נבדק לאחרונה: מאי 2026
בנו את שירותי AWS של בחינת SC-900 עם Terraform פשוט — בלוק אחד בכל פעם, כאשר כל אחד מהם מקושר בחזרה לתחום במבחן. אותו הקוד עובד גם ב-OpenTofu.
עד סוף מעבדה זו תגדירו, באמצעות Terraform רגיל, את קו הבסיס האבטחתי היסודי של SC-900 — קבוצת אבטחה של Microsoft Entra (הפרימיטיב המזהה), Key Vault עם הרשאת RBAC, Microsoft Defender for Cloud Foundational CSPM מופעל בטווח המנוי, וסביבת עבודה של Log Analytics המקבלת את טלמטריית האבטחה. ארבעה בלוקים; משטח האבטחה והזהות המציאותי הקטן ביותר של מיקרוסופט.
השליכו את קטעי הקוד לקובץ main.tf יחיד, הפעילו terraform init, ולאחר מכן terraform apply צעד אחר צעד.
>= 1.5 או OpenTofu >= 1.6.az login) — הזהות המחוברת שלך חייבת להיות בעלת הרשאה ליצירת קבוצות Entra.azuread נדרש (נפרד מ-azurerm). הוא מאמת את הזהות מול Microsoft Entra ID (Microsoft Graph) באמצעות אותה הפעלה של az login.הכל חינם בטווח זה:
הערימה כולה פועלת ללא עלות של כ-0$ לחודש. מעבדת SC-900 היא הזולה ביותר במעבר כולו — המטרה היא שטף רעיוני, לא תשתית יקרה.
SC-900 דורש אינטראקציה עם Microsoft Entra ID — בנפרד מ-Azure RBAC, ספק Terraform נפרד. אנו מקבעים גם את azurerm וגם את azuread. האחרון מנהל משתמשים, קבוצות, רישומי אפליקציות וזהויות שירות ב-Entra; הראשון מנהל מנויים ומשאבים של Azure.
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
}
}
provider "azurerm" {
features {
key_vault {
purge_soft_delete_on_destroy = true
}
}
}
provider "azuread" {}
data "azurerm_client_config" "current" {}
data "azuread_client_config" "current" {}
locals {
tags = {
Project = "certlabpro-sc-900"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-900-rg"
location = "eastus"
tags = local.tags
}Microsoft Entra ID (לשעבר Azure AD) הוא שירות הזהות והגישה שכל מוצר ענן של מיקרוסופט מתחבר אליו. התחום הראשון של SC-900 — תיאור מושגי אבטחה, תאימות וזהות — נשען על Entra ID כבסיס הזהות.
קבוצת אבטחה היא המכל הקאנוני להענקת תפקידי RBAC למשתמשים רבים בבת אחת. הבחינה בודקת את תבנית RBAC מבוסס קבוצה כתשובה הנכונה להרחבת הרשאות על פני מאות משתמשים: הקצה תפקידים לקבוצות, לא ליחידים.
השילוב של security_enabled = true ו-mail_enabled = false יוצר קבוצת אבטחה בלבד (ללא תיבת דואר משותפת). הוספת המשתמש הנוכחי כבעלים מאפשרת לך לנהל חברות דרך פורטל Entra לאחר terraform apply.
resource "azuread_group" "security_admins" {
display_name = "certlabpro-sc-900-security-admins"
description = "Lab security admins group for the SC-900 walkthrough."
security_enabled = true
mail_enabled = false
owners = [
data.azuread_client_config.current.object_id,
]
}SC-900 בוחן את תבנית הפרדת הדאגות: סודות חיים ב-Key Vault; גישה ניתנת לקבוצות Entra (לא למשתמשים); חברות בקבוצה מנוהלת בשכבת הזהות. אנו מגדירים Key Vault עם הרשאת RBAC, ואז מקצים את התפקיד Key Vault Secrets Officer לקבוצת האבטחה משלב 2.
