Az - Azure Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure zapewnia wirtualne sieci (VNet), które pozwalają użytkownikom tworzyć izolowane sieci w chmurze Azure. W ramach tych VNet można bezpiecznie hostować i zarządzać zasobami, takimi jak maszyny wirtualne, aplikacje, bazy danych... Ponadto, sieci w Azure wspierają zarówno komunikację wewnątrz chmury (między usługami Azure), jak i połączenie z zewnętrznymi sieciami oraz internetem. Co więcej, możliwe jest połączenie VNet z innymi VNet oraz z sieciami lokalnymi.
Wirtualna sieć Azure (VNet) jest reprezentacją twojej własnej sieci w chmurze, zapewniającą logiczne izolowanie w środowisku Azure dedykowanym dla twojej subskrypcji. VNet pozwala na provisionowanie i zarządzanie wirtualnymi sieciami prywatnymi (VPN) w Azure, hostując zasoby takie jak maszyny wirtualne (VM), bazy danych i usługi aplikacyjne. Oferują pełną kontrolę nad ustawieniami sieci, w tym zakresami adresów IP, tworzeniem podsieci, tabelami routingu i bramami sieciowymi.
Podsieci to podziały w ramach VNet, definiowane przez konkretne zakresy adresów IP. Dzieląc VNet na wiele podsieci, możesz organizować i zabezpieczać zasoby zgodnie z architekturą swojej sieci. Domyślnie wszystkie podsieci w tej samej Wirtualnej Sieci Azure (VNet) mogą komunikować się ze sobą bez żadnych ograniczeń.
Przykład:
MyVNet
z zakresem adresów IP 10.0.0.0/16.
Podsieć-1: 10.0.0.0/24 dla serwerów webowych.
Podsieć-2: 10.0.1.0/24 dla serwerów baz danych.
Aby wylistować wszystkie VNet i podsieci w koncie Azure, możesz użyć interfejsu wiersza poleceń Azure (CLI). Oto kroki:
Grupa zabezpieczeń sieci (NSG) filtruje ruch sieciowy zarówno do, jak i z zasobów Azure w ramach Wirtualnej Sieci Azure (VNet). Zawiera zestaw reguł zabezpieczeń, które mogą wskazywać które porty otworzyć dla ruchu przychodzącego i wychodzącego według portu źródłowego, adresu IP źródłowego, portu docelowego, a także możliwe jest przypisanie priorytetu (im niższy numer priorytetu, tym wyższy priorytet).
NSG mogą być przypisane do podsieci i NIC.
Przykład reguł:
Reguła przychodząca zezwalająca na ruch HTTP (port 80) z dowolnego źródła do twoich serwerów WWW.
Reguła wychodząca zezwalająca tylko na ruch SQL (port 1433) do określonego zakresu adresów IP docelowych.
Azure Firewall to zarządzana usługa zabezpieczeń sieciowych w Azure, która chroni zasoby chmurowe poprzez inspekcję i kontrolę ruchu. Jest to stanowy zapora filtrująca ruch na podstawie reguł dla warstw 3 do 7, wspierająca komunikację zarówno w obrębie Azure (ruch wschód-zachód), jak i do/z sieci zewnętrznych (ruch północ-południe). Wdrożona na poziomie Wirtualnej Sieci (VNet), zapewnia scentralizowaną ochronę dla wszystkich podsieci w VNet. Azure Firewall automatycznie skaluje się, aby sprostać wymaganiom ruchu i zapewnia wysoką dostępność bez potrzeby ręcznej konfiguracji.
