Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Netzwerke innerhalb von Azure fungieren als integraler Bestandteil seiner Cloud-Computing-Plattform und ermöglichen die Verbindung und Kommunikation zwischen verschiedenen Azure-Diensten und -Ressourcen. Die Netzwerkarchitektur in Azure ist darauf ausgelegt, hochgradig skalierbar, sicher und anpassbar zu sein.
Im Kern bietet Azure ein virtuelles Netzwerk (VNet), das es Benutzern ermöglicht, isolierte Netzwerke innerhalb der Azure-Cloud zu erstellen. Innerhalb dieser VNets können Ressourcen wie virtuelle Maschinen, Anwendungen und Datenbanken sicher gehostet und verwaltet werden. Das Networking in Azure unterstützt sowohl die Kommunikation innerhalb der Cloud (zwischen Azure-Diensten) als auch die Verbindung zu externen Netzwerken und dem Internet.
Sicherheit ist ein kritischer Aspekt des Azure- Netzwerks, mit verschiedenen Tools und Diensten, die zum Schutz von Daten, zur Verwaltung des Zugriffs und zur Gewährleistung der Compliance verfügbar sind. Diese Sicherheitsmaßnahmen umfassen Firewalls, Netzwerksicherheitsgruppen und Verschlüsselungsfähigkeiten, die ein hohes Maß an Kontrolle über den Datenverkehr und den Zugriff ermöglichen.
Insgesamt sind die Netzwerkfähigkeiten von Azure darauf ausgelegt, Flexibilität zu bieten, sodass Benutzer eine Netzwerkumgebung schaffen können, die ihren spezifischen Anwendungs- und Arbeitslastanforderungen entspricht, während ein starker Fokus auf Sicherheit und Zuverlässigkeit gelegt wird.
Ein VNet in Azure ist im Wesentlichen eine Darstellung Ihres eigenen Netzwerks in der Cloud. Es ist eine logische Isolation der Azure-Cloud, die Ihrer Abonnements gewidmet ist. Ein VNet ermöglicht es Ihnen, virtuelle private Netzwerke (VPNs) in Azure bereitzustellen und zu verwalten und kann verwendet werden, um verschiedene Arten von Azure-Ressourcen wie virtuelle Maschinen (VMs), Datenbanken und Anwendungsdienste zu hosten und zu verwalten.
VNets bieten Ihnen vollständige Kontrolle über Ihre Netzwerkeinstellungen, einschließlich IP-Adressbereichen, der Erstellung von Subnetzen, Routentabellen und Netzwerk-Gateways.
Ein Subnetz ist ein Bereich von IP-Adressen in Ihrem VNet. Sie können ein VNet in mehrere Subnetze unterteilen, um Organisation und Sicherheit zu gewährleisten. Jedes Subnetz in einem VNet kann verwendet werden, um Ressourcen gemäß Ihrer Netzwerk- und Anwendungsarchitektur zu isolieren und zu gruppieren.
Darüber hinaus ermöglichen Subnetze, dass Sie Ihr VNet in ein oder mehrere Subnetzwerke segmentieren, die einen Bereich von IP-Adressen bereitstellen, den Ressourcen verwenden können.
Angenommen, Sie haben ein VNet mit dem Namen MyVNet mit einem IP-Adressbereich von 10.0.0.0/16. Sie können innerhalb dieses VNets ein Subnetz erstellen, sagen wir Subnet-1, mit einem IP-Adressbereich von 10.0.0.0/24 für das Hosting Ihrer Webserver. Ein weiteres Subnetz, Subnet-2 mit einem Bereich von 10.0.1.0/24, könnte für Ihre Datenbankserver verwendet werden. Diese Segmentierung ermöglicht eine effiziente Verwaltung und Sicherheitskontrollen innerhalb des Netzwerks.
