Az - Azure Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Η Azure παρέχει εικονικά δίκτυα (VNet) που επιτρέπουν στους χρήστες να δημιουργούν απομονωμένα δίκτυα μέσα στο cloud της Azure. Μέσα σε αυτά τα VNets, πόροι όπως εικονικές μηχανές, εφαρμογές, βάσεις δεδομένων... μπορούν να φιλοξενούνται και να διαχειρίζονται με ασφάλεια. Η δικτύωση στην Azure υποστηρίζει τόσο την επικοινωνία εντός του cloud (μεταξύ υπηρεσιών Azure) όσο και τη σύνδεση με εξωτερικά δίκτυα και το διαδίκτυο. Επιπλέον, είναι δυνατή η σύνδεση VNets με άλλα VNets και με τοπικά δίκτυα.
Ένα εικονικό δίκτυο Azure (VNet) είναι μια αναπαράσταση του δικού σας δικτύου στο cloud, παρέχοντας λογική απομόνωση μέσα στο περιβάλλον Azure που είναι αφιερωμένο στη συνδρομή σας. Τα VNets σας επιτρέπουν να προμηθεύεστε και να διαχειρίζεστε εικονικά ιδιωτικά δίκτυα (VPNs) στην Azure, φιλοξενώντας πόρους όπως Εικονικές Μηχανές (VMs), βάσεις δεδομένων και υπηρεσίες εφαρμογών. Προσφέρουν πλήρη έλεγχο στις ρυθμίσεις δικτύου, συμπεριλαμβανομένων των εύρους διευθύνσεων IP, της δημιουργίας υποδικτύων, των πινάκων δρομολόγησης και των πύλων δικτύου.
Υποδίκτυα είναι υποδιαιρέσεις εντός ενός VNet, που ορίζονται από συγκεκριμένα εύρη διευθύνσεων IP. Με την τμηματοποίηση ενός VNet σε πολλά υποδίκτυα, μπορείτε να οργανώσετε και να ασφαλίσετε τους πόρους σύμφωνα με την αρχιτεκτονική του δικτύου σας. Από προεπιλογή, όλα τα υποδίκτυα εντός του ίδιου Εικονικού Δικτύου Azure (VNet) μπορούν να επικοινωνούν μεταξύ τους χωρίς περιορισμούς.
Παράδειγμα:
MyVNet με εύρος διευθύνσεων IP 10.0.0.0/16.
Υποδίκτυο-1: 10.0.0.0/24 για διακομιστές ιστού.
Υποδίκτυο-2: 10.0.1.0/24 για διακομιστές βάσεων δεδομένων.
Για να καταγράψετε όλα τα VNets και τα υποδίκτυα σε έναν λογαριασμό Azure, μπορείτε να χρησιμοποιήσετε το Azure Command-Line Interface (CLI). Ακολουθούν τα βήματα:
Μια Ομάδα Ασφαλείας Δικτύου (NSG) φιλτράρει την κυκλοφορία δικτύου τόσο προς όσο και από πόρους Azure εντός ενός Azure Virtual Network (VNet). Περιέχει ένα σύνολο κανόνων ασφαλείας που μπορεί να υποδεικνύει ποιοι θύρες να ανοίξουν για εισερχόμενη και εξερχόμενη κυκλοφορία ανά πηγή θύρας, πηγή IP, προορισμό θύρας και είναι δυνατό να ανατεθεί μια προτεραιότητα (όσο χαμηλότερος είναι ο αριθμός προτεραιότητας, τόσο υψηλότερη είναι η προτεραιότητα).
Οι NSGs μπορούν να συσχετιστούν με υποδίκτυα και NICs.
Παράδειγμα κανόνων:
Ένας κανόνας εισερχόμενης κυκλοφορίας που επιτρέπει την κυκλοφορία HTTP (θύρα 80) από οποιαδήποτε πηγή στους διακομιστές ιστού σας.
Ένας κανόνας εξερχόμενης κυκλοφορίας που επιτρέπει μόνο την κυκλοφορία SQL (θύρα 1433) σε μια συγκεκριμένη περιοχή διευθύνσεων IP προορισμού.
