Az - Azure Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure वर्चुअल नेटवर्क (VNet) प्रदान करता है जो उपयोगकर्ताओं को Azure क्लाउड के भीतर अलग नेटवर्क बनाने की अनुमति देता है। इन VNets के भीतर, वर्चुअल मशीनों, अनुप्रयोगों, डेटाबेस... जैसे संसाधनों को सुरक्षित रूप से होस्ट और प्रबंधित किया जा सकता है। Azure में नेटवर्किंग क्लाउड के भीतर (Azure सेवाओं के बीच) संचार और बाहरी नेटवर्क और इंटरनेट से कनेक्शन दोनों का समर्थन करती है। इसके अलावा, VNets को अन्य VNets और ऑन-प्रिमाइस नेटवर्क के साथ कनेक्ट करना संभव है।
Azure वर्चुअल नेटवर्क (VNet) आपके अपने नेटवर्क का प्रतिनिधित्व है जो क्लाउड में, आपके सब्सक्रिप्शन के लिए समर्पित Azure वातावरण के भीतर तार्किक अलगाव प्रदान करता है। VNets आपको Azure में वर्चुअल प्राइवेट नेटवर्क (VPNs) को प्रावधान और प्रबंधित करने की अनुमति देते हैं, जो वर्चुअल मशीनों (VMs), डेटाबेस, और अनुप्रयोग सेवाओं जैसे संसाधनों को होस्ट करते हैं। वे नेटवर्क सेटिंग्स पर पूर्ण नियंत्रण प्रदान करते हैं, जिसमें IP पता रेंज, सबनेट निर्माण, रूट तालिकाएँ, और नेटवर्क गेटवे शामिल हैं।
सबनेट एक VNet के भीतर उपविभाजन हैं, जिन्हें विशिष्ट IP पता रेंज द्वारा परिभाषित किया गया है। एक VNet को कई सबनेट में विभाजित करके, आप अपने नेटवर्क आर्किटेक्चर के अनुसार संसाधनों को व्यवस्थित और सुरक्षित कर सकते हैं। डिफ़ॉल्ट रूप से, एक ही Azure वर्चुअल नेटवर्क (VNet) के भीतर सभी सबनेट एक-दूसरे के साथ संवाद कर सकते हैं बिना किसी प्रतिबंध के।
उदाहरण:
MyVNet
जिसमें IP पता रेंज 10.0.0.0/16 है।
Subnet-1: 10.0.0.0/24 वेब सर्वरों के लिए।
Subnet-2: 10.0.1.0/24 डेटाबेस सर्वरों के लिए।
Azure खाते में सभी VNets और सबनेट की सूची बनाने के लिए, आप Azure कमांड-लाइन इंटरफेस (CLI) का उपयोग कर सकते हैं। यहाँ कदम हैं:
एक नेटवर्क सुरक्षा समूह (NSG) Azure संसाधनों के लिए Azure वर्चुअल नेटवर्क (VNet) के भीतर नेटवर्क ट्रैफ़िक को फ़िल्टर करता है। इसमें सुरक्षा नियमों का एक सेट होता है जो इनबाउंड और आउटबाउंड ट्रैफ़िक के लिए कौन से पोर्ट खोलने हैं को स्रोत पोर्ट, स्रोत IP, पोर्ट गंतव्य द्वारा इंगित कर सकता है और इसे एक प्राथमिकता सौंपना संभव है (जितनी कम प्राथमिकता संख्या, उतनी ही उच्च प्राथमिकता)।
NSGs को सबनेट और NICs से जोड़ा जा सकता है।
नियमों का उदाहरण:
एक इनबाउंड नियम जो किसी भी स्रोत से आपके वेब सर्वरों के लिए HTTP ट्रैफ़िक (पोर्ट 80) की अनुमति देता है।
एक आउटबाउंड नियम जो केवल एक विशिष्ट गंतव्य IP पते की सीमा के लिए SQL ट्रैफ़िक (पोर्ट 1433) की अनुमति देता है।