Jest dostępna w trzech SKU—Podstawowy, Standardowy i Premium, z których każdy jest dostosowany do specyficznych potrzeb klientów:
Zalecany przypadek użycia
Małe/Średnie Przedsiębiorstwa (SMB) z ograniczonymi potrzebami
Ogólne zastosowanie w przedsiębiorstwie, filtracja warstw 3–7
Wysoce wrażliwe środowiska (np. przetwarzanie płatności)
Wydajność
Do 250 Mbps przepustowości
Do 30 Gbps przepustowości
Do 100 Gbps przepustowości
Inteligencja zagrożeń
Tylko powiadomienia
Powiadomienia i blokowanie (złośliwe IP/domeny)
Powiadomienia i blokowanie (zaawansowana inteligencja zagrożeń)
Filtracja L3–L7
Podstawowa filtracja
Stanowa filtracja w różnych protokołach
Stanowa filtracja z zaawansowaną inspekcją
Zaawansowana Ochrona przed Zagrożeniami
Niedostępna
Filtracja oparta na inteligencji zagrożeń
Zawiera system wykrywania i zapobiegania włamaniom (IDPS)
Inspekcja TLS
Niedostępna
Niedostępna
Wspiera zakończenie TLS przychodzącego/wychodzącego
Dostępność
Stałe zaplecze (2 VM)
Autoskalowanie
Autoskalowanie
Łatwość zarządzania
Podstawowe kontrole
Zarządzane za pomocą Menedżera Zapory
Zarządzane za pomocą Menedżera Zapory
Tabele trasowania Azure są używane do kontrolowania trasowania ruchu sieciowego w obrębie podsieci. Definiują zasady, które określają, jak pakiety powinny być przesyłane, czy to do zasobów Azure, internetu, czy do konkretnego następnego skoku, takiego jak Wirtualne Urządzenie lub Zapora Azure. Możesz powiązać tabelę trasowania z podsiecią, a wszystkie zasoby w tej podsieci będą podążać za trasami w tabeli.
Przykład: Jeśli podsieć hostuje zasoby, które muszą kierować ruch wychodzący przez Wirtualne Urządzenie Sieciowe (NVA) do inspekcji, możesz utworzyć trasę w tabeli trasowania, aby przekierować cały ruch (np. 0.0.0.0/0
) do prywatnego adresu IP NVA jako następnego skoku.
Azure Private Link to usługa w Azure, która umożliwia prywatny dostęp do usług Azure, zapewniając, że ruch między twoją wirtualną siecią Azure (VNet) a usługą odbywa się całkowicie w ramach sieci szkieletowej Microsoftu Azure. Efektywnie wprowadza usługę do twojej VNet. Ta konfiguracja zwiększa bezpieczeństwo, nie narażając danych na publiczny internet.
Private Link może być używany z różnymi usługami Azure, takimi jak Azure Storage, Azure SQL Database i niestandardowymi usługami udostępnianymi za pośrednictwem Private Link. Zapewnia bezpieczny sposób korzystania z usług z poziomu własnej VNet lub nawet z różnych subskrypcji Azure.
NSG nie mają zastosowania do punktów końcowych prywatnych, co wyraźnie oznacza, że przypisanie NSG do podsieci zawierającej Private Link nie będzie miało żadnego efektu.
Przykład:
Rozważ scenariusz, w którym masz Azure SQL Database, do której chcesz uzyskać bezpieczny dostęp z twojej VNet. Zwykle może to wymagać przechodzenia przez publiczny internet. Dzięki Private Link możesz utworzyć prywatny punkt końcowy w swojej VNet, który łączy się bezpośrednio z usługą Azure SQL Database. Ten punkt końcowy sprawia, że baza danych wydaje się być częścią twojej własnej VNet, dostępna za pośrednictwem prywatnego adresu IP, co zapewnia bezpieczny i prywatny dostęp.
Punkty końcowe usługi Azure rozszerzają prywatną przestrzeń adresową twojej sieci wirtualnej i tożsamość twojego VNet do usług Azure za pośrednictwem bezpośredniego połączenia. Włączając punkty końcowe usług, zasoby w twoim VNet mogą bezpiecznie łączyć się z usługami Azure, takimi jak Azure Storage i Azure SQL Database, korzystając z sieci szkieletowej Azure. Zapewnia to, że ruch z VNet do usługi Azure pozostaje w sieci Azure, co zapewnia bardziej bezpieczną i niezawodną trasę.
Przykład:
Na przykład, konto Azure Storage domyślnie jest dostępne przez publiczny internet. Włączając punkt końcowy usługi dla Azure Storage w swoim VNet, możesz zapewnić, że tylko ruch z twojego VNet może uzyskać dostęp do konta magazynowego. Zapora konta magazynowego może być następnie skonfigurowana tak, aby akceptować ruch tylko z twojego VNet.
Microsoft zaleca korzystanie z prywatnych łączy w dokumentacji:
Punkty końcowe usługi:
Ruch z Twojej VNet do usługi Azure podróżuje przez sieć szkieletową Microsoft Azure, omijając publiczny internet.