Το Azure Firewall είναι μια διαχειριζόμενη υπηρεσία ασφάλειας δικτύου στο Azure που προστατεύει τους πόρους του cloud ελέγχοντας και ελέγχοντας την κίνηση. Είναι ένα stateful firewall που φιλτράρει την κίνηση με βάση κανόνες για τα Layer 3 έως 7, υποστηρίζοντας την επικοινωνία τόσο εντός του Azure (ανατολική-δυτική κίνηση) όσο και προς/από εξωτερικά δίκτυα (βόρεια-νότια κίνηση). Αναπτύσσεται σε επίπεδο Virtual Network (VNet), παρέχοντας κεντρική προστασία για όλα τα υποδίκτυα στο VNet. Το Azure Firewall κλιμακώνεται αυτόματα για να διαχειριστεί τις απαιτήσεις κίνησης και εξασφαλίζει υψηλή διαθεσιμότητα χωρίς να απαιτεί χειροκίνητη ρύθμιση.
Είναι διαθέσιμο σε τρία SKUs—Basic, Standard, και Premium, το καθένα προσαρμοσμένο σε συγκεκριμένες ανάγκες πελατών:
Συνιστώμενη Χρήση
Μικρές/Μεσαίες Επιχειρήσεις (SMBs) με περιορισμένες ανάγκες
Γενική χρήση επιχείρησης, φιλτράρισμα Layer 3–7
Πολύ ευαίσθητα περιβάλλοντα (π.χ., επεξεργασία πληρωμών)
Απόδοση
Έως 250 Mbps ροή
Έως 30 Gbps ροή
Έως 100 Gbps ροή
Πληροφορίες Απειλών
Μόνο ειδοποιήσεις
Ειδοποιήσεις και αποκλεισμός (κακόβουλες IP/domains)
Ειδοποιήσεις και αποκλεισμός (προηγμένες πληροφορίες απειλών)
Φιλτράρισμα L3–L7
Βασικό φιλτράρισμα
Stateful φιλτράρισμα σε όλα τα πρωτόκολλα
Stateful φιλτράρισμα με προηγμένη επιθεώρηση
Προστασία από Προηγμένες Απειλές
Μη διαθέσιμο
Φιλτράρισμα βασισμένο σε πληροφορίες απειλών
Περιλαμβάνει Σύστημα Ανίχνευσης και Πρόληψης Εισβολών (IDPS)
Επιθεώρηση TLS
Μη διαθέσιμο
Μη διαθέσιμο
Υποστηρίζει τερματισμό TLS εισερχόμενης/εξερχόμενης κίνησης
Διαθεσιμότητα
Σταθερό backend (2 VMs)
Αυτόματη κλιμάκωση
Αυτόματη κλιμάκωση
Ευκολία Διαχείρισης
Βασικοί έλεγχοι
Διαχειρίζεται μέσω του Firewall Manager
Διαχειρίζεται μέσω του Firewall Manager
Azure Route Tables χρησιμοποιούνται για τον έλεγχο της δρομολόγησης της δικτυακής κίνησης εντός ενός υποδικτύου. Ορίζουν κανόνες που καθορίζουν πώς θα πρέπει να προωθούνται τα πακέτα, είτε σε πόρους του Azure, στο διαδίκτυο, είτε σε μια συγκεκριμένη επόμενη διαδρομή όπως μια Εικονική Συσκευή ή το Azure Firewall. Μπορείτε να συσχετίσετε έναν πίνακα δρομολόγησης με ένα subnet, και όλοι οι πόροι εντός αυτού του υποδικτύου θα ακολουθούν τις διαδρομές στον πίνακα.
Παράδειγμα: Εάν ένα υποδίκτυο φιλοξενεί πόρους που χρειάζονται να δρομολογήσουν την εξερχόμενη κίνηση μέσω μιας Εικονικής Συσκευής Δικτύου (NVA) για επιθεώρηση, μπορείτε να δημιουργήσετε μια διαδρομή σε έναν πίνακα δρομολόγησης για να ανακατευθύνετε όλη την κίνηση (π.χ., 0.0.0.0/0) στη διεύθυνση IP του NVA ως την επόμενη διαδρομή.