Azure Firewall एक प्रबंधित नेटवर्क सुरक्षा सेवा है जो Azure में क्लाउड संसाधनों की सुरक्षा करती है, ट्रैफ़िक की जांच और नियंत्रण करके। यह एक स्टेटफुल फ़ायरवॉल है जो लेयर 3 से 7 के लिए नियमों के आधार पर ट्रैफ़िक को फ़िल्टर करता है, जो Azure के भीतर (पूर्व-पश्चिम ट्रैफ़िक) और बाहरी नेटवर्क के लिए/से (उत्तर-दक्षिण ट्रैफ़िक) संचार का समर्थन करता है। इसे वर्चुअल नेटवर्क (VNet) स्तर पर तैनात किया गया है, जो VNet में सभी सबनेट्स के लिए केंद्रीकृत सुरक्षा प्रदान करता है। Azure Firewall स्वचालित रूप से ट्रैफ़िक की मांगों को संभालने के लिए स्केल करता है और मैनुअल सेटअप की आवश्यकता के बिना उच्च उपलब्धता सुनिश्चित करता है।
यह तीन SKUs में उपलब्ध है—बेसिक, स्टैंडर्ड, और प्रीमियम, प्रत्येक विशिष्ट ग्राहक आवश्यकताओं के लिए अनुकूलित:
अनुशंसित उपयोग मामला
सीमित आवश्यकताओं वाले छोटे/मध्यम व्यवसाय (SMBs)
सामान्य उद्यम उपयोग, लेयर 3–7 फ़िल्टरिंग
अत्यधिक संवेदनशील वातावरण (जैसे, भुगतान प्रसंस्करण)
प्रदर्शन
250 Mbps तक थ्रूपुट
30 Gbps तक थ्रूपुट
100 Gbps तक थ्रूपुट
खतरे की जानकारी
केवल अलर्ट
अलर्ट और ब्लॉकिंग (दुष्ट IPs/डोमेन)
अलर्ट और ब्लॉकिंग (उन्नत खतरे की जानकारी)
L3–L7 फ़िल्टरिंग
बुनियादी फ़िल्टरिंग
प्रोटोकॉल के बीच स्टेटफुल फ़िल्टरिंग
उन्नत निरीक्षण के साथ स्टेटफुल फ़िल्टरिंग
उन्नत खतरे की सुरक्षा
उपलब्ध नहीं
खतरे की जानकारी आधारित फ़िल्टरिंग
घुसपैठ पहचान और रोकथाम प्रणाली (IDPS) शामिल है
TLS निरीक्षण
उपलब्ध नहीं
उपलब्ध नहीं
इनबाउंड/आउटबाउंड TLS समाप्ति का समर्थन करता है
उपलब्धता
निश्चित बैकएंड (2 VMs)
ऑटोस्केलिंग
ऑटोस्केलिंग
प्रबंधन में आसानी
बुनियादी नियंत्रण
फ़ायरवॉल प्रबंधक के माध्यम से प्रबंधित
फ़ायरवॉल प्रबंधक के माध्यम से प्रबंधित
Azure Route Tables का उपयोग नेटवर्क ट्रैफ़िक के रूटिंग को नियंत्रित करने के लिए किया जाता है एक subnet के भीतर। वे नियमों को परिभाषित करते हैं जो यह निर्दिष्ट करते हैं कि पैकेट्स को कैसे अग्रेषित किया जाना चाहिए, या तो Azure संसाधनों, इंटरनेट, या एक विशिष्ट अगले हॉप जैसे कि एक वर्चुअल एप्लायंस या Azure फ़ायरवॉल। आप एक रूट टेबल को एक subnet के साथ जोड़ सकते हैं, और उस subnet के भीतर सभी संसाधन तालिका में रूट का पालन करेंगे।
उदाहरण: यदि एक subnet में ऐसे संसाधन हैं जिन्हें निरीक्षण के लिए नेटवर्क वर्चुअल एप्लायंस (NVA) के माध्यम से आउटबाउंड ट्रैफ़िक को रूट करने की आवश्यकता है, तो आप एक रूट टेबल में एक route बना सकते हैं ताकि सभी ट्रैफ़िक (जैसे, 0.0.0.0/0
) को NVA के निजी IP पते पर अगले हॉप के रूप में पुनर्निर्देशित किया जा सके।
Azure Private Link एक सेवा है जो Azure में Azure सेवाओं के लिए निजी पहुंच सक्षम करती है यह सुनिश्चित करके कि आपके Azure वर्चुअल नेटवर्क (VNet) और सेवा के बीच का ट्रैफ़िक पूरी तरह से Microsoft के Azure बैकबोन नेटवर्क के भीतर यात्रा करता है। यह प्रभावी रूप से सेवा को आपके VNet में लाता है। यह सेटअप सुरक्षा को बढ़ाता है क्योंकि डेटा को सार्वजनिक इंटरनेट पर उजागर नहीं किया जाता है।
