SC-900
Authenticatie
Authorisatie
Identity provider
- Systeem dat identiteiten beheert en verifieert
- Microsoft Entra ID
- on premises AD
Federation
- Vertrouwenrelatie tussen organisaties
- Zoals passpoort
- B2B samenwerking
Microsoft Entra ID
- Identity en access management
- Authenticatie
- Authorisatie
- SSO
Types of identities
- User identities
- Workload identities (apps/services)
- Device identities
Workload identities
- Service principal
- Secrets kunnen lekken (risico)
- Managed Identity
- Microsoft beheert alles automatisch
- Voor Azure resources
Device Identities
- Apparaten die geregistreerd zijn in Microsfot Entra ID
- Microsoft Entra registred
- Microsfot Entra Joinded
Hybrid identity
- Een identity die werkt voor beide omgevingen
- Microsoft Entra Connect
External identities
- B2B (partner bedrijven)
- B2C (consumers)
Authentication methods
- Passwords
- Passwordless (modern & veilig)
- Windows hello
- Fido2 key
- MS authenticatie
- Multifactor Authenticatie (MFA) - extra laag
MFA
- Extra verificatiestap
- Blokkeert 99.9% van automated attacks
- MFA in Entra ID
- Authenticator app
- Windows Hello
- Fido2 keys
- SMS of bellen
SSPR (Self-service password reset)
- Gebruikers zelf hun wachtwoord resetten
- Via reset portal
- Bewijs je identiteit via 2fa (of ander 2 methods)
- Authenticator app
- Mobile phone
- Office phone
- Security questions (Niet admins)
- Email
Microsoft Entra Password protection
- Global banned password list
- Custom banned password list
- Blokeer organisatie specifieke woorden
Conditional Access
- Slimme portier
- Voorbeeld: locatie gebasseerd
Global Secure Access
- Beveiligde toegang tot apps en internet, overal vandaan
- Microsoft Entra Internet Access
- Beveiligt verkeer naar internet en SaaS apps
- Microsoft Entra Private Access
- Veilige toegang tot interne bedrijfapps
- Onderdeel van Microsoft Entra oplossingen
RBAC
- Global admin
- User admin
- Helpdesk
- Global reader
- Billing admin
ID Governacne
- Beheren van identity en access lifecycles
- Recht en rollen herzien
Identity lifecycle
- 3 fases
- Joiner (nieuwe medewerker)
- Mover (rolverandering)
- Leaver (uitdienst)
- Lifecycle workflows
- Dynamic groups (automatische groepslidmaatschap)
Access lifecycle
- Entitlement Management
- Access reviews (periodiek reviewen)
- Separation of duties
- Conflicterende rollen voorkomen
Privileged Access
- Extra beveiliging voor admin accounts
- PIM (priviled identity management)
- Just in time access
- Approval workflows
- Monitoring & alerts
Access reviews
- Admin plant een review elk kwartaal
- Reviewen
- Groeplidmaatschappen
- App toegang
- Resource rollen
Entitlement management
- Self-service systeem waar gebruikers zelf toegang kunnen aanvragen tot resources
- Sneller, geen tickets inschieten
PIM
- Just in time toegang in plaats van permanente rechten
- Eligible = mag activeren wanneer nodig
- Active = je hebt de rol nu actief (tijdelijk)
Entra ID Protection
- 2 type risico's
- User risk (Account gecompromitteerd)
- Sign-in risk (Verdachte inlogpoging)
- High risk (account wordt geblokkeerd en admin moet unlocken)
Asymmetrische encryptie
- Eigenaar kan alleen decrypten met zijn private key
Symetrische encryptie
- Een sleutel voor encrypten en decrypten
- Snel en makkelijk
Azure DDoS protection
- Overspoelen met nep-verkeer waarbij de server niet meer aankan.
