Microsoft SC-900 за 30 минут: введение в основы безопасности и соответствия
SC-900 — самый простой сертификат Microsoft по безопасности. Кому он действительно нужен, кому следует пропустить его в пользу SC-200 или AZ-500, и что вы получите за $99.
SC-900 — Microsoft Certified: Security, Compliance, and Identity Fundamentals — является самым простым из сертификатов Microsoft по безопасности, и это одновременно его главное преимущество и ограничение. Он стоит $99, к нему можно подготовиться примерно за 10 часов, если вы хоть как-то работали с Microsoft 365 или Azure, а вопросы являются концептуальными: дайте определение, сопоставьте, определите, какой продукт Microsoft решает какую проблему.
Если вы технический специалист по безопасности, вы, вероятно, можете перестать читать и вместо этого пройти SC-200 или AZ-500. SC-900 не для вас. Он предназначен для аудиторов, аналитиков по соответствию, инженеров по продажам, менеджеров проектов и менеджеров по работе с клиентами, которым необходимо компетентно говорить о стеке безопасности Microsoft, не являясь при этом теми, кто его внедряет.
Что на самом деле на экзамене
Текущая программа SC-900 охватывает четыре области:
- Концепции безопасности, соответствия и идентификации (~10–15%): основы — многоуровневая защита (defense in depth), общая ответственность (shared responsibility), Zero Trust, шифрование в состоянии покоя (at rest) vs при передаче (in transit), общие фреймворки соответствия (GDPR, HIPAA, ISO 27001 на уровне узнаваемости).
- Возможности Microsoft Entra (~25–30%): Entra ID (переименованный Azure AD), методы аутентификации, MFA, условный доступ (Conditional Access), управление идентификацией (identity governance), внешние удостоверения (External Identities), PIM на уровне словарного запаса.
- Решения Microsoft для безопасности (~25–30%): Defender for Cloud, Defender for Endpoint, Defender for Office 365, Defender for Identity, Sentinel — что делает каждый из них, а не как его настраивать. Плюс защита от DDoS-атак Azure (Azure DDoS protection), Azure Firewall, NSG и Key Vault как материал на уровне функций.
- Решения Microsoft для соответствия (~25–30%): Purview (общее название для инструментов соответствия с 2022 года), Information Protection, Data Loss Prevention, Insider Risk Management, eDiscovery, Compliance Manager, Service Trust Portal.
Экзамен состоит из 40–60 вопросов, длится 60 минут, включает вопросы с множественным выбором и множественным ответом. Никаких кейс-стади, лабораторий, заданий на перетаскивание. Проходной балл — 700 из 1000. Онлайн через Pearson VUE OnVUE или очно — на ваш выбор.
Рекомендованная розничная цена $99 USD (региональное ценообразование снижает ее до ~$50 на некоторых рынках). Срок действия — 1 год, с бесплатным продлением через онлайн-оценку из 25 вопросов. Процесс продления сертификатов на уровне fundamentals от Microsoft действительно прост.
Для кого предназначен SC-900
Три категории аудитории, для которых сертификат окупается:
Нетехнические роли в смежных с безопасностью областях. GRC-аналитики, сотрудники по вопросам соответствия, внутренние аудиторы и специалисты по закупкам, которым необходимо проверять заявления поставщиков о безопасности. SC-900 дает вам словарный запас, чтобы читать отчеты о безопасности Microsoft 365 и понимать, являются ли описанные меры контроля реальными или маркетинговыми.
Предпродажные и клиентские команды у партнеров Microsoft. Это самая большая категория. Статус Microsoft Solutions Partner требует наличия сертифицированных сотрудников, и SC-900 учитывается при достижении минимальных требований партнерского уровня. Инженеры по продажам, которые могут ответить на вопрос "в чем разница между Defender for Endpoint и Defender for Cloud Apps?", заключают больше сделок, чем те, кто отделывается общими фразами.
Специалисты, меняющие карьеру, использующие его как отправную точку. Если вы переходите в IT или безопасность из несвязанной области, SC-900 — это простой способ продемонстрировать серьезность своих намерений, не тратя $165 на экзамен по ролевой специализации, к которому вы еще не готовы. Соедините его с AZ-900 за $198, и у вас будет солидный сигнал из двух сертификатов: "Я новичок, но не турист".