Punkt końcowy to bezpośrednie połączenie z usługą Azure i nie zapewnia prywatnego adresu IP dla usługi w VNet.
Sama usługa jest nadal dostępna przez swój publiczny punkt końcowy z zewnątrz Twojej VNet, chyba że skonfigurujesz zaporę usługi, aby zablokować taki ruch.
To relacja jeden do jednego między podsiecią a usługą Azure.
Tańsze niż prywatne łącza.
Prywatne łącza:
Prywatne łącze mapuje usługi Azure do Twojej VNet za pomocą prywatnego punktu końcowego, który jest interfejsem sieciowym z prywatnym adresem IP w Twojej VNet.
Usługa Azure jest dostępna za pomocą tego prywatnego adresu IP, co sprawia, że wydaje się, iż jest częścią Twojej sieci.
Usługi połączone przez prywatne łącze mogą być dostępne tylko z Twojej VNet lub połączonych sieci; nie ma dostępu do usługi przez publiczny internet.
Umożliwia bezpieczne połączenie z usługami Azure lub własnymi usługami hostowanymi w Azure, a także połączenie z usługami udostępnionymi przez innych.
Zapewnia bardziej szczegółową kontrolę dostępu za pomocą prywatnego punktu końcowego w Twojej VNet, w przeciwieństwie do szerszej kontroli dostępu na poziomie podsieci z punktami końcowymi usługi.
Podsumowując, podczas gdy zarówno punkty końcowe usługi, jak i prywatne łącza zapewniają bezpieczne połączenie z usługami Azure, prywatne łącza oferują wyższy poziom izolacji i bezpieczeństwa, zapewniając, że usługi są dostępne prywatnie, bez narażania ich na publiczny internet. Punkty końcowe usługi, z drugiej strony, są łatwiejsze do skonfigurowania w ogólnych przypadkach, gdzie wymagany jest prosty, bezpieczny dostęp do usług Azure bez potrzeby posiadania prywatnego adresu IP w VNet.
Azure Front Door to skalowalny i bezpieczny punkt wejścia do szybkiej dostawy Twoich globalnych aplikacji internetowych. Łączy różne usługi, takie jak globalne równoważenie obciążenia, przyspieszanie witryn, odciążanie SSL i możliwości zapory aplikacji internetowej (WAF) w jedną usługę. Azure Front Door zapewnia inteligentne routowanie na podstawie najbliższej lokalizacji brzegowej do użytkownika, zapewniając optymalną wydajność i niezawodność. Dodatkowo oferuje routowanie oparte na URL, hosting wielu witryn, afinityzację sesji i bezpieczeństwo na poziomie aplikacji.
Azure Front Door WAF jest zaprojektowany, aby chronić aplikacje internetowe przed atakami opartymi na sieci bez modyfikacji kodu zaplecza. Zawiera niestandardowe zasady i zarządzane zestawy zasad, aby chronić przed zagrożeniami takimi jak wstrzykiwanie SQL, skrypty międzywitrynowe i inne powszechne ataki.
Przykład:
Wyobraź sobie, że masz globalnie rozproszoną aplikację z użytkownikami na całym świecie. Możesz użyć Azure Front Door, aby przekierować żądania użytkowników do najbliższego regionalnego centrum danych hostującego Twoją aplikację, co zmniejsza opóźnienia, poprawia doświadczenia użytkowników i broni ją przed atakami internetowymi dzięki możliwościom WAF. Jeśli w danym regionie wystąpi przestój, Azure Front Door może automatycznie przekierować ruch do następnej najlepszej lokalizacji, zapewniając wysoką dostępność.
Azure Application Gateway to balanser obciążenia ruchu sieciowego, który umożliwia zarządzanie ruchem do Twoich aplikacji internetowych. Oferuje balansowanie obciążenia na warstwie 7, zakończenie SSL oraz możliwości zapory aplikacji internetowej (WAF) w ramach usługi Application Delivery Controller (ADC). Kluczowe funkcje obejmują routowanie oparte na URL, sesje oparte na ciasteczkach oraz odciążanie warstwy gniazd zabezpieczonych (SSL), które są niezbędne dla aplikacji wymagających złożonych możliwości balansowania obciążenia, takich jak globalne routowanie i routowanie oparte na ścieżkach.
