Az - Key Vault

Basic Information

Azure Key Vault είναι μια υπηρεσία cloud που παρέχεται από το Microsoft Azure για την ασφαλή αποθήκευση και διαχείριση ευαίσθητων πληροφοριών όπως μυστικά, κλειδιά, πιστοποιητικά και κωδικούς πρόσβασης. Λειτουργεί ως κεντρική αποθήκη, προσφέροντας ασφαλή πρόσβαση και λεπτομερή έλεγχο χρησιμοποιώντας το Azure Active Directory (Azure AD). Από την άποψη της ασφάλειας, το Key Vault παρέχει προστασία μέσω υλικού ασφαλείας (HSM) για κρυπτογραφικά κλειδιά, διασφαλίζει ότι τα μυστικά είναι κρυπτογραφημένα τόσο σε κατάσταση ηρεμίας όσο και σε μεταφορά, και προσφέρει ισχυρή διαχείριση πρόσβασης μέσω ελέγχου πρόσβασης βάσει ρόλων (RBAC) και πολιτικών. Διαθέτει επίσης καταγραφή ελέγχου, ενσωμάτωση με το Azure Monitor για παρακολούθηση πρόσβασης και αυτοματοποιημένη περιστροφή κλειδιών για μείωση του κινδύνου από παρατεταμένη έκθεση κλειδιών.

Δείτε την επισκόπηση του Azure Key Vault REST API για πλήρεις λεπτομέρειες.

Σύμφωνα με τα έγγραφα, οι Vaults υποστηρίζουν την αποθήκευση λογισμικού και κλειδιών που υποστηρίζονται από HSM, μυστικών και πιστοποιητικών. Οι διαχειριζόμενες πισίνες HSM υποστηρίζουν μόνο κλειδιά που υποστηρίζονται από HSM.

Η μορφή URL για τις vaults είναι https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} και για τις διαχειριζόμενες πισίνες HSM είναι: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Όπου:

• vault-name είναι το παγκοσμίως μοναδικό όνομα του key vault

• object-type μπορεί να είναι "keys", "secrets" ή "certificates"

• object-name είναι το μοναδικό όνομα του αντικειμένου εντός του key vault

• object-version είναι αυτόματα παραγόμενο και χρησιμοποιείται προαιρετικά για να αναφέρεται σε μια μοναδική έκδοση ενός αντικειμένου.

Για να αποκτήσετε πρόσβαση στα μυστικά που αποθηκεύονται στο vault, είναι δυνατή η επιλογή μεταξύ 2 μοντέλων αδειών κατά τη δημιουργία του vault:

• Πολιτική πρόσβασης Vault

• Azure RBAC (το πιο κοινό και συνιστώμενο)

• Μπορείτε να βρείτε όλες τις λεπτομερείς άδειες που υποστηρίζονται στο https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault

Access Control

Η πρόσβαση σε έναν πόρο Key Vault ελέγχεται από δύο επίπεδα:

• Το επίπεδο διαχείρισης, του οποίου ο στόχος είναι το management.azure.com.

• Χρησιμοποιείται για τη διαχείριση του key vault και των πολιτικών πρόσβασης. Υποστηρίζεται μόνο ο έλεγχος πρόσβασης βάσει ρόλων του Azure (RBAC).

• Το επίπεδο δεδομένων, του οποίου ο στόχος είναι <vault-name>.vault.azure.com.

• Χρησιμοποιείται για τη διαχείριση και την πρόσβαση στα δεδομένα (κλειδιά, μυστικά και πιστοποιητικά) στο key vault. Αυτό υποστηρίζει πολιτικές πρόσβασης key vault ή Azure RBAC.

Ένας ρόλος όπως Contributor που έχει άδειες στο επίπεδο διαχείρισης για τη διαχείριση πολιτικών πρόσβασης μπορεί να αποκτήσει πρόσβαση στα μυστικά τροποποιώντας τις πολιτικές πρόσβασης.