Кому следует его пропустить
Если вы уже являетесь инженером по безопасности, SOC-аналитиком, администратором идентификации или облачным инженером с обязанностями по безопасности — пропустите SC-900. Содержание экзамена — это первая глава ролевых экзаменов. Вы ничего не узнаете, потратите $99, а SC-900 в резюме старшего специалиста по безопасности будет выглядеть как "наполнитель".
Для технических направлений альтернативы:
- Направление SOC-аналитика: SC-200 (Security Operations Analyst Associate), $165, практическая работа с Sentinel и Defender.
- Направление инженера по облачной безопасности: AZ-500 (Azure Security Engineer Associate), $165, интенсивная настройка по всему Azure.
- Направление администратора идентификации: SC-300 (Identity and Access Administrator Associate), $165, глубокое погружение в Entra ID.
- Направление архитектора безопасности: SC-100 (Cybersecurity Architect Expert), $165, требует одного из вышеперечисленных в качестве предварительного условия.
Экзамены по ролевой специализации охватывают все, что входит в SC-900, плюс фактическую реализацию. Пропустить основы, если у вас есть опыт для ролевых экзаменов, — это не срезание пути, а правильное решение.
Время на подготовку, реалистичные цифры
| Фон | Часы | Календарь |
|---|---|---|
| Ежедневная работа с безопасностью M365 / Azure | 5–8 | Один уик-энд |
| IT-специалист широкого профиля, случайный опыт с Microsoft | 10–15 | 1–2 недели |
| Абсолютный новичок в облаке Microsoft | 20–30 | 3–4 недели |
| Смена карьеры, без IT-опыта | 40–60 | 6–8 недель |
Официальный курс SC-900 на Microsoft Learn бесплатен и актуален — это единственный ресурс, который нужен большинству кандидатов. На YouTube-канале Джона Сэвилла есть экспресс-курс по SC-900, который полезен для тех, кто лучше воспринимает информацию на слух. Пропустите платные курсы Udemy, если они не стоят менее $15 — официальное содержание достаточно исчерпывающее.
Самым большим камнем преткновения является наименование продуктов. Microsoft переименовала половину своих продуктов безопасности в период с 2020 по 2024 год. Azure AD стал Entra ID. Microsoft Cloud App Security стал Defender for Cloud Apps. Инструменты соответствия были объединены под Purview. Экзамен проверяет знание текущих названий, но многие старые учебные материалы используют старые названия. Если вы читаете руководство по SC-900 от 2022 года, сверьте каждое название продукта с learn.microsoft.com перед экзаменом.
Влияние на зарплату
Его нет. SC-900 не влияет на зарплату напрямую. Это сертификат по словарному запасу, а не по навыкам. levels.fyi не имеет колонки для него. BLS не отслеживает его. Что он может сделать:
- Помочь пройти HR-фильтр для начальной позиции в области безопасности или соответствия, где в объявлении указано "предпочтителен сертификат Microsoft".
- Усилить резюме инженера по продажам у партнера, где учетные данные Microsoft напрямую влияют на уровни комиссионных.
- Служить ступенькой к SC-200 или AZ-500, где сигнал о зарплате реален (Аналитики информационной безопасности, BLS OEWS май 2024: медиана около $124k, 90-й процентиль около $182k — но это для ролевого пути, а не для SC-900).
Если ваша цель — повышение зарплаты, один SC-900 этого не обеспечит. Если ваша цель — разумно участвовать в разговорах о безопасности Microsoft, он абсолютно поможет.
Стоит ли его сдавать?
Сдавайте SC-900, если:
- Вы занимаете нетехническую должность, которой необходимо компетентно говорить о безопасности Microsoft.
- Вы работаете у партнера Microsoft, и сертификат влияет на партнерский уровень или структуру комиссионных.
- Вы совсем новичок в IT/безопасности и хотите получить стартовый сертификат за $99, прежде чем выбрать путь, основанный на ролевой специализации.
Пропустите SC-900, если:
- Вы уже достаточно технически подкованы для SC-200, AZ-500 или SC-300 — начните с них.
- Вы не работаете в компаниях, использующих Microsoft, или не продаете им продукты. Сертификат специфичен для поставщика и ничего не значит в организации, использующей AWS или Google Cloud.
- Вы гонитесь за зарплатой. SC-900 ее не обеспечит.
Если SC-900 подходит вам, просмотрите практические вопросы по SC-900 на CertLabPro или начните пробный экзамен. Экзамен в значительной степени основан на сопоставлении продукта с проблемой — отработка на реалистичных заданиях является самым быстрым способом закрепить номенклатуру Microsoft, которая на самом деле сбивает с толку большинство людей.