Um alle VNets und Subnetze in einem Azure-Konto aufzulisten, können Sie die Azure-Befehlszeilenschnittstelle (CLI) verwenden. Hier sind die Schritte:
In Azure dient eine Netzwerk-Sicherheitsgruppe (NSG) der primären Funktion, den Netzwerkverkehr sowohl zu als auch von Azure-Ressourcen innerhalb eines Azure Virtual Network (VNet) zu filtern. Sie enthält eine Reihe von Sicherheitsregeln, die den Fluss des Netzwerkverkehrs genau vorschreiben.
Wichtige Aspekte von NSG sind:
Verkehrskontrolle: Jede NSG enthält Regeln, die entscheidend dafür sind, eingehenden und ausgehenden Netzwerkverkehr, der mit verschiedenen Azure-Ressourcen verbunden ist, entweder zuzulassen oder zu blockieren.
Regelkomponenten: Die Regeln innerhalb einer NSG sind sehr spezifisch und filtern den Verkehr basierend auf Kriterien wie Quell-/Ziel-IP-Adresse, Port und Protokoll. Diese Spezifität ermöglicht eine granulare Verwaltung des Netzwerkverkehrs.
Sicherheitsverbesserung: Indem sichergestellt wird, dass nur autorisierter Verkehr in Ihre Azure-Ressourcen ein- oder austreten kann, spielen NSGs eine entscheidende Rolle bei der Stärkung der Sicherheitslage Ihrer Netzwerk-Infrastruktur.
Stellen Sie sich vor, Sie haben eine NSG mit dem Namen MyNSG, die auf ein Subnetz oder eine bestimmte virtuelle Maschine innerhalb Ihres VNet angewendet wird. Sie können Regeln erstellen wie:
Eine eingehende Regel, die HTTP-Verkehr (Port 80) von jeder Quelle zu Ihren Webservern zulässt.
Eine ausgehende Regel, die nur SQL-Verkehr (Port 1433) zu einem bestimmten Ziel-IP-Adressbereich zulässt.
Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network-Ressourcen schützt. Es handelt sich um eine vollständig zustandsbehaftete Firewall als Dienst mit integrierten Hochverfügbarkeits- und Skalierbarkeitsfunktionen.
Azure Firewall bietet fortgeschrittenere Funktionen als NSGs, einschließlich Anwendungsebene-Filterung, Netzwerkebene-Filterung, bedrohungsintelligenzbasierte Filterung und Integration mit Azure Monitor für Protokollierung und Analytik. Es kann ausgehenden, eingehenden, zwischen den Standorten, VPN- und ExpressRoute-Verkehr filtern. Firewall-Regeln können basierend auf FQDN (Fully Qualified Domain Name), IP-Adressen und Ports erstellt werden.
Umfang:
NSG: Funktioniert auf der Subnetz- oder Netzwerkinterface-Ebene. Es soll eine grundlegende Filterung des eingehenden und ausgehenden Verkehrs von Netzwerkinterfaces (NIC), VMs oder Subnetzen bieten.
Azure Firewall: Arbeitet auf der VNet-Ebene und bietet einen breiteren Schutzumfang. Es ist darauf ausgelegt, Ihre virtuellen Netzwerkressourcen zu sichern und den Verkehr, der in das VNet hinein und heraus fließt, zu verwalten.
Fähigkeiten:
NSG: Bietet grundlegende Filterfähigkeiten basierend auf IP-Adresse, Port und Protokoll. Es unterstützt keine fortgeschrittenen Funktionen wie Anwendungsebene-Inspektion oder Bedrohungsintelligenz.
Azure Firewall: Bietet fortgeschrittene Funktionen wie Anwendungsebene (Layer 7) Verkehrfilterung, bedrohungsintelligenzbasierte Filterung, Netzwerkverkehrsfilterung und mehr. Es unterstützt auch mehrere öffentliche IP-Adressen.
Anwendungsfälle:
NSG: Ideal für grundlegende Netzwerkebene-Verkehrsfilterung.
Azure Firewall: Geeignet für komplexere Filterungsszenarien, in denen Kontrolle auf Anwendungsebene, Protokollierung und Bedrohungsintelligenz erforderlich sind.
Verwaltung und Überwachung:
NSG: Bietet grundlegende Protokollierung und Integration mit Azure Monitor.