Private Link का उपयोग विभिन्न Azure सेवाओं के साथ किया जा सकता है, जैसे Azure Storage, Azure SQL Database, और Private Link के माध्यम से साझा की गई कस्टम सेवाएं। यह आपके अपने VNet के भीतर या यहां तक कि विभिन्न Azure सब्सक्रिप्शन से सेवाओं का उपभोग करने का एक सुरक्षित तरीका प्रदान करता है।
NSGs निजी एंडपॉइंट्स पर लागू नहीं होते हैं, जिसका स्पष्ट अर्थ है कि Private Link वाले सबनेट के साथ NSG को जोड़ने का कोई प्रभाव नहीं होगा।
उदाहरण:
एक परिदृश्य पर विचार करें जहां आपके पास एक Azure SQL Database है जिसे आप अपने VNet से सुरक्षित रूप से एक्सेस करना चाहते हैं। सामान्यतः, इसमें सार्वजनिक इंटरनेट को पार करना शामिल हो सकता है। Private Link के साथ, आप अपने VNet में एक निजी एंडपॉइंट बना सकते हैं जो सीधे Azure SQL Database सेवा से जुड़ता है। यह एंडपॉइंट डेटाबेस को इस तरह से प्रदर्शित करता है जैसे कि यह आपके अपने VNet का हिस्सा है, जिसे एक निजी IP पते के माध्यम से एक्सेस किया जा सकता है, इस प्रकार सुरक्षित और निजी पहुंच सुनिश्चित करता है।
Azure सेवा अंतर्देश आपके वर्चुअल नेटवर्क के निजी पते के स्थान और आपके VNet की पहचान को Azure सेवाओं के साथ एक प्रत्यक्ष कनेक्शन के माध्यम से बढ़ाते हैं। सेवा अंतर्देश को सक्षम करके, आपके VNet में संसाधन सुरक्षित रूप से Azure सेवाओं से कनेक्ट कर सकते हैं, जैसे Azure Storage और Azure SQL Database, Azure के बैकबोन नेटवर्क का उपयोग करते हुए। यह सुनिश्चित करता है कि VNet से Azure सेवा तक का ट्रैफ़िक Azure नेटवर्क के भीतर रहता है, जो एक अधिक सुरक्षित और विश्वसनीय मार्ग प्रदान करता है।
उदाहरण:
उदाहरण के लिए, एक Azure Storage खाता डिफ़ॉल्ट रूप से सार्वजनिक इंटरनेट पर सुलभ है। अपने VNet के भीतर Azure Storage के लिए एक सेवा अंतर्देश को सक्षम करके, आप सुनिश्चित कर सकते हैं कि केवल आपके VNet से आने वाला ट्रैफ़िक स्टोरेज खाते तक पहुँच सकता है। फिर स्टोरेज खाता फ़ायरवॉल को इस प्रकार कॉन्फ़िगर किया जा सकता है कि यह केवल आपके VNet से आने वाले ट्रैफ़िक को स्वीकार करे।
Microsoft docs में Private Links का उपयोग करने की सिफारिश करता है:
Service Endpoints:
आपके VNet से Azure सेवा तक का ट्रैफ़िक Microsoft Azure बैकबोन नेटवर्क के माध्यम से यात्रा करता है, सार्वजनिक इंटरनेट को बायपास करता है।
Endpoint Azure सेवा के लिए एक सीधा कनेक्शन है और VNet के भीतर सेवा के लिए एक निजी IP प्रदान नहीं करता है।
सेवा स्वयं आपके VNet के बाहर से इसके सार्वजनिक endpoint के माध्यम से अभी भी सुलभ है जब तक कि आप सेवा फ़ायरवॉल को ऐसे ट्रैफ़िक को ब्लॉक करने के लिए कॉन्फ़िगर नहीं करते।
