अंतिम समीक्षा: मई 2026
साधारण Terraform के साथ SC-100 परीक्षा के AWS संसाधनों को बनाएं — एक समय में एक ब्लॉक, प्रत्येक परीक्षा डोमेन से जुड़ा हुआ। यही कोड OpenTofu पर भी काम करता है।
इस लैब के अंत तक, आप सादे टेराफ़ॉर्म के साथ, SC-100 ज़ीरो ट्रस्ट स्केफ़ोल्डिंग प्रदान कर चुके होंगे — azuread प्रदाता के माध्यम से एक कंडीशनल एक्सेस पॉलिसी स्टब, Microsoft Defender for Cloud + Sentinel को एक सिंगल लॉग एनालिटिक्स वर्कस्पेस पर ऑनबोर्ड किया गया होगा, एक Azure Policy असाइनमेंट जो पूरे सब्सक्रिप्शन में 'स्टोरेज खातों को HTTPS की आवश्यकता होनी चाहिए' को लागू करता है, और आर्किटेक्चर की सीक्रेट्स लेयर के लिए एक की वॉल्ट। यह SC-100 का ज़ीरो ट्रस्ट रणनीति और आर्किटेक्चर डिज़ाइन करें डोमेन पांच खंडों में है।
स्निपेट्स को एक सिंगल main.tf में डालें, terraform init चलाएं, फिर terraform apply को स्टेप-बाय-स्टेप चलाएं।
>= 1.5 या ओपनटोफू >= 1.6।az login)।azuread टेराफ़ॉर्म प्रदाता।एंट्रा P1 लाइसेंस सबसे बड़ा है — मौजूदा किरायेदार लाइसेंस के बिना, $6/उपयोगकर्ता/माह वास्तविक है। फ़ाउंडेशनल CSPM और लैब सेंटिनल डेटा अनिवार्य रूप से मुफ्त हैं।
मानक Azure ओपनर + कंडीशनल एक्सेस के लिए azuread प्रदाता।
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
}
}
provider "azurerm" {
features {
key_vault {
purge_soft_delete_on_destroy = true
}
}
}
provider "azuread" {}
data "azurerm_client_config" "current" {}
data "azurerm_subscription" "current" {}
locals {
tags = {
Project = "certlabpro-sc-100"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-100-rg"
location = "eastus"
tags = local.tags
}कंडीशनल एक्सेस SC-100 ज़ीरो ट्रस्ट आइडेंटिटी प्रिमिटिव है: स्पष्ट रूप से सत्यापित करें — प्रत्येक एक्सेस अनुरोध को दिए जाने से पहले संदर्भ (उपयोगकर्ता, डिवाइस, स्थान, ऐप, जोखिम) के विरुद्ध मूल्यांकन किया जाता है। हम रिपोर्ट-ओनली मोड में एक पॉलिसी बनाते हैं जो कहती है कि "सभी क्लाउड ऐप्स तक पहुंचने वाले सभी उपयोगकर्ताओं के लिए, MFA की आवश्यकता है"। रिपोर्ट-ओनली का मतलब है कि पॉलिसी लॉग करती है कि यदि लागू किया जाता तो क्या होता — एक CA पॉलिसी को सक्षम करने से पहले SC-100-अनुशंसित पथ।
वास्तविक ज़ीरो ट्रस्ट आर्किटेक्चर कई CA पॉलिसियों को ढेर करते हैं — जोखिम-आधारित, स्थान-आधारित, डिवाइस-अनुपालन-आधारित, सत्र-नियंत्रण। यह स्टब आकार है; SC-100 का विशेषाधिकार प्राप्त पहुंच को सुरक्षित करने के लिए एक रणनीति डिज़ाइन करें डोमेन स्तरित-पॉलिसी संरचना का परीक्षण करता है।
resource "azuread_conditional_access_policy" "require_mfa_report" {
display_name = "certlabpro-sc-100-require-mfa-report-only"