Azure Firewall: Bietet fortgeschrittene Protokollierungs- und Analysefähigkeiten über Azure Monitor, die für das Verständnis der Art und des Musters des Verkehrs unerlässlich sind.
Ein Netzwerkvirtualgerät (NVA) in Azure ist ein virtuelles Gerät, das Netzwerkfunktionen innerhalb eines virtuellen Netzwerks ausführt. NVAs werden typischerweise für Netzwerkfunktionen verwendet, die nicht nativ verfügbar sind in Azure oder wenn mehr Anpassung erforderlich ist. Sie sind im Wesentlichen VMs, die Netzwerk-Anwendungen oder -Dienste ausführen, wie Firewalls, WAN-Optimierer oder Lastenausgleicher.
NVAs werden für komplexe Routing-, Sicherheits- und Netzwerkverkehrsmanagement-Aufgaben verwendet. Sie können aus dem Azure Marketplace bereitgestellt werden, wo viele Drittanbieter ihre Geräte zur Integration in Azure-Umgebungen anbieten.
Eine Organisation kann ein NVA in Azure bereitstellen, um eine benutzerdefinierte Firewall-Lösung zu erstellen. Dieses NVA könnte eine Firewall-Software eines Drittanbieters ausführen, die erweiterte Funktionen wie Intrusion Detection, Paketinspektion oder VPN-Konnektivität bietet. Das NVA kann so konfiguriert werden, dass es den durchfließenden Verkehr inspiziert und filtert, um sicherzustellen, dass verbesserte Sicherheitsmaßnahmen gemäß den Richtlinien der Organisation implementiert sind.
Azure-Routingtabellen sind ein Feature innerhalb von Microsoft Azure, das die Kontrolle der Netzwerkverkehrslenkung innerhalb von Azure Virtual Networks (VNets) ermöglicht. Im Wesentlichen definieren sie, wie Pakete zwischen Subnetzen innerhalb von VNets, zwischen VNets oder zu externen Netzwerken weitergeleitet werden. Jede Routingtabelle enthält eine Reihe von Regeln, die als Routen bekannt sind und angeben, wie Pakete basierend auf ihren Ziel-IP-Adressen geroutet werden sollen.
Benutzerdefinierte Routen (UDR) in Azure sind benutzerdefinierte Routen, die Sie innerhalb von Azure-Routingtabellen erstellen, um den Fluss des Netzwerkverkehrs innerhalb und zwischen Azure Virtual Networks (VNets) sowie zu externen Verbindungen zu steuern. UDRs geben Ihnen die Flexibilität, den Netzwerkverkehr gemäß Ihren spezifischen Anforderungen zu lenken und die Standardroutingentscheidungen von Azure zu überschreiben.
Diese Routen sind besonders nützlich für Szenarien, in denen Sie Verkehr durch ein virtuelles Gerät leiten, einen bestimmten Pfad für Sicherheits- oder Richtlinienkonformität durchsetzen oder mit lokalen Netzwerken integrieren müssen.
Angenommen, Sie haben ein Netzwerkvirtualgerät (NVA) bereitgestellt, um den Verkehr zwischen Subnetzen innerhalb eines VNets zu inspizieren. Sie können eine UDR erstellen, die den gesamten Verkehr von einem Subnetz zu einem anderen Subnetz über das NVA leitet. Diese UDR stellt sicher, dass das NVA den Verkehr aus Sicherheitsgründen inspiziert, bevor er sein Ziel erreicht.
Azure Private Link ist ein Dienst in Azure, der privaten Zugriff auf Azure-Dienste ermöglicht, indem sichergestellt wird, dass der Datenverkehr zwischen Ihrem Azure-virtuellen Netzwerk (VNet) und dem Dienst vollständig innerhalb des Backbone-Netzwerks von Microsoft Azure verläuft. Es bringt den Dienst effektiv in Ihr VNet. Diese Konfiguration verbessert die Sicherheit, indem die Daten nicht dem öffentlichen Internet ausgesetzt werden.
