscription_id      = data.azurerm_subscription.current.id

  # The built-in policy defaults to Audit; force Deny for Zero Trust enforcement.
  parameters = jsonencode({
    effect = {
      value = "Deny"
    }
  })
}

5.Aprovisionar un Key Vault como la capa de secretos de la arquitectura

Aprovisiona:

Azure Key Vault

Las arquitecturas de Confianza Cero centralizan los secretos en un almacén reforzado — solo RBAC, sin atajos de clave de administrador, eliminación suave + protección de purga activada. Aprovisionamos el almacén con la protección de purga desactivada para facilitar la limpieza del laboratorio; en producción, cada almacén recomendado por SC-100 tiene purge_protection_enabled = true para cumplir con los requisitos de cumplimiento estándar de 'eliminación irrecuperable requerida'.

Con los cinco bloques en su lugar (Acceso Condicional para identidad, Defender + Sentinel para postura y detección, Azure Policy para barandillas, Key Vault para secretos), el andamiaje de Confianza Cero SC-100 está formado. Cada patrón arquitectónico adicional de SC-100 (Privileged Identity Management para elevación Just-In-Time, Microsoft Purview para clasificación de datos, Defender XDR para protección unificada contra amenazas) se superpone a esta base.

resource "azurerm_key_vault" "main" {
  name                       = "kv-sc100-${substr(replace(uuid(), "-", ""), 0, 6)}"
  resource_group_name        = azurerm_resource_group.main.name
  location                   = azurerm_resource_group.main.location
  tenant_id                  = data.azurerm_client_config.current.tenant_id
  sku_name                   = "standard"
  enable_rbac_authorization  = true
  soft_delete_retention_days = 7
  purge_protection_enabled   = false # set true in production for compliance

  tags = local.tags

  lifecycle {
    ignore_changes = [name]
  }
}

resource "azurerm_role_assignment" "kv_admin_self" {
  scope                = azurerm_key_vault.main.id
  role_definition_name = "Key Vault Administrator"
  principal_id         = data.azurerm_client_config.current.object_id
}

Limpieza

terraform destroy elimina todo. Notas:

La política de Acceso Condicional está en modo de solo informe, por lo que nunca bloqueó a ningún usuario — la eliminación es segura.
La asignación de Azure Policy deja de aplicarse inmediatamente al ser eliminada; las cuentas de almacenamiento existentes creadas durante el laboratorio conservan su configuración https_traffic_only_enabled (la política aplica la creación; no reconfigura los recursos existentes).
Key Vault tiene eliminación suave de 7 días; purge_soft_delete_on_destroy = true en el proveedor realmente purga.

Lo que no cubre este laboratorio

Para cobertura servicio por servicio, consulte las secciones Buscar, Manual y Editorial de esta página de certificación.

Laboratorio práctico — SC-100 Microsoft Cybersecurity Architect

Descripción general

Requisitos previos

💰Nota sobre el costo

Pasos

Limpieza

Lo que no cubre este laboratorio

Laboratorio práctico — SC-100 Microsoft Cybersecurity Architect

Descripción general

Requisitos previos

💰Nota sobre el costo

Pasos

Limpieza

Lo que no cubre este laboratorio

Nota sobre el costo

Nota sobre el costo