Azure Private Link είναι μια υπηρεσία στο Azure που επιτρέπει ιδιωτική πρόσβαση σε υπηρεσίες Azure διασφαλίζοντας ότι η κίνηση μεταξύ του εικονικού δικτύου Azure (VNet) σας και της υπηρεσίας διασχίζει αποκλειστικά το δίκτυο backbone της Microsoft Azure. Ενσωματώνει αποτελεσματικά την υπηρεσία στο VNet σας. Αυτή η ρύθμιση ενισχύει την ασφάλεια, καθώς δεν εκθέτει τα δεδομένα στο δημόσιο διαδίκτυο.
Το Private Link μπορεί να χρησιμοποιηθεί με διάφορες υπηρεσίες Azure, όπως Azure Storage, Azure SQL Database και προσαρμοσμένες υπηρεσίες που μοιράζονται μέσω του Private Link. Παρέχει έναν ασφαλή τρόπο κατανάλωσης υπηρεσιών από το δικό σας VNet ή ακόμα και από διαφορετικές συνδρομές Azure.
Τα NSGs δεν ισχύουν για ιδιωτικά endpoints, που σημαίνει σαφώς ότι η συσχέτιση ενός NSG με ένα υποδίκτυο που περιέχει το Private Link δεν θα έχει καμία επίδραση.
Παράδειγμα:
Σκεφτείτε ένα σενάριο όπου έχετε μια Azure SQL Database που θέλετε να προσπελάσετε με ασφάλεια από το VNet σας. Κανονικά, αυτό μπορεί να περιλαμβάνει τη διαδρομή μέσω του δημόσιου διαδικτύου. Με το Private Link, μπορείτε να δημιουργήσετε ένα ιδιωτικό endpoint στο VNet σας που συνδέεται απευθείας με την υπηρεσία Azure SQL Database. Αυτό το endpoint καθιστά τη βάση δεδομένων να φαίνεται σαν να είναι μέρος του δικού σας VNet, προσβάσιμη μέσω μιας ιδιωτικής διεύθυνσης IP, διασφαλίζοντας έτσι ασφαλή και ιδιωτική πρόσβαση.
Οι Azure Service Endpoints επεκτείνουν τον ιδιωτικό χώρο διευθύνσεων του εικονικού σας δικτύου και την ταυτότητα του VNet σας σε υπηρεσίες Azure μέσω άμεσης σύνδεσης. Ενεργοποιώντας τα service endpoints, οι πόροι στο VNet σας μπορούν να συνδεθούν με ασφάλεια σε υπηρεσίες Azure, όπως το Azure Storage και η Azure SQL Database, χρησιμοποιώντας το backbone δίκτυο της Azure. Αυτό διασφαλίζει ότι η κίνηση από το VNet προς την υπηρεσία Azure παραμένει εντός του δικτύου Azure, παρέχοντας μια πιο ασφαλή και αξιόπιστη διαδρομή.
Παράδειγμα:
Για παράδειγμα, ένας λογαριασμός Azure Storage είναι προσβάσιμος από προεπιλογή μέσω του δημόσιου διαδικτύου. Ενεργοποιώντας ένα service endpoint για το Azure Storage εντός του VNet σας, μπορείτε να διασφαλίσετε ότι μόνο η κίνηση από το VNet σας μπορεί να έχει πρόσβαση στον λογαριασμό αποθήκευσης. Ο τοίχος προστασίας του λογαριασμού αποθήκευσης μπορεί στη συνέχεια να ρυθμιστεί ώστε να δέχεται κίνηση μόνο από το VNet σας.
Η Microsoft προτείνει τη χρήση Private Links στα docs:
Service Endpoints:
Η κίνηση από το VNet σας προς την υπηρεσία Azure ταξιδεύει μέσω του backbone δικτύου της Microsoft Azure, παρακάμπτοντας το δημόσιο διαδίκτυο.
Το endpoint είναι μια άμεση σύνδεση με την υπηρεσία Azure και δεν παρέχει ιδιωτική IP για την υπηρεσία εντός του VNet.
