Az - Service Bus

Service Bus

Azure Service Bus는 애플리케이션의 서로 다른 부분 또는 별도의 애플리케이션 간의 신뢰할 수 있는 **통신을 가능하게 하기 위해 설계된 클라우드 기반 메시징 서비스입니다. 이는 안전한 중개자로 작용하여 발신자와 수신자가 동시에 작동하지 않더라도 메시지가 안전하게 전달되도록 보장합니다. 시스템을 분리함으로써 애플리케이션이 독립적으로 작동하면서도 데이터나 지침을 교환할 수 있게 합니다. 이는 여러 작업자 간의 부하 분산, 신뢰할 수 있는 메시지 전달 또는 작업을 순서대로 처리하거나 안전하게 액세스를 관리하는 것과 같은 복잡한 조정이 필요한 시나리오에 특히 유용합니다.

Key Concepts

1. Queues: 수신자가 준비될 때까지 메시지를 저장하는 목적입니다.

• 메시지는 정렬되고, 타임스탬프가 찍히며, 내구성 있게 저장됩니다.

• 풀 모드(요청 시 검색)로 전달됩니다.

• 포인트 투 포인트 통신을 지원합니다.

1. Topics: 방송을 위한 게시-구독 메시징입니다.

• 여러 독립적인 구독이 메시지의 복사본을 수신합니다.

• 구독은 전달을 제어하거나 메타데이터를 추가하기 위한 규칙/필터를 가질 수 있습니다.

• 다대다 통신을 지원합니다.

1. Namespaces: 모든 메시징 구성 요소, 큐 및 주제를 위한 컨테이너로, 강력한 Azure 클러스터의 자신의 슬라이스와 같으며, 전용 용량을 제공하고 선택적으로 세 개의 가용성 영역에 걸쳐 확장됩니다.

Advance Features

일부 고급 기능은 다음과 같습니다:

• Message Sessions: FIFO 처리를 보장하고 요청-응답 패턴을 지원합니다.

• Auto-Forwarding: 동일한 네임스페이스 내에서 큐 또는 주간에 메시지를 전송합니다.

• Dead-Lettering: 전달할 수 없는 메시지를 검토를 위해 캡처합니다.

• Scheduled Delivery: 미래 작업을 위해 메시지 처리를 지연시킵니다.

• Message Deferral: 준비될 때까지 메시지 검색을 연기합니다.

• Transactions: 작업을 원자적 실행으로 그룹화합니다.

• Filters & Actions: 메시지를 필터링하거나 주석을 추가하기 위한 규칙을 적용합니다.

• Auto-Delete on Idle: 비활성 상태에서 큐를 삭제합니다(최소: 5분).

• Duplicate Detection: 재전송 중 중복 메시지를 제거합니다.

• Batch Deletion: 만료되거나 불필요한 메시지를 대량으로 삭제합니다.

Authorization-Rule / SAS Policy

SAS 정책은 Azure Service Bus 엔터티 네임스페이스(가장 중요한 것), 큐 및 주제에 대한 액세스 권한을 정의합니다. 각 정책은 다음 구성 요소를 가집니다:

• Permissions: 액세스 수준을 지정하는 체크박스:

• Manage: 엔터티에 대한 전체 제어를 부여하며, 구성 및 권한 관리를 포함합니다.

• Send: 엔터티에 메시지를 전송할 수 있습니다.

• Listen: 엔터티로부터 메시지를 수신할 수 있습니다.

• Primary and Secondary Keys: 액세스 인증을 위한 보안 토큰을 생성하는 데 사용되는 암호화 키입니다.

• Primary and Secondary Connection Strings: 애플리케이션에서 쉽게 사용할 수 있도록 엔드포인트와 키를 포함한 미리 구성된 연결 문자열입니다.

• SAS Policy ARM ID: 프로그래밍적 식별을 위한 정책의 Azure Resource Manager (ARM) 경로입니다.

NameSpace

sku, authrorization rule,

Enumeration

# Queue Enumeration
az servicebus queue list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus queue show --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --name <MyQueue>

# Topic Enumeration
az servicebus topic list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus topic show --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --name <MyTopic>

# Susbscription Enumeration
az servicebus topic subscription list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --topic-name <MyTopic>
az servicebus topic subscription show --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --topic-name <MyTopic> --name <MySubscription>

# Namespace Enumeration
az servicebus namespace list
az servicebus namespace network-rule-set list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus namespace show --resource-group <MyResourceGroup> --name <MyNamespace>
az servicebus namespace network-rule-set show --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus namespace private-endpoint-connection list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus namespace exists --name ProposedNamespace

# Authorization Rule Enumeration
az servicebus namespace authorization-rule list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus queue authorization-rule list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --queue-name <MyQueue>
az servicebus topic authorization-rule list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --topic-name <MyTopic>
az servicebus namespace authorization-rule keys list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --name <MyAuthRule>

권한 상승

포스트 익스플로잇

참고 문헌

• https://learn.microsoft.com/en-us/powershell/module/az.servicebus/?view=azps-13.0.0

• https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-messaging-overview

• https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-quickstart-cli