כל מי שמתווסף לקבוצת security-admins יורש את הרשאת ניהול הסודות באופן אוטומטי. השווה למודל מדיניות גישה הישן יותר שבו כל משתמש צוין בנפרד בכספת — תחום ה-SC-900 זיהוי שירותי הזהות הבסיסיים וסוגי הזהות של Microsoft Entra ID מצביע על כך כניגוד RBAC-מודרני-טוב-יותר-ממדיניות.
resource "azurerm_key_vault" "main" {
name = "kv-sc900-${substr(replace(uuid(), "-", ""), 0, 6)}"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
tenant_id = data.azurerm_client_config.current.tenant_id
sku_name = "standard"
enable_rbac_authorization = true
soft_delete_retention_days = 7
tags = local.tags
lifecycle {
ignore_changes = [name] # name uses uuid() — keep the original on subsequent applies
}
}
resource "azurerm_role_assignment" "kv_admin_self" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Administrator"
principal_id = data.azurerm_client_config.current.object_id
}
resource "azurerm_role_assignment" "kv_secrets_group" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Secrets Officer"
principal_id = azuread_group.security_admins.object_id
}שכבת ה-Foundational CSPM של Defender for Cloud היא תמיד חינמית וכוללת את הערכת Microsoft Cloud Security Benchmark — בדיקות אוטומטיות מול בקרות ה-CIS / NIST שמיקרוסופט העבירה ל-Azure. תחום ה-SC-900 תיאור היכולות של פתרונות אבטחה של מיקרוסופט מצביע על כך כעל הפרימיטיב של נראות מצב אבטחה מהיום הראשון.
אנו מפעילים אותו בטווח המנוי ומספקים סביבת עבודה של Log Analytics שבה כל התראות / המלצות אבטחה נוחתות לצורך שאילתות KQL. עם ארבעת הפרימיטיבים במקום (קבוצת Entra, Key Vault עם RBAC, Defender CSPM, Log Analytics), הערימה הבסיסית של SC-900 הושלמה — זהות מבוססת קבוצה ← ניהול סודות ← ניטור מצב אבטחה ← בד ביקורת.
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc900"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_security_center_subscription_pricing" "cspm" {
tier = "Free"
resource_type = "CloudPosture"
}terraform destroy מוחק הכל. קבוצת Entra נמחקת באופן מיידי; יש להסיר כל הקצאת RBAC המפנה אליה (Terraform מטפל בגרף התלות). ל-Key Vault יש מחיקה רכה (soft-delete) של 7 ימים; purge_soft_delete_on_destroy = true בתכונות הספק למעשה מוחק אותה באופן קבוע.
SC-900 מכסה שטחים רבים של אבטחת מיקרוסופט שמעבדה זו נוגעת בהם רק באופן רעיוני — גישה מותנית (מכוסה ב-SC-100), ניהול זהויות פריבילגיות (PIM), הגנת זהויות, מדיניות אכיפה של אימות רב-שלבי, Microsoft Sentinel (מכוסה ב-SC-200), Microsoft Defender XDR (תצוגת האירועים המאוחדת על פני Defender for Identity / Endpoint / Office / Cloud Apps), Microsoft Purview (ניהול נתונים + סיכונים + מנהל תאימות), ניהול סיכוני פנים, eDiscovery, תאימות תקשורת, ומרכז התאימות המלא של Microsoft 365.
אנו נצמדים לפרימיטיבים של קבוצת Entra + Key Vault RBAC + Defender CSPM + Log Analytics מכיוון שהם הבסיס שכל שירות אבטחה מתקדם יותר של מיקרוסופט נבנה עליו. Sentinel קורא מסביבות עבודה של Log Analytics. גישה מותנית משתמשת בקבוצות Entra להקצאת מדיניות. Defender XDR מעשיר התראות Defender for Cloud. PIM מעלה חברות בקבוצות Entra.
לכיסוי שירות-אחר-שירות, עיין במקטעי עיון, מדריך ו-Editorial בדף אישור זה.