AZ-305 · Seguridad y Zero Trust

Seguridad y Zero Trust (AZ‑305)

Objetivo del examen: AZ‑305

Tema: Seguridad

Identidad al centro: Entra ID, PIM, Conditional Access. Segmenta con NSG/ASG, inspecciona con Azure Firewall y protege datos con claves gestionadas (CMK) y Private Link.

Capas de seguridad

Capa	Servicios	Notas de examen
Identidad	Entra ID, PIM, MFA, CA	Privilegios just‑in‑time; acceso condicional por riesgo/dispositivo.
Red	NSG/ASG, Firewall Premium, DDoS PRT	Salida inspeccionada con UDR 0/0 → Firewall.
Datos	Key Vault, CMK, Private Link	Evita exposición pública; RBAC + Policy para auditoría.
Postura	Defender for Cloud, Secure Score	Políticas de baseline + recomendaciones.

Zero Trust práctico

Verifica explícitamente (MFA, CA, Identity Protection).
Acceso con privilegios mínimo (PIM, RBAC granular).
Asume brecha (segmentación, IDS/IPS, registros centralizados).

Políticas clave

Bloquear recursos públicos si no hay justificación (deny).
Requerir Private Endpoints para Storage/SQL.
Tags obligatorios de propiedad/coste.