Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure Key Vault est un service cloud fourni par Microsoft Azure pour stocker et gérer en toute sécurité des informations sensibles telles que secrets, clés, certificats et mots de passe. Il agit comme un référentiel centralisé, offrant un accès sécurisé et un contrôle granulaire à l'aide d'Azure Active Directory (Azure AD). D'un point de vue sécurité, Key Vault fournit une protection par module de sécurité matériel (HSM) pour les clés cryptographiques, garantit que les secrets sont chiffrés à la fois au repos et en transit, et offre une gestion d'accès robuste via le contrôle d'accès basé sur les rôles (RBAC) et des politiques. Il dispose également de journaux d'audit, d'une intégration avec Azure Monitor pour le suivi des accès, et d'une rotation automatique des clés pour réduire le risque d'exposition prolongée des clés.
Voir Aperçu de l'API REST Azure Key Vault pour des détails complets.
Selon les docs, les coffres-forts prennent en charge le stockage de clés, secrets et certificats logiciels et soutenus par HSM. Les pools HSM gérés ne prennent en charge que les clés soutenues par HSM.
Le format d'URL pour les coffres-forts est https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
et pour les pools HSM gérés c'est : https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Où :
vault-name
est le nom unique du coffre-fort
object-type
peut être "keys", "secrets" ou "certificates"
object-name
est le nom unique de l'objet dans le coffre-fort
object-version
est généré par le système et utilisé en option pour adresser une version unique d'un objet.
Pour accéder aux secrets stockés dans le coffre-fort, il est possible de choisir entre 2 modèles de permissions lors de la création du coffre-fort :
Politique d'accès au coffre-fort
Azure RBAC (le plus courant et recommandé)
Vous pouvez trouver toutes les permissions granulaires prises en charge sur https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault
L'accès à une ressource Key Vault est contrôlé par deux plans :
Le plan de gestion, dont la cible est management.azure.com.
Il est utilisé pour gérer le coffre-fort et les politiques d'accès. Seul le contrôle d'accès basé sur les rôles Azure (RBAC) est pris en charge.
Le plan de données, dont la cible est <vault-name>.vault.azure.com
.
Il est utilisé pour gérer et accéder aux données (clés, secrets et certificats) dans le coffre-fort. Cela prend en charge les politiques d'accès au coffre-fort ou Azure RBAC.
Un rôle comme Contributor qui a des permissions dans le plan de gestion pour gérer les politiques d'accès peut accéder aux secrets en modifiant les politiques d'accès.
Dans Azure Key Vault, des règles de pare-feu peuvent être mises en place pour autoriser les opérations du plan de données uniquement à partir de réseaux virtuels spécifiés ou de plages d'adresses IPv4. Cette restriction affecte également l'accès via le portail d'administration Azure ; les utilisateurs ne pourront pas lister les clés, secrets ou certificats dans un coffre-fort si leur adresse IP de connexion n'est pas dans la plage autorisée.
Pour analyser et gérer ces paramètres, vous pouvez utiliser l'Azure CLI :
La commande précédente affichera les paramètres de pare-feu de name-vault
, y compris les plages IP activées et les politiques pour le trafic refusé.
De plus, il est possible de créer un point de terminaison privé pour permettre une connexion privée à un coffre.
Lorsqu'un coffre de clés est créé, le nombre minimum de jours autorisés pour la suppression est de 7. Ce qui signifie que chaque fois que vous essayez de supprimer ce coffre de clés, il faudra au moins 7 jours pour être supprimé.
Cependant, il est possible de créer un coffre avec la protection contre la purge désactivée, ce qui permet de purger le coffre de clés et les objets pendant la période de conservation. Cependant, une fois cette protection activée pour un coffre, elle ne peut pas être désactivée.
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)