Η υπηρεσία είναι ακόμα προσβάσιμη μέσω του δημόσιου endpoint της από έξω από το VNet σας, εκτός αν ρυθμίσετε το firewall της υπηρεσίας να αποκλείει τέτοια κίνηση.
Είναι μια σχέση ένα προς ένα μεταξύ του υποδικτύου και της υπηρεσίας Azure.
Λιγότερο ακριβό από τα Private Links.
Private Links:
Το Private Link χαρτογραφεί τις υπηρεσίες Azure στο VNet σας μέσω ενός ιδιωτικού endpoint, το οποίο είναι μια διεπαφή δικτύου με μια ιδιωτική διεύθυνση IP εντός του VNet σας.
Η υπηρεσία Azure προσπελάζεται χρησιμοποιώντας αυτή την ιδιωτική διεύθυνση IP, κάνοντάς την να φαίνεται ότι είναι μέρος του δικτύου σας.
Οι υπηρεσίες που συνδέονται μέσω Private Link μπορούν να προσπελαστούν μόνο από το VNet σας ή συνδεδεμένα δίκτυα· δεν υπάρχει δημόσια πρόσβαση στο διαδίκτυο για την υπηρεσία.
Επιτρέπει μια ασφαλή σύνδεση με τις υπηρεσίες Azure ή τις δικές σας υπηρεσίες που φιλοξενούνται στην Azure, καθώς και μια σύνδεση με υπηρεσίες που μοιράζονται από άλλους.
Παρέχει πιο λεπτομερή έλεγχο πρόσβασης μέσω ενός ιδιωτικού endpoint στο VNet σας, σε αντίθεση με τον ευρύτερο έλεγχο πρόσβασης στο επίπεδο του υποδικτύου με τα service endpoints.
Συνοψίζοντας, ενώ και τα Service Endpoints και τα Private Links παρέχουν ασφαλή συνδεσιμότητα με τις υπηρεσίες Azure, τα Private Links προσφέρουν υψηλότερο επίπεδο απομόνωσης και ασφάλειας διασφαλίζοντας ότι οι υπηρεσίες προσπελάζονται ιδιωτικά χωρίς να εκτίθενται στο δημόσιο διαδίκτυο. Τα Service Endpoints, από την άλλη πλευρά, είναι πιο εύκολα στην εγκατάσταση για γενικές περιπτώσεις όπου απαιτείται απλή, ασφαλής πρόσβαση στις υπηρεσίες Azure χωρίς την ανάγκη για ιδιωτική IP στο VNet.
Azure Front Door είναι ένα κλιμακούμενο και ασφαλές σημείο εισόδου για γρήγορη παράδοση των παγκόσμιων διαδικτυακών εφαρμογών σας. Συνδυάζει διάφορες υπηρεσίες όπως παγκόσμια φορτωτική ισορροπία, επιτάχυνση ιστότοπου, SSL offloading και δυνατότητες Web Application Firewall (WAF) σε μία μόνο υπηρεσία. Το Azure Front Door παρέχει έξυπνη δρομολόγηση με βάση την πλησιέστερη τοποθεσία edge στον χρήστη, διασφαλίζοντας βέλτιστη απόδοση και αξιοπιστία. Επιπλέον, προσφέρει δρομολόγηση βάσει URL, φιλοξενία πολλών ιστότοπων, προσκόλληση συνεδρίας και ασφάλεια επιπέδου εφαρμογής.
Azure Front Door WAF έχει σχεδιαστεί για να προστατεύει τις διαδικτυακές εφαρμογές από επιθέσεις μέσω του διαδικτύου χωρίς τροποποίηση του κώδικα του backend. Περιλαμβάνει προσαρμοσμένους κανόνες και διαχειριζόμενα σύνολα κανόνων για την προστασία από απειλές όπως SQL injection, cross-site scripting και άλλες κοινές επιθέσεις.