- Gebruikt vaak botnet
- Resultaat website offline
- Azure monitort constant je inkomende traffic
Network protection
IP Protection
Azure Firewall
- poortwachter
- Alleen toegestane traffic
- Microsoft regelt onderhoud, availability
Web application Firewall
- Bewaker voor een bepaalde applicatie
- SQL injection, XSS
Netwerk segmentation
- VNet in Azure
- Subnet, een klein stukje van je netwerk (apparte zone)
- opslitesen van vnet in subnets voor betere security
Azure Network Security Groups
- Een filter die bepaalt welk netwerk traffic wel/niet door mag naar je subnet of VM
- Toepassen op subnet of NIC
Azure Bastion (remote access)
- Voor windows server: RDP port 3389
- Linux: SSH port 22
- Remote access zonder public IP op je VM
- Geen public ip op je vm
- geen nsg nodig
- Geen brute force
- Werkt in je browser
Azure Key Vault
- Centralized secure storage voor secrets, keys en certificates
- Standaard tier: software based encryption
- premium tier: hardware security module protected
Microsoft Defender for Cloud
DevSecOps
- Security integreren tijdens programmeren
- Scant code repo
- Vind hardcode secrets
- Detecteerd outdated packages
CSPM (Cloud Security Posture Management)
- 24/7 security audit
- Asset Discovery
- Continuous Assessment
- Security Recommendations
- Compliance Tracking
- Secure score
Cloud Workload protection
- CSPM: checkt of dingen goed geconfigureerrd zijn
- CWPP: bescherm tegen actieve aanvallen
Enhanced Security Features: Defender Plans
- Defender for Servers
- Defender for Storage
- Defender for SQL
- Defender for Containers
- Defender for APP service
- Defender for Key Vault
SIEM (Security Information and Event Management)
- Verzamelt logs van alle systemen, analyseert, genereert alerts
- patronen herkennen
- Detection
SOAR (security orchestration, automation and response)
- Neem alerts van SIEM en triggert automatische acties
- Automation
Microsoft Sentinel
- Cloud native SIEM & SOAR oplossing met AI
- 4 functies
- Collect
- Detect
- Investigate
- Respond
Detect threats
- Threat intelligence
- MITRE ATT&CK
Investigate & respond
- Incidents
- Hunting: profactief zoeken naar threats
- Workbooks: visualisatie van data
- Playbooks: Automated workflows bij incidents use Logic apps
Microsoft Defender XDR services
- beveiligings pakket dat beschermt tegen
- Cyberaanvallen
- Malware
- Phishing
- Datadiefstal
- Alles werkt samen
- Onderdelen
- office 365: email, phishing
- endpoint: devices, EDR
- cloud apps: cloud applicaties, Shadow IT, saas apps, governance
- Identity: identiteiten en accounts, AD, credential theft
- Vulnerability Management: vindt zwakke plekken, patch-status
Microsoft Purview
- Compliance en data governance oplossing van Microsoft
- Risico & compliance beheren
- Data governance
- insider risk management
- GDPR (privacy wet)
- HIPAA (gezondheidszorg data)
Service Trust Portal en privacy principes van Microsoft
Microsoft Priva
- Privacy concierge
- Privacy risk management
Data classification
- Sensitive Information type
- BSN
- Creditcard nummers
- Paspoortnummers
- trainable classifiers (AI)
- Source code
- invoices
- contracts
- custom trainen
Content explorer & activity explorer
- Snapshot van waar gevoelige data staat
- Monitoring van WAT er gebeurt met gelabelde content
Sensitivity labels
- Digitale stickers
- Bescherm data zonder productiviteit te blokkeren
- Label zit in metadata van file
- Een label per item
Label policies
- Wie kan de labels zien?
- Default label
- Mandatory labelling
- Justification vereist
Data Loss Prevention (DLP)
- Voorkom dat gevoelige data gelekt wordt
Summary MS Learn
In this module, you explored foundational security and compliance concepts that underpin Microsoft security, compliance, and identity solutions.
You learned how the shared responsibility model divides security accountability between you and your cloud provider across on-premises, IaaS, PaaS, and SaaS environments—including AI workloads—and that you always retain responsibility for your data, identities, endpoints, and configuration choices.
You explored defense in depth as a layered security strategy and the CIA triad—confidentiality, integrity, and availability—as the goals that every security effort ultimately protects.
You learned about the Zero Trust model and its three guiding principles: verify explicitly, use least privileged access, and assume breach. You saw how these principles are applied across seven foundational pillars—identities, devices, applications, data, infrastructure, networks, and visibility/automation/orchestration—where the seventh pillar integrates signals from the other six to enable coordinated threat detection and response.
You covered encryption and hashing: symmetric and asymmetric encryption, digital signatures, protecting data at rest, in transit, and in use, key management, and how hashing with salting protects stored passwords.
Finally, you explored Governance, Risk, and Compliance (GRC) concepts—governance, risk management, and compliance—along with related data concepts: data residency, data sovereignty, and data privacy.
Now that you've completed this module, you should be able to:
- Describe the shared responsibility model and how responsibilities shift across on-premises, IaaS, PaaS, and SaaS environments, including AI services.
- Describe defense-in-depth as a layered security strategy and explain the confidentiality, integrity, and availability (CIA) triad.
- Describe the Zero Trust model, its guiding principles, and its seven foundational pillars.
- Describe encryption and hashing as mechanisms for protecting data at rest, in transit, and in use.
- Describe Governance, Risk, and Compliance (GRC) concepts, including data residency, data sovereignty, and data privacy.