Az - Azure Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azureは、ユーザーがAzureクラウド内に孤立した ネットワークを作成できる仮想ネットワーク(VNet)を提供します。これらのVNet内では、仮想マシン、アプリケーション、データベースなどのリソースを安全にホストおよび管理できます。Azureのネットワーキングは、クラウド内の通信(Azureサービス間)と外部ネットワークおよびインターネットへの接続の両方をサポートします。 さらに、VNetを他のVNetやオンプレミスネットワークと接続することも可能です。
Azure仮想ネットワーク(VNet)は、クラウド内の自分のネットワークの表現であり、サブスクリプションに専用のAzure環境内での論理的隔離を提供します。VNetは、Azureで仮想プライベートネットワーク(VPN)をプロビジョニングおよび管理できるようにし、仮想マシン(VM)、データベース、アプリケーションサービスなどのリソースをホストします。これにより、IPアドレス範囲、サブネットの作成、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定に対する完全な制御が提供されます。
サブネットは、特定のIPアドレス範囲によって定義されたVNet内の細分化です。VNetを複数のサブネットに分割することで、ネットワークアーキテクチャに応じてリソースを整理および保護できます。 デフォルトでは、同じAzure仮想ネットワーク(VNet)内のすべてのサブネットは、制限なしに相互に通信できます。
例:
MyVNetのIPアドレス範囲は10.0.0.0/16。
サブネット-1: ウェブサーバー用の10.0.0.0/24。
サブネット-2: データベースサーバー用の10.0.1.0/24。
Azureアカウント内のすべてのVNetとサブネットをリストするには、Azureコマンドラインインターフェース(CLI)を使用できます。手順は以下の通りです。
ネットワーク セキュリティ グループ (NSG) は、Azure 仮想ネットワーク (VNet) 内の Azure リソースへのおよび Azure リソースからのネットワークトラフィックをフィルタリングします。これは、受信および送信トラフィックのために開くべきポートをソースポート、ソースIP、ポートの宛先によって示すことができる一連の セキュリティルール を含んでおり、優先度を割り当てることも可能です(優先度番号が低いほど優先度が高くなります)。
NSG は サブネットおよび NIC に関連付けることができます。
ルールの例:
任意のソースからあなたのウェブサーバーへの HTTP トラフィック (ポート 80) を許可する受信ルール。
特定の宛先 IP アドレス範囲への SQL トラフィック (ポート 1433) のみを許可する送信ルール。
Azure Firewallは、クラウドリソースを保護するためにトラフィックを検査および制御する管理されたネットワークセキュリティサービスです。これは、Azure内(東西トラフィック)および外部ネットワークとの間(南北トラフィック)の通信をサポートし、レイヤー3から7のルールに基づいてトラフィックをフィルタリングするステートフルファイアウォールです。仮想ネットワーク(VNet)レベルで展開され、VNet内のすべてのサブネットに対して集中保護を提供します。Azure Firewallは、トラフィックの需要に応じて自動的にスケールし、手動設定を必要とせずに高可用性を確保します。
これは、特定の顧客ニーズに合わせた3つのSKU—Basic、Standard、およびPremiumで利用可能です:
推奨使用ケース
限定的なニーズを持つ中小企業(SMB)
一般的な企業利用、レイヤー3–7フィルタリング
高度に機密性の高い環境(例:決済処理)
パフォーマンス
最大250 Mbpsのスループット
最大30 Gbpsのスループット
最大100 Gbpsのスループット
脅威インテリジェンス
アラートのみ
アラートとブロック(悪意のあるIP/ドメイン)
アラートとブロック(高度な脅威インテリジェンス)
L3–L7フィルタリング
基本的なフィルタリング
プロトコル全体にわたるステートフルフィルタリング
高度な検査を伴うステートフルフィルタリング
高度な脅威保護
利用不可
脅威インテリジェンスに基づくフィルタリング
侵入検知および防止システム(IDPS)を含む
TLS検査
利用不可
利用不可
インバウンド/アウトバウンドTLS終端をサポート
可用性
固定バックエンド(2つのVM)
オートスケーリング
オートスケーリング
管理の容易さ
基本的なコントロール
ファイアウォールマネージャー経由で管理
ファイアウォールマネージャー経由で管理
Azure ルートテーブル は、サブネット内のネットワークトラフィックのルーティングを制御するために使用されます。これらは、パケットがどのように転送されるべきかを指定するルールを定義します。転送先は、Azure リソース、インターネット、または仮想アプライアンスや Azure ファイアウォールのような特定の次ホップです。ルートテーブルを サブネット に関連付けることができ、そのサブネット内のすべてのリソースはテーブル内のルートに従います。
例: サブネットが、検査のためにネットワーク仮想アプライアンス (NVA) を介して外向きトラフィックをルーティングする必要があるリソースをホストしている場合、ルートテーブルに ルート を作成して、すべてのトラフィック (例: 0.0.0.0/0) を NVA のプライベート IP アドレスに次ホップとしてリダイレクトできます。