state = "enabledForReportingButNotEnforced"
conditions {
client_app_types = ["all"]
users {
included_users = ["All"]
}
applications {
included_applications = ["All"]
}
}
grant_controls {
operator = "OR"
built_in_controls = ["mfa"]
}
}SC-100 गवर्नेंस, जोखिम, और अनुपालन (GRC) तकनीकी रणनीतियों का मूल्यांकन करें इन दो सेवाओं के दोहरे उद्देश्य का परीक्षण करता है: Defender for Cloud पोस्चर लेयर है (निरंतर अनुपालन मूल्यांकन, सुरक्षा सिफारिशें); Sentinel डिटेक्शन लेयर है (KQL हंटिंग, घटना प्रतिक्रिया)। साथ में वे Microsoft का उत्तर हैं कि "मैं ज़ीरो ट्रस्ट वातावरण के लिए सुरक्षा अवलोकनशीलता का आर्किटेक्चर कैसे करूं?"।
हम दोनों को एक सिंगल लॉग एनालिटिक्स वर्कस्पेस पर ऑनबोर्ड करते हैं — लागत दक्षता के लिए SC-100 संदर्भ आर्किटेक्चर (डेटा एक बार आता है, दोनों सेवाएं एक ही स्टोर से पढ़ती हैं)।
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc100"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_security_center_subscription_pricing" "cspm" {
tier = "Free" # Foundational CSPM
resource_type = "CloudPosture"
}
resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
workspace_id = azurerm_log_analytics_workspace.main.id
}Azure पॉलिसी SC-100 गवर्नेंस और अनुपालन के लिए एक रणनीति डिज़ाइन करें प्रिमिटिव है — यह एक स्कोप में प्रत्येक संसाधन पर नियमों को लागू करती है। हम effect = Deny के साथ सब्सक्रिप्शन स्कोप पर अंतर्निहित पॉलिसी Secure transfer to storage accounts should be enabled असाइन करते हैं, जो किसी भी नए स्टोरेज अकाउंट के निर्माण को रोकता है जो HTTP की अनुमति देता है। परीक्षा DenyAssignment बनाम ऑडिट के इस अंतर का परीक्षण करती है: Deny गलत कॉन्फ़िग को होने से रोकता है; ऑडिट केवल घटना के बाद ही इसे फ़्लैग करता है।
यह जो ज़ीरो ट्रस्ट सिद्धांत लागू करता है वह है डिफ़ॉल्ट रूप से ट्रांज़िट में एन्क्रिप्ट करें — SC-100 परीक्षा के आवर्ती विषयों में से एक। वास्तविक ज़ीरो ट्रस्ट डिप्लॉयमेंट एक साथ दर्जनों नियंत्रणों को लागू करने के लिए पॉलिसी इनिशिएटिव्स (पॉलिसी के समूह) का उपयोग करते हैं; यह सबसे छोटा प्रदर्शन योग्य आकार है।
# Look up the built-in policy definition by name.
data "azurerm_policy_definition" "storage_https" {
display_name = "Secure transfer to storage accounts should be enabled"
}
resource "azurerm_subscription_policy_assignment" "storage_https" {
name = "certlabpro-sc-100-storage-https"
display_name = "Storage accounts must require HTTPS"
description = "Enforces secure transfer (HTTPS-only) on all storage accounts in the subscription."