Private Link kann mit verschiedenen Azure-Diensten verwendet werden, wie Azure Storage, Azure SQL Database und benutzerdefinierten Diensten, die über Private Link geteilt werden. Es bietet eine sichere Möglichkeit, Dienste aus Ihrem eigenen VNet oder sogar aus verschiedenen Azure-Abonnements zu konsumieren.
NSGs gelten nicht für private Endpunkte, was eindeutig bedeutet, dass die Zuordnung eines NSG zu einem Subnetz, das den Private Link enthält, keine Auswirkungen hat.
Stellen Sie sich ein Szenario vor, in dem Sie eine Azure SQL-Datenbank haben, auf die Sie sicher von Ihrem VNet aus zugreifen möchten. Normalerweise könnte dies den Zugriff über das öffentliche Internet erfordern. Mit Private Link können Sie einen privaten Endpunkt in Ihrem VNet erstellen, der direkt mit dem Azure SQL-Datenbankdienst verbunden ist. Dieser Endpunkt lässt die Datenbank so erscheinen, als wäre sie Teil Ihres eigenen VNet, zugänglich über eine private IP-Adresse, wodurch ein sicherer und privater Zugriff gewährleistet wird.
Azure Service Endpoints erweitern den privaten Adressraum Ihres virtuellen Netzwerks und die Identität Ihres VNets zu Azure-Diensten über eine direkte Verbindung. Durch die Aktivierung von Service-Endpunkten können Ressourcen in Ihrem VNet sicher mit Azure-Diensten wie Azure Storage und Azure SQL Database über das Backbone-Netzwerk von Azure verbunden werden. Dies stellt sicher, dass der Verkehr vom VNet zum Azure-Dienst innerhalb des Azure-Netzwerks bleibt, was einen sichereren und zuverlässigeren Pfad bietet.
Zum Beispiel ist ein Azure Storage-Konto standardmäßig über das öffentliche Internet zugänglich. Durch die Aktivierung eines Service-Endpunkts für Azure Storage innerhalb Ihres VNet können Sie sicherstellen, dass nur der Verkehr von Ihrem VNet auf das Speicherkonto zugreifen kann. Die Firewall des Speicherkontos kann dann so konfiguriert werden, dass sie nur Verkehr von Ihrem VNet akzeptiert.
Microsoft empfiehlt die Verwendung von privaten Links in den docs:\
Service-Endpunkte:
Der Datenverkehr von Ihrem VNet zum Azure-Dienst verläuft über das Microsoft Azure Backbone-Netzwerk und umgeht das öffentliche Internet.
Der Endpunkt ist eine direkte Verbindung zum Azure-Dienst und bietet keine private IP für den Dienst innerhalb des VNet.
Der Dienst selbst ist weiterhin über seinen öffentlichen Endpunkt von außerhalb Ihres VNet zugänglich, es sei denn, Sie konfigurieren die Dienstfirewall, um solchen Datenverkehr zu blockieren.
Es besteht eine Eins-zu-eins-Beziehung zwischen dem Subnetz und dem Azure-Dienst.
Günstiger als private Links.
Private Links:
Private Link verbindet Azure-Dienste über einen privaten Endpunkt in Ihr VNet, der eine Netzwerkschnittstelle mit einer privaten IP-Adresse innerhalb Ihres VNet ist.
Der Azure-Dienst wird über diese private IP-Adresse aufgerufen, wodurch es so aussieht, als wäre er Teil Ihres Netzwerks.
Dienste, die über Private Link verbunden sind, können nur von Ihrem VNet oder verbundenen Netzwerken aus aufgerufen werden; es gibt keinen öffentlichen Internetzugang zum Dienst.
Es ermöglicht eine sichere Verbindung zu Azure-Diensten oder Ihren eigenen in Azure gehosteten Diensten sowie eine Verbindung zu von anderen geteilten Diensten.
Es bietet eine granularere Zugriffskontrolle über einen privaten Endpunkt in Ihrem VNet, im Gegensatz zu einer breiteren Zugriffskontrolle auf Subnetzebene mit Service-Endpunkten.