Key Vault RBAC Built-In Roles

Network Access

Στο Azure Key Vault, οι κανόνες τείχους προστασίας μπορούν να ρυθμιστούν για να επιτρέπουν τις λειτουργίες του επιπέδου δεδομένων μόνο από καθορισμένα εικονικά δίκτυα ή περιοχές διευθύνσεων IPv4. Αυτή η περιοριστική πολιτική επηρεάζει επίσης την πρόσβαση μέσω της πύλης διαχείρισης Azure. Οι χρήστες δεν θα μπορούν να καταγράψουν κλειδιά, μυστικά ή πιστοποιητικά σε ένα key vault εάν η διεύθυνση IP σύνδεσής τους δεν είναι εντός της εξουσιοδοτημένης περιοχής.

Για την ανάλυση και τη διαχείριση αυτών των ρυθμίσεων, μπορείτε να χρησιμοποιήσετε το Azure CLI:

az keyvault show --name name-vault --query networkAcls

Η προηγούμενη εντολή θα εμφανίσει τις ρυθμίσεις του firewall του name-vault, συμπεριλαμβανομένων των ενεργοποιημένων IP ranges και πολιτικών για απορριπτόμενη κίνηση.

Επιπλέον, είναι δυνατόν να δημιουργηθεί ένα ιδιωτικό endpoint για να επιτραπεί μια ιδιωτική σύνδεση σε ένα vault.

Προστασία Διαγραφής

Όταν δημιουργείται ένα key vault, ο ελάχιστος αριθμός ημερών που επιτρέπεται για διαγραφή είναι 7. Αυτό σημαίνει ότι όποτε προσπαθείτε να διαγράψετε αυτό το key vault, θα χρειαστεί τουλάχιστον 7 ημέρες για να διαγραφεί.

Ωστόσο, είναι δυνατόν να δημιουργηθεί ένα vault με απενεργοποιημένη προστασία purge, η οποία επιτρέπει την εκκαθάριση του key vault και των αντικειμένων κατά τη διάρκεια της περιόδου διατήρησης. Αν και, μόλις αυτή η προστασία ενεργοποιηθεί για ένα vault, δεν μπορεί να απενεργοποιηθεί.

Enumeration

# List all Key Vaults in the subscription
az keyvault list
# List Key Vaults in a specific Resource Group
az keyvault list --resource-group <ResourceGroupName>
# Show details of a specific Key Vault
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
# List all keys in a Key Vault
az keyvault key list --vault-name <KeyVaultName>
# List all secrets in a Key Vault
az keyvault secret list --vault-name <KeyVaultName>
# Get versions of a secret
az keyvault secret list-versions --vault-name <KeyVaultName> --name <SecretName>
# List all certificates in a Key Vault
az keyvault certificate list --vault-name <KeyVaultName>
# List all deleted Key Vaults in the subscription
az keyvault list-deleted
# Get properties of a deleted Key Vault
az keyvault show-deleted --name <KeyVaultName>
# Get assigned roles
az role assignment list --include-inherited --scope "/subscriptions/<subscription-uuid>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

# Get secret value
az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# Get details of a specific Key Vault
Get-AzKeyVault -VaultName <KeyVaultName>
# List all keys in a Key Vault
Get-AzKeyVaultKey -VaultName <KeyVaultName>
# List all secrets in a Key Vault
Get-AzKeyVaultSecret -VaultName <KeyVaultName>
# List all certificates in a Key Vault
Get-AzKeyVaultCertificate -VaultName <KeyVaultName>
# List all deleted Key Vaults in the subscription
Get-AzKeyVault -InRemovedState
# Get properties of a deleted Key Vault
Get-AzKeyVault -VaultName <KeyVaultName> -InRemovedState
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> -AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done

Ανάβαση Δικαιωμάτων

Μετά την Εκμετάλλευση