Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure Key Vault ist ein Cloud-Dienst von Microsoft Azure zum sicheren Speichern und Verwalten sensibler Informationen wie Geheimnisse, Schlüssel, Zertifikate und Passwörter. Er fungiert als zentrales Repository, das sicheren Zugriff und feingranulare Kontrolle über Azure Active Directory (Azure AD) bietet. Aus sicherheitstechnischer Sicht bietet Key Vault Hardware-Sicherheitsmodul (HSM)-Schutz für kryptografische Schlüssel, stellt sicher, dass Geheimnisse sowohl im Ruhezustand als auch während der Übertragung verschlüsselt sind, und bietet robustes Zugriffsmanagement durch rollenbasierte Zugriffskontrolle (RBAC) und Richtlinien. Es verfügt auch über Audit-Logging, eine Integration mit Azure Monitor zur Verfolgung des Zugriffs und automatisierte Schlüsselrotation zur Reduzierung des Risikos durch längere Schlüsselexposition.
Siehe Azure Key Vault REST API-Übersicht für vollständige Details.
Laut den Dokumenten unterstützen Tresore das Speichern von Software- und HSM-unterstützten Schlüsseln, Geheimnissen und Zertifikaten. Verwaltete HSM-Pools unterstützen nur HSM-unterstützte Schlüssel.
Das URL-Format für Tresore ist https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
und für verwaltete HSM-Pools ist es: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Wo:
vault-name
ist der global eindeutige Name des Key Vault
object-type
kann "keys", "secrets" oder "certificates" sein
object-name
ist der eindeutige Name des Objekts innerhalb des Key Vault
object-version
wird systemgeneriert und optional verwendet, um eine eindeutige Version eines Objekts anzusprechen.
Um auf die im Tresor gespeicherten Geheimnisse zuzugreifen, ist es möglich, zwischen 2 Berechtigungsmodellen bei der Erstellung des Tresors zu wählen:
Zugriffsrichtlinie für den Tresor
Azure RBAC (am häufigsten und empfohlen)
Sie können alle unterstützten granularen Berechtigungen unter https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault finden.
Der Zugriff auf eine Key Vault-Ressource wird durch zwei Ebenen gesteuert:
Die Management-Ebene, deren Ziel management.azure.com ist.
Sie wird verwendet, um den Key Vault und Zugriffsrichtlinien zu verwalten. Nur die rollenbasierte Zugriffskontrolle von Azure (RBAC) wird unterstützt.
Die Datenebene, deren Ziel <vault-name>.vault.azure.com
ist.
Sie wird verwendet, um die Daten (Schlüssel, Geheimnisse und Zertifikate) im Key Vault zu verwalten und darauf zuzugreifen. Dies unterstützt Zugriffsrichtlinien für den Tresor oder Azure RBAC.
Eine Rolle wie Contributor, die Berechtigungen in der Management-Ebene hat, um Zugriffsrichtlinien zu verwalten, kann auf die Geheimnisse zugreifen, indem sie die Zugriffsrichtlinien ändert.
Im Azure Key Vault können Firewall-Regeln eingerichtet werden, um Datenebenenoperationen nur von bestimmten virtuellen Netzwerken oder IPv4-Adressbereichen zuzulassen. Diese Einschränkung wirkt sich auch auf den Zugriff über das Azure-Verwaltungsportal aus; Benutzer können keine Schlüssel, Geheimnisse oder Zertifikate in einem Key Vault auflisten, wenn ihre Anmelde-IP-Adresse nicht im autorisierten Bereich liegt.
Zur Analyse und Verwaltung dieser Einstellungen können Sie die Azure CLI verwenden:
Der vorherige Befehl zeigt die Firewall-Einstellungen von name-vault
an, einschließlich aktivierter IP-Bereiche und Richtlinien für abgelehnten Datenverkehr.
Darüber hinaus ist es möglich, einen privaten Endpunkt zu erstellen, um eine private Verbindung zu einem Tresor zu ermöglichen.
Wenn ein Schlüssel-Tresor erstellt wird, beträgt die Mindestanzahl an Tagen, die für die Löschung zulässig sind, 7. Das bedeutet, dass, wann immer Sie versuchen, diesen Schlüssel-Tresor zu löschen, mindestens 7 Tage benötigt werden, um gelöscht zu werden.
Es ist jedoch möglich, einen Tresor mit deaktiviertem Löschschutz zu erstellen, der es ermöglicht, den Schlüssel-Tresor und Objekte während der Aufbewahrungsfrist zu löschen. Sobald dieser Schutz jedoch für einen Tresor aktiviert ist, kann er nicht mehr deaktiviert werden.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)