Экзамен SC-300: Microsoft Identity and Access Administrator
Успешно (860/1000) освоила ваучер на сдачу бесплатного экзамена из SC*-серии (200/300/400), о возможности получить которые я писала в октябре. Как Буриданов осел, я долго выбирала один из трех, пока не решила остановиться посередине, то есть, на 300 :) Тем более, что уж в IDM/IAM я кое-что да смыслю.
В процессе подготовки открыла для себя такие новые вещи, как Azure AD Application Proxy (что-то типа Citrix Web App) и Network Policy Server (NPS) extension for Azure (приблуда для прикручивания Azure MFA к RADIUS). Узнала, что Azure поддерживает fido2/webauthn. Последнее, по идее, удивлять не должно - нам уже столько твердили, что коммунизм вот-вот наступит в следующем году больше никто не будет использовать пароли. Но воз и ныне там, как говорится, а инвесторы продолжают вкладывать охулионы баксов в менеджеры паролей.
Сам экзамен мне не показался очень сложным, хотя в плане управления объектами в облаке царит "терминологический хаос".
Раньше, в старом-добром "приземленном" Active Directory были объекты (пользователи, компьютеры), организационные юниты (OU) и группы объектов. Ну ок, несколько типов групп, но все же.
Теперь у нас есть группы (тоже нескольких типов), коллекции (приложений), группировки (ресурсов) по тагам, группы (ресурсов) - ничего не имеют общего с группами пользователей или девайсов, пакеты (ресурсов и прав доступа), команды (teams), административные юниты (которые не то же самое, что OU)... это из того, что я запомнила. Я такая старая, что еще застала времена, когда никаких административных юнитов в Azure AD не было, и Azure Connect, этот чудом уцелевший наследник Microsoft Identity Manager, тупо сваливал всех пользователей из разных OU AD в одну кучу внутри облачного тенанта, к ужасу админов безопасности.
Ради справедливости, надо заметить, что в AWS дела с IAM обстоят не лучше (с точки зрения управления учетками сотрудников предприятия). Так же, как в старой версии Azure AD, иерархия пользователей и групп там плоская (нельзя создавать вложенные группы или OU), а в качестве LDAP-директории страждущим предлагается использовать... managed AD :) как хранятся пользователи в Amazon Cognito User Pools - вообще большой-большой секрет (скорее всего, в чем-то типа dynamodb).
Чего-то я растеклась мыслью по древу, забыла, о чем вообще хотела написать... А, вот! Было много вопросов по privileged identity management / jit roles assignment, single-sign-on, self-service registration/password reset. Но все вопросы - практического толка (где нужно поставить-снять галочку, чтобы...) не раскрыта тема сисек managed identity / service principal. Не было, кажется, ни одного теоретического вопроса (зачем нам нужно то или это). Делай то, что тебе говорит (кто?) видимо, архитектор систем безопасности? или хотя бы вообще какой-то архитектор. Да вашего айдентити-админа можно заменить роботом, честное слово. Эй, Сири... или как там, Кортана - включи мне Windows Hello!
В плане теории мне больше понравился сданный полгода назад AZ-500, где в ходе подготовки хотя бы пытались объяснить смысл различных настроек и механизмов. Не просто "настройте шифрование БД", а с пояснением, что бывает шифрование хранящейся информации, бывает шифрование информации при транспортировке, бывает блочное и поточное шифрование, симметричное и с публичным/приватным ключом и тд.
С другой стороны, я-то смотрю на материал с позиции скучающего мультивендорно-ориентированного (зацените классное словечко!) архитектора и, вероятно, не являюсь целевой аудиторией экзамена, отсюда и чрезмерное брождение мысли от простого RTFM.
Иногда мне в ЛинкедИн пишут индусы и спрашивают, как им сдать CEH/CISSP или еще какой-нибудь экзамен, а я не знаю, что ответить. Вряд ли от меня ждут такой философской простыни, как я привела выше. Но, может, кому-то будет полезна?
В процессе подготовки открыла для себя такие новые вещи, как Azure AD Application Proxy (что-то типа Citrix Web App) и Network Policy Server (NPS) extension for Azure (приблуда для прикручивания Azure MFA к RADIUS). Узнала, что Azure поддерживает fido2/webauthn. Последнее, по идее, удивлять не должно - нам уже столько твердили, что коммунизм вот-вот наступит в следующем году больше никто не будет использовать пароли. Но воз и ныне там, как говорится, а инвесторы продолжают вкладывать охулионы баксов в менеджеры паролей.
Сам экзамен мне не показался очень сложным, хотя в плане управления объектами в облаке царит "терминологический хаос".
Раньше, в старом-добром "приземленном" Active Directory были объекты (пользователи, компьютеры), организационные юниты (OU) и группы объектов. Ну ок, несколько типов групп, но все же.
Теперь у нас есть группы (тоже нескольких типов), коллекции (приложений), группировки (ресурсов) по тагам, группы (ресурсов) - ничего не имеют общего с группами пользователей или девайсов, пакеты (ресурсов и прав доступа), команды (teams), административные юниты (которые не то же самое, что OU)... это из того, что я запомнила. Я такая старая, что еще застала времена, когда никаких административных юнитов в Azure AD не было, и Azure Connect, этот чудом уцелевший наследник Microsoft Identity Manager, тупо сваливал всех пользователей из разных OU AD в одну кучу внутри облачного тенанта, к ужасу админов безопасности.
Ради справедливости, надо заметить, что в AWS дела с IAM обстоят не лучше (с точки зрения управления учетками сотрудников предприятия). Так же, как в старой версии Azure AD, иерархия пользователей и групп там плоская (нельзя создавать вложенные группы или OU), а в качестве LDAP-директории страждущим предлагается использовать... managed AD :) как хранятся пользователи в Amazon Cognito User Pools - вообще большой-большой секрет (скорее всего, в чем-то типа dynamodb).
Чего-то я растеклась мыслью по древу, забыла, о чем вообще хотела написать... А, вот! Было много вопросов по privileged identity management / jit roles assignment, single-sign-on, self-service registration/password reset. Но все вопросы - практического толка (где нужно поставить-снять галочку, чтобы...) не раскрыта тема сисек managed identity / service principal. Не было, кажется, ни одного теоретического вопроса (зачем нам нужно то или это). Делай то, что тебе говорит (кто?) видимо, архитектор систем безопасности? или хотя бы вообще какой-то архитектор. Да вашего айдентити-админа можно заменить роботом, честное слово. Эй, Сири... или как там, Кортана - включи мне Windows Hello!
В плане теории мне больше понравился сданный полгода назад AZ-500, где в ходе подготовки хотя бы пытались объяснить смысл различных настроек и механизмов. Не просто "настройте шифрование БД", а с пояснением, что бывает шифрование хранящейся информации, бывает шифрование информации при транспортировке, бывает блочное и поточное шифрование, симметричное и с публичным/приватным ключом и тд.
С другой стороны, я-то смотрю на материал с позиции скучающего мультивендорно-ориентированного (зацените классное словечко!) архитектора и, вероятно, не являюсь целевой аудиторией экзамена, отсюда и чрезмерное брождение мысли от простого RTFM.
Иногда мне в ЛинкедИн пишут индусы и спрашивают, как им сдать CEH/CISSP или еще какой-нибудь экзамен, а я не знаю, что ответить. Вряд ли от меня ждут такой философской простыни, как я привела выше. Но, может, кому-то будет полезна?