Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure Key Vault to usługa chmurowa oferowana przez Microsoft Azure do bezpiecznego przechowywania i zarządzania wrażliwymi informacjami, takimi jak sekrety, klucze, certyfikaty i hasła. Działa jako scentralizowane repozytorium, oferując bezpieczny dostęp i precyzyjną kontrolę za pomocą Azure Active Directory (Azure AD). Z perspektywy bezpieczeństwa, Key Vault zapewnia ochronę modułu bezpieczeństwa sprzętowego (HSM) dla kluczy kryptograficznych, zapewnia, że sekrety są szyfrowane zarówno w spoczynku, jak i w tranzycie, oraz oferuje solidne zarządzanie dostępem poprzez kontrolę dostępu opartą na rolach (RBAC) i polityki. Oferuje również logi audytowe, integrację z Azure Monitor do śledzenia dostępu oraz automatyczną rotację kluczy w celu zmniejszenia ryzyka związanego z długotrwałym narażeniem kluczy.
Zobacz Azure Key Vault REST API overview po pełne szczegóły.
Zgodnie z dokumentacją, Skarbce wspierają przechowywanie kluczy oprogramowania i kluczy wspieranych przez HSM, sekretów i certyfikatów. Zarządzane pule HSM wspierają tylko klucze wspierane przez HSM.
Format URL dla skarbców to https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
, a dla zarządzanych pul HSM to: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Gdzie:
vault-name
to globalnie unikalna nazwa skarbca
object-type
może być "keys", "secrets" lub "certificates"
object-name
to unikalna nazwa obiektu w obrębie skarbca
object-version
jest generowane przez system i opcjonalnie używane do adresowania unikalnej wersji obiektu.
Aby uzyskać dostęp do sekretów przechowywanych w skarbcu, można wybrać między 2 modelami uprawnień podczas tworzenia skarbca:
Polityka dostępu do skarbca
Azure RBAC (najczęściej stosowane i zalecane)
Możesz znaleźć wszystkie szczegółowe uprawnienia wspierane w https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault
Dostęp do zasobu Key Vault jest kontrolowany przez dwa płaszczyzny:
płaszczyzna zarządzania, której celem jest management.azure.com.
Używana jest do zarządzania skarbcem i politykami dostępu. Wspierana jest tylko kontrola dostępu oparta na rolach Azure (RBAC).
płaszczyzna danych, której celem jest <vault-name>.vault.azure.com
.
Używana jest do zarządzania i dostępu do danych (kluczy, sekretów i certyfikatów) w skarbcu. Wspiera to polityki dostępu do skarbca lub Azure RBAC.
Rola taka jak Contributor, która ma uprawnienia w płaszczyźnie zarządzania do zarządzania politykami dostępu, może uzyskać dostęp do sekretów, modyfikując polityki dostępu.
W Azure Key Vault można ustawić zasady zapory, aby zezwolić na operacje w płaszczyźnie danych tylko z określonych sieci wirtualnych lub zakresów adresów IPv4. To ograniczenie wpływa również na dostęp przez portal administracyjny Azure; użytkownicy nie będą mogli wyświetlać kluczy, sekretów ani certyfikatów w skarbcu, jeśli ich adres IP logowania nie znajduje się w autoryzowanym zakresie.
Aby analizować i zarządzać tymi ustawieniami, możesz użyć Azure CLI:
Poprzednie polecenie wyświetli ustawienia zapory name-vault
, w tym włączone zakresy IP i zasady dotyczące zablokowanego ruchu.
Co więcej, możliwe jest utworzenie prywatnego punktu końcowego, aby umożliwić prywatne połączenie z sejfem.
Gdy sejf kluczy jest tworzony, minimalna liczba dni do zezwolenia na usunięcie wynosi 7. Oznacza to, że za każdym razem, gdy spróbujesz usunąć ten sejf kluczy, będzie potrzebne co najmniej 7 dni na jego usunięcie.
Jednak możliwe jest utworzenie sejfu z wyłączoną ochroną przed usunięciem, co pozwala na usunięcie sejfu kluczy i obiektów w trakcie okresu przechowywania. Chociaż, gdy ta ochrona jest włączona dla sejfu, nie można jej wyłączyć.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)