Παράδειγμα:
Φανταστείτε ότι έχετε μια παγκοσμίως κατανεμημένη εφαρμογή με χρήστες σε όλο τον κόσμο. Μπορείτε να χρησιμοποιήσετε το Azure Front Door για να δρομολογήσετε τα αιτήματα χρηστών στο πλησιέστερο περιφερειακό κέντρο δεδομένων που φιλοξενεί την εφαρμογή σας, μειώνοντας έτσι την καθυστέρηση, βελτιώνοντας την εμπειρία του χρήστη και προστατεύοντάς την από διαδικτυακές επιθέσεις με τις δυνατότητες WAF. Εάν μια συγκεκριμένη περιοχή αντιμετωπίσει διακοπή, το Azure Front Door μπορεί αυτόματα να επαναδρομολογήσει την κίνηση στην επόμενη καλύτερη τοποθεσία, διασφαλίζοντας υψηλή διαθεσιμότητα.
Azure Application Gateway είναι ένας ισοσταθμιστής φορτίου διαδικτυακής κίνησης που σας επιτρέπει να διαχειρίζεστε την κίνηση προς τις ιστοσελίδες σας. Προσφέρει ισοστάθμιση φορτίου επιπέδου 7, τερματισμό SSL και δυνατότητες τείχους προστασίας εφαρμογών (WAF) στον Ελεγκτή Παράδοσης Εφαρμογών (ADC) ως υπηρεσία. Τα κύρια χαρακτηριστικά περιλαμβάνουν δρομολόγηση βάσει URL, προσκόλληση συνεδρίας βάσει cookie και αποφόρτιση Secure Sockets Layer (SSL), τα οποία είναι κρίσιμα για εφαρμογές που απαιτούν σύνθετες δυνατότητες ισοστάθμισης φορτίου όπως η παγκόσμια δρομολόγηση και η δρομολόγηση βάσει διαδρομής.
Παράδειγμα:
Σκεφτείτε ένα σενάριο όπου έχετε μια ιστοσελίδα ηλεκτρονικού εμπορίου που περιλαμβάνει πολλαπλά υποτομείς για διαφορετικές λειτουργίες, όπως λογαριασμούς χρηστών και επεξεργασία πληρωμών. Το Azure Application Gateway μπορεί να δρομολογήσει την κίνηση στους κατάλληλους διακομιστές ιστού με βάση τη διαδρομή URL. Για παράδειγμα, η κίνηση προς το example.com/accounts θα μπορούσε να κατευθυνθεί στην υπηρεσία λογαριασμών χρηστών, και η κίνηση προς το example.com/pay θα μπορούσε να κατευθυνθεί στην υπηρεσία επεξεργασίας πληρωμών.
Και να προστατεύσετε την ιστοσελίδα σας από επιθέσεις χρησιμοποιώντας τις δυνατότητες WAF.
VNet Peering είναι μια δυνατότητα δικτύωσης στο Azure που επιτρέπει σε διαφορετικά Εικονικά Δίκτυα (VNets) να συνδέονται άμεσα και χωρίς προβλήματα. Μέσω του VNet peering, οι πόροι σε ένα VNet μπορούν να επικοινωνούν με πόρους σε άλλο VNet χρησιμοποιώντας ιδιωτικές διευθύνσεις IP, σαν να βρίσκονταν στο ίδιο δίκτυο. Το VNet Peering μπορεί επίσης να χρησιμοποιηθεί με τοπικά δίκτυα ρυθμίζοντας ένα site-to-site VPN ή Azure ExpressRoute.
Azure Hub and Spoke είναι μια τοπολογία δικτύου που χρησιμοποιείται στο Azure για τη διαχείριση και οργάνωση της κυκλοφορίας δικτύου. Ο "κόμβος" είναι ένα κεντρικό σημείο που ελέγχει και δρομολογεί την κυκλοφορία μεταξύ διαφορετικών "ακτίνων". Ο κόμβος συνήθως περιέχει κοινές υπηρεσίες όπως εικονικές συσκευές δικτύου (NVAs), Azure VPN Gateway, Azure Firewall ή Azure Bastion. Οι "ακτίνες" είναι VNets που φιλοξενούν φορτία εργασίας και συνδέονται με τον κόμβο χρησιμοποιώντας VNet peering, επιτρέποντάς τους να εκμεταλλεύονται τις κοινές υπηρεσίες εντός του κόμβου. Αυτό το μοντέλο προάγει μια καθαρή διάταξη δικτύου, μειώνοντας την πολυπλοκότητα κεντροποιώντας κοινές υπηρεσίες που μπορούν να χρησιμοποιηθούν από πολλαπλά φορτία εργασίας σε διαφορετικά VNets.