यह सबनेट और Azure सेवा के बीच एक-से-एक संबंध है।
Private Links की तुलना में कम महंगा है।
Private Links:
Private Link Azure सेवाओं को आपके VNet में एक निजी endpoint के माध्यम से मैप करता है, जो आपके VNet के भीतर एक निजी IP पते के साथ एक नेटवर्क इंटरफ़ेस है।
Azure सेवा को इस निजी IP पते का उपयोग करके एक्सेस किया जाता है, जिससे यह ऐसा प्रतीत होता है जैसे यह आपके नेटवर्क का हिस्सा है।
Private Link के माध्यम से जुड़े सेवाओं को केवल आपके VNet या जुड़े नेटवर्क से एक्सेस किया जा सकता है; सेवा के लिए कोई सार्वजनिक इंटरनेट एक्सेस नहीं है।
यह Azure सेवाओं या Azure में होस्ट की गई आपकी अपनी सेवाओं के लिए एक सुरक्षित कनेक्शन सक्षम करता है, साथ ही दूसरों द्वारा साझा की गई सेवाओं के लिए भी।
यह आपके VNet में एक निजी endpoint के माध्यम से अधिक बारीक पहुंच नियंत्रण प्रदान करता है, जबकि सेवा endpoints के साथ सबनेट स्तर पर व्यापक पहुंच नियंत्रण के विपरीत।
संक्षेप में, जबकि Service Endpoints और Private Links दोनों Azure सेवाओं के लिए सुरक्षित कनेक्टिविटी प्रदान करते हैं, Private Links एक उच्च स्तर की अलगाव और सुरक्षा प्रदान करते हैं यह सुनिश्चित करके कि सेवाओं को सार्वजनिक इंटरनेट के लिए उजागर किए बिना निजी रूप से एक्सेस किया जाता है। दूसरी ओर, Service Endpoints सामान्य मामलों के लिए सेट अप करना आसान है जहां Azure सेवाओं के लिए सरल, सुरक्षित पहुंच की आवश्यकता होती है बिना VNet में एक निजी IP की आवश्यकता के।
Azure Front Door आपके वैश्विक वेब अनुप्रयोगों के लिए तेज़ डिलीवरी का एक स्केलेबल और सुरक्षित प्रवेश बिंदु है। यह वैश्विक लोड बैलेंसिंग, साइट त्वरक, SSL ऑफ़लोडिंग, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताओं जैसी विभिन्न सेवाओं को एकल सेवा में संयोजित करता है। Azure Front Door उपयोगकर्ता के लिए सबसे निकटतम एज स्थान के आधार पर बुद्धिमान रूटिंग प्रदान करता है, जिससे प्रदर्शन और विश्वसनीयता सुनिश्चित होती है। इसके अतिरिक्त, यह URL-आधारित रूटिंग, कई साइट होस्टिंग, सत्र संबंधिता, और एप्लिकेशन स्तर की सुरक्षा प्रदान करता है।
Azure Front Door WAF को वेब-आधारित हमलों से वेब अनुप्रयोगों की सुरक्षा के लिए डिज़ाइन किया गया है बिना बैक-एंड कोड में संशोधन किए। इसमें SQL इंजेक्शन, क्रॉस-साइट स्क्रिप्टिंग, और अन्य सामान्य हमलों जैसे खतरों से सुरक्षा के लिए कस्टम नियम और प्रबंधित नियम सेट शामिल हैं।
उदाहरण:
कल्पना करें कि आपके पास एक वैश्विक रूप से वितरित अनुप्रयोग है जिसमें दुनिया भर में उपयोगकर्ता हैं। आप Azure Front Door का उपयोग करके उपयोगकर्ता अनुरोधों को आपके अनुप्रयोग को होस्ट करने वाले निकटतम क्षेत्रीय डेटा सेंटर की ओर रूट कर सकते हैं, जिससे विलंबता कम होती है, उपयोगकर्ता अनुभव में सुधार होता है और WAF क्षमताओं के साथ वेब हमलों से इसकी रक्षा होती है। यदि किसी विशेष क्षेत्र में डाउनटाइम होता है, तो Azure Front Door स्वचालित रूप से ट्रैफ़िक को अगले सबसे अच्छे स्थान पर पुनः रूट कर सकता है, जिससे उच्च उपलब्धता सुनिश्चित होती है।