Zusammenfassend lässt sich sagen, dass sowohl Service-Endpunkte als auch private Links eine sichere Konnektivität zu Azure-Diensten bieten, aber private Links ein höheres Maß an Isolation und Sicherheit bieten, indem sie sicherstellen, dass Dienste privat ohne Exposition gegenüber dem öffentlichen Internet aufgerufen werden. Service-Endpunkte hingegen sind einfacher einzurichten für allgemeine Fälle, in denen ein einfacher, sicherer Zugriff auf Azure-Dienste erforderlich ist, ohne dass eine private IP im VNet benötigt wird.
Azure Front Door ist ein skalierbarer und sicherer Einstiegspunkt für die schnelle Bereitstellung Ihrer globalen Webanwendungen. Es kombiniert verschiedene Dienste wie globale Lastverteilung, Standortbeschleunigung, SSL-Offloading und Web Application Firewall (WAF)-Funktionen in einem einzigen Dienst. Azure Front Door bietet intelligentes Routing basierend auf dem nächsten Edge-Standort zum Benutzer, um optimale Leistung und Zuverlässigkeit zu gewährleisten. Darüber hinaus bietet es URL-basiertes Routing, Hosting mehrerer Standorte, Sitzungsaffinität und Sicherheit auf Anwendungsebene.
Azure Front Door WAF ist darauf ausgelegt, Webanwendungen vor web-basierten Angriffen zu schützen, ohne dass Änderungen am Backend-Code erforderlich sind. Es umfasst benutzerdefinierte Regeln und verwaltete Regelsets, um vor Bedrohungen wie SQL-Injection, Cross-Site-Scripting und anderen gängigen Angriffen zu schützen.
Stellen Sie sich vor, Sie haben eine global verteilte Anwendung mit Benutzern auf der ganzen Welt. Sie können Azure Front Door verwenden, um Benutzeranfragen an das nächstgelegene regionale Rechenzentrum weiterzuleiten, das Ihre Anwendung hostet, wodurch die Latenz verringert, die Benutzererfahrung verbessert und es vor Webangriffen mit den WAF-Funktionen geschützt wird. Wenn eine bestimmte Region Ausfallzeiten hat, kann Azure Front Door den Datenverkehr automatisch an den nächstbesten Standort umleiten, um eine hohe Verfügbarkeit sicherzustellen.
Azure Application Gateway ist ein Web-Traffic-Lastenausgleich-Dienst, der es Ihnen ermöglicht, den Verkehr zu Ihren Web-Anwendungen zu verwalten. Es bietet Layer 7 Lastenausgleich, SSL-Terminierung und Webanwendungsfirewall (WAF)-Funktionen im Application Delivery Controller (ADC) als Dienst. Zu den Hauptmerkmalen gehören URL-basiertes Routing, cookie-basierten Sitzungsaffinität und SSL-Offloading, die für Anwendungen, die komplexe Lastenausgleichsfunktionen wie globales Routing und pfadbasiertes Routing erfordern, entscheidend sind.
Stellen Sie sich ein Szenario vor, in dem Sie eine E-Commerce-Website haben, die mehrere Subdomains für verschiedene Funktionen umfasst, wie z. B. Benutzerkonten und Zahlungsabwicklung. Azure Application Gateway kann den Verkehr zu den entsprechenden Webservern basierend auf dem URL-Pfad leiten. Zum Beispiel könnte der Verkehr zu example.com/accounts an den Dienst für Benutzerkonten geleitet werden, und der Verkehr zu example.com/pay könnte an den Dienst für die Zahlungsabwicklung geleitet werden.
Und schützen Sie Ihre Website vor Angriffen mit den WAF-Funktionen.
VNet Peering ist eine Netzwerkfunktion in Azure, die es ermöglicht, verschiedene Virtuelle Netzwerke (VNets) direkt und nahtlos zu verbinden. Durch VNet Peering können Ressourcen in einem VNet mit Ressourcen in einem anderen VNet über private IP-Adressen kommunizieren, als ob sie sich im selben Netzwerk befänden. VNet Peering kann auch mit On-Premise-Netzwerken verwendet werden, indem ein Site-to-Site-VPN oder Azure ExpressRoute eingerichtet wird.