policy_definition_id = data.azurerm_policy_definition.storage_https.id
subscription_id = data.azurerm_subscription.current.id
# The built-in policy defaults to Audit; force Deny for Zero Trust enforcement.
parameters = jsonencode({
effect = {
value = "Deny"
}
})
}ज़ीरो ट्रस्ट आर्किटेक्चर सीक्रेट्स को एक सख्त वॉल्ट में केंद्रीकृत करते हैं — केवल RBAC, कोई एडमिन-की शॉर्टकट नहीं, सॉफ्ट-डिलीट + पर्ज प्रोटेक्शन ऑन। हम लैब क्लीनअप सुविधा के लिए पर्ज प्रोटेक्शन बंद करके वॉल्ट का प्रावधान करते हैं; उत्पादन में प्रत्येक SC-100-अनुशंसित वॉल्ट में 'अपुनर्प्राप्य विलोपन आवश्यक' अनुपालन आवश्यकताओं को पूरा करने के लिए purge_protection_enabled = true होता है।
पांच ब्लॉक (पहचान के लिए कंडीशनल एक्सेस, पोस्चर और डिटेक्शन के लिए डिफेंडर + सेंटिनल, गार्डरेल्स के लिए Azure पॉलिसी, सीक्रेट्स के लिए की वॉल्ट) के साथ, SC-100 ज़ीरो ट्रस्ट स्केफ़ोल्डिंग का आकार बनता है। प्रत्येक अतिरिक्त SC-100 आर्किटेक्चरल पैटर्न (जस्ट-इन-टाइम एलिवेशन के लिए प्रिविलेज्ड आइडेंटिटी मैनेजमेंट, डेटा वर्गीकरण के लिए Microsoft Purview, एकीकृत खतरे की सुरक्षा के लिए डिफेंडर XDR) इस आधार पर परतें बनाते हैं।
resource "azurerm_key_vault" "main" {
name = "kv-sc100-${substr(replace(uuid(), "-", ""), 0, 6)}"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
tenant_id = data.azurerm_client_config.current.tenant_id
sku_name = "standard"
enable_rbac_authorization = true
soft_delete_retention_days = 7
purge_protection_enabled = false # set true in production for compliance
tags = local.tags
lifecycle {
ignore_changes = [name]
}
}
resource "azurerm_role_assignment" "kv_admin_self" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Administrator"
principal_id = data.azurerm_client_config.current.object_id
}terraform destroy सब कुछ हटा देता है। नोट्स:
https_traffic_only_enabled सेटिंग बनाए रखते हैं (पॉलिसी निर्माण को लागू करती है; यह मौजूदा संसाधनों को पुन: कॉन्फ़िगर नहीं करती है)।purge_soft_delete_on_destroy = true वास्तव में हटा देता है।SC-100 एक विशाल आर्किटेक्चरल सतह को कवर करता है जो इस लैब में फिट नहीं हो सकती है — प्रिविलेज्ड आइडेंटिटी मैनेजमेंट (PIM), Microsoft Entra आइडेंटिटी प्रोटेक्शन, Microsoft Defender XDR की पूर्ण एकीकरण सतह, Microsoft Purview (डेटा गवर्नेंस + जोखिम + कंप्लायंस मैनेजर + इनसाइडर रिस्क + eDiscovery + सूचना सुरक्षा / DLP), Microsoft 365 कंप्लायंस सेंटर, Azure पॉलिसी इनिशिएटिव्स (पॉलिसी के समूह, SC-100 उत्पादन उत्तर), Defender for Cloud का CSPM-प्लस सशुल्क टियर (एसेट-ग्राफ क्वेरी, एजेंटलेस स्कैनिंग, अटैक-पाथ विश्लेषण), मल्टी-टेनेंट मैनेजमेंट के लिए Azure Lighthouse, और क्लाउड के लिए संपूर्ण मल्टी-क्लाउड डिफेंडर अनुभव (AWS / GCP कनेक्टर)।
हम कंडीशनल एक्सेस + डिफेंडर + सेंटिनल + Azure पॉलिसी + की वॉल्ट प्रिमिटिव्स पर टिके रहते हैं क्योंकि वे वह सबस्ट्रेट हैं जिस पर हर अधिक उन्नत SC-100 आर्किटेक्चर बनता है। PIM Entra समूह सदस्यता को बढ़ाता है जिन पर कंडीशनल एक्सेस शर्तें लगाता है। Defender XDR Defender for Cloud अलर्ट को समृद्ध करता है। Purview Key-Vault-सुरक्षित स्टोरेज खातों में मौजूद डेटा को वर्गीकृत करता है। पॉलिसी इनिशिएटिव्स आपके द्वारा यहां परिभाषित नियंत्रणों को कंप्लायंस पैकेजों में बंडल करते हैं।
सेवा-दर-सेवा कवरेज के लिए, इस प्रमाणपत्र पृष्ठ के ब्राउज़, मार्गदर्शिका, और Editorial अनुभाग देखें।