Azure Application Gateway एक वेब ट्रैफ़िक लोड बैलेंसर है जो आपको अपने वेब अनुप्रयोगों के लिए ट्रैफ़िक प्रबंधित करने की अनुमति देता है। यह लेयर 7 लोड बैलेंसिंग, SSL टर्मिनेशन, और वेब एप्लिकेशन फ़ायरवॉल (WAF) क्षमताएँ Application Delivery Controller (ADC) के रूप में सेवा में प्रदान करता है। मुख्य विशेषताओं में URL-आधारित रूटिंग, कुकी-आधारित सत्र संबंधी निष्ठा, और सुरक्षित सॉकेट्स लेयर (SSL) ऑफ़लोडिंग शामिल हैं, जो उन अनुप्रयोगों के लिए महत्वपूर्ण हैं जिन्हें जटिल लोड-बैलेंसिंग क्षमताओं की आवश्यकता होती है जैसे वैश्विक रूटिंग और पथ-आधारित रूटिंग।
उदाहरण:
एक परिदृश्य पर विचार करें जहाँ आपके पास एक ई-कॉमर्स वेबसाइट है जिसमें विभिन्न कार्यों के लिए कई उपडोमेन शामिल हैं, जैसे उपयोगकर्ता खाते और भुगतान प्रसंस्करण। Azure Application Gateway URL पथ के आधार पर उपयुक्त वेब सर्वरों के लिए ट्रैफ़िक को रूट कर सकता है। उदाहरण के लिए, example.com/accounts
पर ट्रैफ़िक को उपयोगकर्ता खातों की सेवा की ओर निर्देशित किया जा सकता है, और example.com/pay
पर ट्रैफ़िक को भुगतान प्रसंस्करण सेवा की ओर निर्देशित किया जा सकता है।
और WAF क्षमताओं का उपयोग करके अपने वेबसाइट को हमलों से सुरक्षित करें।
VNet Peering एक नेटवर्किंग फीचर है जो Azure में विभिन्न वर्चुअल नेटवर्क (VNets) को सीधे और निर्बाध रूप से जोड़ने की अनुमति देता है। VNet पीयरिंग के माध्यम से, एक VNet में संसाधन दूसरे VNet में संसाधनों के साथ निजी IP पते का उपयोग करके संवाद कर सकते हैं, जैसे कि वे एक ही नेटवर्क में हों। VNet Peering को ऑन-प्रेम नेटवर्क के साथ भी उपयोग किया जा सकता है साइट-से-साइट VPN या Azure ExpressRoute सेटअप करके।
Azure Hub and Spoke एक नेटवर्क टोपोलॉजी है जिसका उपयोग Azure में नेटवर्क ट्रैफ़िक को प्रबंधित और व्यवस्थित करने के लिए किया जाता है। "हब" एक केंद्रीय बिंदु है जो विभिन्न "स्पोक्स" के बीच ट्रैफ़िक को नियंत्रित और रूट करता है। हब में आमतौर पर साझा सेवाएँ होती हैं जैसे नेटवर्क वर्चुअल एप्लायंसेस (NVAs), Azure VPN गेटवे, Azure फ़ायरवॉल, या Azure बैस्टियन। "स्पोक्स" वे VNets हैं जो कार्यभार होस्ट करते हैं और VNet पीयरिंग का उपयोग करके हब से जुड़े होते हैं, जिससे उन्हें हब के भीतर साझा सेवाओं का लाभ उठाने की अनुमति मिलती है। यह मॉडल साफ नेटवर्क लेआउट को बढ़ावा देता है, जिससे जटिलता कम होती है क्योंकि यह विभिन्न VNets के बीच कई कार्यभारों द्वारा उपयोग की जाने वाली सामान्य सेवाओं को केंद्रीकृत करता है।