Azure Hub und Spoke ist eine Netzwerk-Topologie, die in Azure verwendet wird, um den Netzwerkverkehr zu verwalten und zu organisieren. Der "Hub" ist ein zentraler Punkt, der den Verkehr zwischen verschiedenen "Speichen" steuert und leitet. Der Hub enthält typischerweise gemeinsame Dienste wie Netzwerkvirtualgeräte (NVAs), Azure VPN Gateway, Azure Firewall oder Azure Bastion. Die "Speichen" sind VNets, die Workloads hosten und über VNet Peering mit dem Hub verbunden sind, wodurch sie die gemeinsamen Dienste innerhalb des Hubs nutzen können. Dieses Modell fördert eine saubere Netzwerkstruktur und reduziert die Komplexität, indem es gemeinsame Dienste zentralisiert, die von mehreren Workloads in verschiedenen VNets genutzt werden können.
VNET-Peering ist in Azure nicht transitiv, was bedeutet, dass, wenn Speiche 1 mit Speiche 2 verbunden ist und Speiche 2 mit Speiche 3 verbunden ist, Speiche 1 nicht direkt mit Speiche 3 kommunizieren kann.
Stellen Sie sich ein Unternehmen mit separaten Abteilungen wie Vertrieb, Personalwesen und Entwicklung vor, jede mit ihrem eigenen VNet (den Speichen). Diese VNets benötigen Zugriff auf gemeinsame Ressourcen wie eine zentrale Datenbank, eine Firewall und ein Internet-Gateway, die sich alle in einem anderen VNet (dem Hub) befinden. Durch die Verwendung des Hub- und Spoke-Modells kann jede Abteilung sicher auf die gemeinsamen Ressourcen über das Hub-VNet zugreifen, ohne diese Ressourcen dem öffentlichen Internet auszusetzen oder eine komplexe Netzwerkstruktur mit zahlreichen Verbindungen zu schaffen.
Ein Site-to-Site VPN in Azure ermöglicht es Ihnen, Ihr lokales Netzwerk mit Ihrem Azure Virtual Network (VNet) zu verbinden, sodass Ressourcen wie VMs innerhalb von Azure so erscheinen, als wären sie in Ihrem lokalen Netzwerk. Diese Verbindung wird über ein VPN-Gateway hergestellt, das den Datenverkehr zwischen den beiden Netzwerken verschlüsselt.
Ein Unternehmen mit seinem Hauptbüro in New York hat ein lokales Rechenzentrum, das sicher mit seinem VNet in Azure verbunden werden muss, das seine virtualisierten Workloads hostet. Durch die Einrichtung eines Site-to-Site VPN kann das Unternehmen eine verschlüsselte Verbindung zwischen den lokalen Servern und den Azure VMs sicherstellen, sodass Ressourcen sicher über beide Umgebungen hinweg zugegriffen werden kann, als wären sie im selben lokalen Netzwerk.
Azure ExpressRoute ist ein Dienst, der eine private, dedizierte, hochgeschwindigkeits Verbindung zwischen Ihrer lokalen Infrastruktur und den Azure-Rechenzentren bereitstellt. Diese Verbindung erfolgt über einen Konnektivitätsanbieter, umgeht das öffentliche Internet und bietet mehr Zuverlässigkeit, schnellere Geschwindigkeiten, geringere Latenzen und höhere Sicherheit als typische Internetverbindungen.
Ein multinationales Unternehmen benötigt eine konstante und zuverlässige Verbindung zu seinen Azure-Diensten aufgrund des hohen Datenvolumens und des Bedarfs an hoher Durchsatzrate. Das Unternehmen entscheidet sich für Azure ExpressRoute, um sein lokales Rechenzentrum direkt mit Azure zu verbinden, was großangelegte Datenübertragungen, wie tägliche Backups und Echtzeitanalysen, mit verbesserter Privatsphäre und Geschwindigkeit erleichtert.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