Azure Private Linkは、Azureサービスへのプライベートアクセスを可能にするAzureのサービスであり、あなたのAzure仮想ネットワーク(VNet)とサービス間のトラフィックが完全にMicrosoftのAzureバックボーンネットワーク内を移動することを保証します。これにより、サービスがあなたのVNetに取り込まれます。この設定は、データをパブリックインターネットにさらさないことでセキュリティを強化します。
Private Linkは、Azure Storage、Azure SQL Database、Private Linkを介して共有されるカスタムサービスなど、さまざまなAzureサービスで使用できます。これは、あなた自身のVNet内または異なるAzureサブスクリプションからサービスを消費するための安全な方法を提供します。
NSGはプライベートエンドポイントには適用されないため、Private Linkを含むサブネットにNSGを関連付けても効果はありません。
例:
あなたがVNetから安全にアクセスしたいAzure SQL Databaseを持っているシナリオを考えてみてください。通常、これはパブリックインターネットを経由することを含むかもしれません。Private Linkを使用すると、あなたのVNet内にプライベートエンドポイントを作成し、Azure SQL Databaseサービスに直接接続できます。このエンドポイントにより、データベースはあなたのVNetの一部であるかのように見え、プライベートIPアドレスを介してアクセスできるため、安全でプライベートなアクセスが保証されます。
Azure Service Endpointsは、仮想ネットワークのプライベートアドレス空間とVNetのアイデンティティを、直接接続を介してAzureサービスに拡張します。サービスエンドポイントを有効にすることで、VNet内のリソースがAzureのバックボーンネットワークを使用してAzureサービス(Azure StorageやAzure SQL Databaseなど)に安全に接続できるようになります。これにより、VNetからAzureサービスへのトラフィックがAzureネットワーク内に留まることが保証され、より安全で信頼性の高い経路が提供されます。
例:
たとえば、Azure Storageアカウントはデフォルトでパブリックインターネット経由でアクセス可能です。VNet内でAzure Storageのサービスエンドポイントを有効にすることで、VNetからのトラフィックのみがストレージアカウントにアクセスできるようにすることができます。その後、ストレージアカウントのファイアウォールを設定して、VNetからのトラフィックのみを受け入れることができます。
Microsoftは、docsでプライベートリンクの使用を推奨しています:
サービスエンドポイント:
VNetからAzureサービスへのトラフィックは、Microsoft Azureバックボーンネットワークを経由し、公共のインターネットをバイパスします。
エンドポイントはAzureサービスへの直接接続であり、VNet内のサービスにプライベートIPを提供しません。
サービス自体は、サービスファイアウォールを設定してそのようなトラフィックをブロックしない限り、VNetの外部からその公共エンドポイントを介してアクセス可能です。
サブネットとAzureサービスの間には一対一の関係があります。
プライベートリンクよりもコストが低いです。
プライベートリンク:
プライベートリンクは、VNet内のプライベートIPアドレスを持つネットワークインターフェースであるプライベートエンドポイントを介してAzureサービスをVNetにマッピングします。
AzureサービスはこのプライベートIPアドレスを使用してアクセスされ、ネットワークの一部であるかのように見えます。
プライベートリンクを介して接続されたサービスは、VNetまたは接続されたネットワークからのみアクセス可能であり、サービスへの公共のインターネットアクセスはありません。
AzureサービスまたはAzureにホストされている自分のサービスへの安全な接続を可能にし、他者が共有するサービスへの接続も提供します。
サービスエンドポイントでのサブネットレベルの広範なアクセス制御に対して、VNet内のプライベートエンドポイントを介してより詳細なアクセス制御を提供します。
要約すると、サービスエンドポイントとプライベートリンクの両方がAzureサービスへの安全な接続を提供しますが、プライベートリンクはサービスが公共のインターネットにさらされることなくプライベートにアクセスされることを保証することにより、より高いレベルの隔離とセキュリティを提供します。一方、サービスエンドポイントは、VNet内にプライベートIPを必要とせず、Azureサービスへのシンプルで安全なアクセスが必要な一般的なケースに対して設定が容易です。
Azure Front Doorは、グローバルなウェブアプリケーションの迅速な配信のためのスケーラブルで安全なエントリーポイントです。これは、グローバルな負荷分散、サイト加速、SSLオフロード、Webアプリケーションファイアウォール(WAF)機能など、さまざまなサービスを単一のサービスに統合しています。Azure Front Doorは、ユーザーに最も近いエッジロケーションに基づいてインテリジェントなルーティングを提供し、最適なパフォーマンスと信頼性を確保します。さらに、URLベースのルーティング、複数サイトホスティング、セッションアフィニティ、アプリケーション層のセキュリティを提供します。
Azure Front Door WAFは、バックエンドコードを変更することなくウェブアプリケーションをウェブベースの攻撃から保護するように設計されています。SQLインジェクション、クロスサイトスクリプティング、その他の一般的な攻撃に対する脅威を保護するためのカスタムルールと管理されたルールセットが含まれています。
例:
世界中にユーザーがいるグローバルに分散したアプリケーションがあると想像してください。Azure Front Doorを使用して、ユーザーのリクエストをアプリケーションをホストしている最寄りの地域データセンターにルーティングすることで、レイテンシを減少させ、ユーザーエクスペリエンスを向上させ、WAF機能でウェブ攻撃から防御します。特定の地域でダウンタイムが発生した場合、Azure Front Doorは自動的に次の最適な場所にトラフィックを再ルーティングし、高可用性を確保します。
Azure Application Gateway は、ウェブトラフィックのロードバランサーであり、ウェブアプリケーションへのトラフィックを管理することを可能にします。これは、アプリケーションデリバリーコントローラー (ADC) としてのサービスで、レイヤー7のロードバランシング、SSLターミネーション、ウェブアプリケーションファイアウォール (WAF) 機能を提供します。主な機能には、URLベースのルーティング、クッキーに基づくセッションアフィニティ、およびセキュアソケットレイヤー (SSL) オフロードが含まれ、グローバルルーティングやパスベースのルーティングのような複雑なロードバランシング機能を必要とするアプリケーションにとって重要です。
例:
ユーザーアカウントや決済処理など、異なる機能のための複数のサブドメインを含むeコマースウェブサイトがあるシナリオを考えてみましょう。Azure Application Gateway は、URLパスに基づいて適切なウェブサーバーにトラフィックをルーティングできます。たとえば、example.com/accounts へのトラフィックはユーザーアカウントサービスに、example.com/pay へのトラフィックは決済処理サービスに向けられる可能性があります。
そして、WAF機能を使用してウェブサイトを攻撃から保護します。
VNet Peeringは、Azureのネットワーキング機能であり、異なる仮想ネットワーク(VNet)を直接かつシームレスに接続することを可能にします。VNetピアリングを通じて、1つのVNet内のリソースは、まるで同じネットワークにいるかのように、別のVNet内のリソースとプライベートIPアドレスを使用して通信できます。 VNetピアリングは、オンプレミスネットワークとも使用できます。サイト間VPNまたはAzure ExpressRouteを設定することで実現します。
Azure Hub and Spokeは、Azureでネットワークトラフィックを管理および整理するために使用されるネットワークトポロジーです。「ハブ」は、異なる「スポーク」間のトラフィックを制御しルーティングする中央ポイントです。ハブには通常、ネットワーク仮想アプライアンス(NVA)、Azure VPN Gateway、Azure Firewall、またはAzure Bastionなどの共有サービスが含まれています。「スポーク」は、ワークロードをホストし、VNetピアリングを使用してハブに接続するVNetです。これにより、ハブ内の共有サービスを活用できます。このモデルは、クリーンなネットワークレイアウトを促進し、異なるVNetにまたがる複数のワークロードが使用できる共通サービスを集中化することで複雑さを軽減します。
AzureにおけるVNETペアリングは非推移的です。つまり、スポーク1がスポーク2に接続され、スポーク2がスポーク3に接続されている場合、スポーク1はスポーク3と直接通信できません。
例:
営業、HR、開発などの別々の部門を持つ会社を想像してください。それぞれが独自のVNet(スポーク)を持っています。これらのVNetは、中央データベース、ファイアウォール、インターネットゲートウェイなどの共有リソースへのアクセスを必要とします。これらのリソースはすべて、別のVNet(ハブ)にあります。ハブとスポークモデルを使用することで、各部門はハブVNetを介して共有リソースに安全に接続でき、これらのリソースをパブリックインターネットに公開することなく、複雑なネットワーク構造を作成することなく接続できます。
Azureのサイト間VPNは、オンプレミスネットワークをAzure仮想ネットワーク(VNet)に接続することを可能にし、Azure内のVMなどのリソースがローカルネットワーク上にあるかのように見えるようにします。この接続は、2つのネットワーク間のトラフィックを暗号化するVPNゲートウェイを通じて確立されます。
例:
ニューヨークに本社を置く企業が、Azure内のVNetに安全に接続する必要があるオンプレミスデータセンターを持っています。このデータセンターは仮想化されたワークロードをホストしています。**サイト間VPNを設定することで、企業はオンプレミスサーバーとAzure VM間の暗号化された接続を確保でき、両方の環境でリソースに安全にアクセスできるようになります。**まるで同じローカルネットワークにいるかのように。
Azure ExpressRouteは、オンプレミスのインフラストラクチャとAzureデータセンター間のプライベートで専用の高速接続を提供するサービスです。この接続は接続プロバイダーを通じて行われ、公共のインターネットをバイパスし、通常のインターネット接続よりも信頼性が高く、速度が速く、遅延が低く、セキュリティが高いです。
例:
多国籍企業は、大量のデータと高スループットの必要性から、Azureサービスへの一貫した信頼性のある接続を必要としています。この会社は、オンプレミスのデータセンターをAzureに直接接続するためにAzure ExpressRouteを選択し、プライバシーと速度を向上させながら、日次バックアップやリアルタイムデータ分析などの大規模なデータ転送を容易にします。
AWSハッキングを学び、練習する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する:HackTricks Training GCP Red Team Expert (GRTE)