Η ζεύξη VNET είναι μη μεταβατική στο Azure, που σημαίνει ότι αν η ακτίνα 1 είναι συνδεδεμένη με την ακτίνα 2 και η ακτίνα 2 είναι συνδεδεμένη με την ακτίνα 3, τότε η ακτίνα 1 δεν μπορεί να μιλήσει απευθείας με την ακτίνα 3.
Παράδειγμα:
Φανταστείτε μια εταιρεία με ξεχωριστά τμήματα όπως Πωλήσεις, Ανθρώπινοι Πόροι και Ανάπτυξη, κάθε ένα με το δικό του VNet (οι ακτίνες). Αυτά τα VNets χρειάζονται πρόσβαση σε κοινά ресурσά όπως μια κεντρική βάση δεδομένων, ένα τείχος προστασίας και μια πύλη στο διαδίκτυο, που βρίσκονται όλα σε ένα άλλο VNet (τον κόμβο). Χρησιμοποιώντας το μοντέλο Hub and Spoke, κάθε τμήμα μπορεί να συνδεθεί με ασφάλεια στους κοινά πόρους μέσω του VNet του κόμβου χωρίς να εκθέτει αυτούς τους πόρους στο δημόσιο διαδίκτυο ή να δημιουργεί μια περίπλοκη δομή δικτύου με πολλές συνδέσεις.
Ένα Site-to-Site VPN στο Azure σας επιτρέπει να συνδέσετε το τοπικό σας δίκτυο με το Azure Virtual Network (VNet), επιτρέποντας στους πόρους όπως οι VM εντός του Azure να φαίνονται σαν να είναι στο τοπικό σας δίκτυο. Αυτή η σύνδεση καθορίζεται μέσω ενός VPN gateway που κρυπτογραφεί την κίνηση μεταξύ των δύο δικτύων.
Παράδειγμα:
Μια επιχείρηση με το κύριο γραφείο της στη Νέα Υόρκη έχει ένα τοπικό κέντρο δεδομένων που χρειάζεται να συνδεθεί με ασφάλεια με το VNet της στο Azure, το οποίο φιλοξενεί τα εικονικοποιημένα φορτία εργασίας της. Ρυθμίζοντας ένα Site-to-Site VPN, η εταιρεία μπορεί να διασφαλίσει κρυπτογραφημένη συνδεσιμότητα μεταξύ των τοπικών διακομιστών και των Azure VM, επιτρέποντας στους πόρους να προσπελάζονται με ασφάλεια και στις δύο περιβάλλουσες σαν να βρίσκονταν στο ίδιο τοπικό δίκτυο.
Azure ExpressRoute είναι μια υπηρεσία που παρέχει μια ιδιωτική, αφιερωμένη, υψηλής ταχύτητας σύνδεση μεταξύ της υποδομής σας στις εγκαταστάσεις και των κέντρων δεδομένων Azure. Αυτή η σύνδεση γίνεται μέσω ενός παρόχου συνδεσιμότητας, παρακάμπτοντας το δημόσιο διαδίκτυο και προσφέροντας περισσότερη αξιοπιστία, ταχύτερες ταχύτητες, χαμηλότερες καθυστερήσεις και υψηλότερη ασφάλεια από τις τυπικές συνδέσεις στο διαδίκτυο.
Παράδειγμα:
Μια πολυεθνική εταιρεία απαιτεί μια σταθερή και αξιόπιστη σύνδεση με τις υπηρεσίες Azure λόγω του υψηλού όγκου δεδομένων και της ανάγκης για υψηλή απόδοση. Η εταιρεία επιλέγει το Azure ExpressRoute για να συνδέσει απευθείας το κέντρο δεδομένων της στις εγκαταστάσεις με το Azure, διευκολύνοντας τις μεγάλες μεταφορές δεδομένων, όπως οι καθημερινές εφεδρικές αντιγράφες και η ανάλυση δεδομένων σε πραγματικό χρόνο, με ενισχυμένη ιδιωτικότητα και ταχύτητα.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