Azure में VNET पेयरिंग गैर-परिवर्तनीय है, जिसका अर्थ है कि यदि स्पोक 1 स्पोक 2 से जुड़ा है और स्पोक 2 स्पोक 3 से जुड़ा है, तो स्पोक 1 सीधे स्पोक 3 से बात नहीं कर सकता।
उदाहरण:
कल्पना करें कि एक कंपनी में अलग-अलग विभाग हैं जैसे बिक्री, मानव संसाधन, और विकास, प्रत्येक के पास अपना खुद का VNet (स्पोक्स) है। इन VNets को साझा संसाधनों तक पहुँच की आवश्यकता होती है जैसे एक केंद्रीय डेटाबेस, एक फ़ायरवॉल, और एक इंटरनेट गेटवे, जो सभी दूसरे VNet (हब) में स्थित हैं। हब और स्पोक मॉडल का उपयोग करके, प्रत्येक विभाग हब VNet के माध्यम से साझा संसाधनों से सुरक्षित रूप से जुड़ सकता है बिना उन संसाधनों को सार्वजनिक इंटरनेट पर उजागर किए या कई कनेक्शनों के साथ एक जटिल नेटवर्क संरचना बनाए बिना।
Azure में एक साइट-से-साइट VPN आपको अपने ऑन-प्रिमाइसेस नेटवर्क को अपने Azure वर्चुअल नेटवर्क (VNet) से कनेक्ट करने की अनुमति देता है, जिससे Azure के भीतर VMs जैसे संसाधन आपके स्थानीय नेटवर्क पर होने का आभास देते हैं। यह कनेक्शन एक VPN गेटवे के माध्यम से स्थापित किया जाता है जो दोनों नेटवर्कों के बीच ट्रैफ़िक को एन्क्रिप्ट करता है।
उदाहरण:
एक व्यवसाय जिसका मुख्य कार्यालय न्यूयॉर्क में स्थित है, एक ऑन-प्रिमाइसेस डेटा सेंटर है जिसे Azure में अपने VNet से सुरक्षित रूप से कनेक्ट करने की आवश्यकता है, जो इसके वर्चुअलाइज्ड वर्कलोड्स को होस्ट करता है। एक साइट-से-साइट VPN सेटअप करके, कंपनी ऑन-प्रिमाइसेस सर्वरों और Azure VMs के बीच एन्क्रिप्टेड कनेक्टिविटी सुनिश्चित कर सकती है, जिससे दोनों वातावरणों में संसाधनों को सुरक्षित रूप से एक्सेस किया जा सके जैसे कि वे एक ही स्थानीय नेटवर्क में हों।
Azure ExpressRoute एक सेवा है जो आपके ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर और Azure डेटा केंद्रों के बीच एक निजी, समर्पित, उच्च-गति कनेक्शन प्रदान करती है। यह कनेक्शन एक कनेक्टिविटी प्रदाता के माध्यम से बनाया जाता है, जो सार्वजनिक इंटरनेट को बायपास करता है और सामान्य इंटरनेट कनेक्शनों की तुलना में अधिक विश्वसनीयता, तेज गति, कम विलंबता और उच्च सुरक्षा प्रदान करता है।
उदाहरण:
एक बहुराष्ट्रीय निगम को उच्च मात्रा के डेटा और उच्च थ्रूपुट की आवश्यकता के कारण अपने Azure सेवाओं के लिए एक संगत और विश्वसनीय कनेक्शन की आवश्यकता होती है। कंपनी अपने ऑन-प्रिमाइसेस डेटा केंद्र को Azure से सीधे कनेक्ट करने के लिए Azure ExpressRoute का विकल्प चुनती है, जिससे बड़े पैमाने पर डेटा ट्रांसफर, जैसे दैनिक बैकअप और वास्तविक समय डेटा एनालिटिक्स, को बेहतर गोपनीयता और गति के साथ सुगम बनाया जा सके।
सीखें और AWS हैकिंग का अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) सीखें और GCP हैकिंग का अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)