Przykład:
Rozważ scenariusz, w którym masz stronę internetową e-commerce, która zawiera wiele subdomen dla różnych funkcji, takich jak konta użytkowników i przetwarzanie płatności. Azure Application Gateway może routować ruch do odpowiednich serwerów internetowych na podstawie ścieżki URL. Na przykład, ruch do example.com/accounts
mógłby być kierowany do usługi kont użytkowników, a ruch do example.com/pay
mógłby być kierowany do usługi przetwarzania płatności.
I chroń swoją stronę internetową przed atakami, korzystając z możliwości WAF.
VNet Peering to funkcja sieciowa w Azure, która pozwala na bezpośrednie i płynne połączenie różnych Wirtualnych Sieci (VNets). Dzięki VNet peering, zasoby w jednej VNet mogą komunikować się z zasobami w innej VNet, używając prywatnych adresów IP, jakby znajdowały się w tej samej sieci. VNet Peering może być również używane z sieciami lokalnymi poprzez skonfigurowanie VPN site-to-site lub Azure ExpressRoute.
Azure Hub i Spoke to topologia sieciowa używana w Azure do zarządzania i organizowania ruchu sieciowego. "Hub" to centralny punkt, który kontroluje i kieruje ruchem między różnymi "spokes". Hub zazwyczaj zawiera usługi wspólne, takie jak wirtualne urządzenia sieciowe (NVA), Azure VPN Gateway, Azure Firewall lub Azure Bastion. "Spokes" to VNety, które hostują obciążenia i łączą się z hubem za pomocą VNet peering, co pozwala im korzystać z usług wspólnych w hubie. Ten model promuje czysty układ sieci, redukując złożoność poprzez centralizację wspólnych usług, z których mogą korzystać różne obciążenia w różnych VNetach.
Parowanie VNET jest nieprzechodnie w Azure, co oznacza, że jeśli spoke 1 jest połączony ze spoke 2, a spoke 2 jest połączony ze spoke 3, to spoke 1 nie może rozmawiać bezpośrednio ze spoke 3.
Przykład:
Wyobraź sobie firmę z oddzielnymi działami, takimi jak Sprzedaż, HR i Rozwój, każdy z własną VNet (spokes). Te VNety wymagają dostępu do wspólnych zasobów takich jak centralna baza danych, zapora ogniowa i brama internetowa, które znajdują się w innej VNet (hub). Korzystając z modelu Hub i Spoke, każdy dział może bezpiecznie łączyć się z wspólnymi zasobami przez VNet hub, nie narażając tych zasobów na publiczny internet ani nie tworząc złożonej struktury sieciowej z licznymi połączeniami.
Site-to-Site VPN w Azure pozwala na połączenie lokalnej sieci z Twoją siecią wirtualną Azure (VNet), umożliwiając zasobom takim jak VM w Azure, aby wydawały się, jakby były w Twojej lokalnej sieci. To połączenie jest ustanawiane przez bramę VPN, która szyfruje ruch między dwiema sieciami.
Przykład:
Firma, której główne biuro znajduje się w Nowym Jorku, ma lokalne centrum danych, które musi bezpiecznie połączyć się ze swoją VNet w Azure, która hostuje jej wirtualizowane obciążenia. Poprzez skonfigurowanie Site-to-Site VPN, firma może zapewnić szyfrowane połączenie między lokalnymi serwerami a VM w Azure, umożliwiając bezpieczny dostęp do zasobów w obu środowiskach, jakby znajdowały się w tej samej lokalnej sieci.
Azure ExpressRoute to usługa, która zapewnia prywatne, dedykowane, szybkie połączenie między twoją infrastrukturą lokalną a centrami danych Azure. To połączenie realizowane jest przez dostawcę łączności, omijając publiczny internet i oferując większą niezawodność, szybsze prędkości, niższe opóźnienia oraz wyższe bezpieczeństwo niż typowe połączenia internetowe.
Przykład:
Międzynarodowa korporacja wymaga spójnego i niezawodnego połączenia z usługami Azure z powodu dużej ilości danych oraz potrzeby wysokiej przepustowości. Firma decyduje się na Azure ExpressRoute, aby bezpośrednio połączyć swoje lokalne centrum danych z Azure, ułatwiając transfery danych na dużą skalę, takie jak codzienne kopie zapasowe i analizy danych w czasie rzeczywistym, z poprawioną prywatnością i szybkością.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)