Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure Key Vault ni huduma ya wingu inayotolewa na Microsoft Azure kwa ajili ya kuhifadhi na kusimamia taarifa nyeti kama siri, funguo, vyeti, na nywila kwa usalama. Inafanya kazi kama hazina ya kati, ikitoa ufikiaji salama na udhibiti wa kina kwa kutumia Azure Active Directory (Azure AD). Kutoka kwa mtazamo wa usalama, Key Vault inatoa ulinzi wa moduli ya usalama wa vifaa (HSM) kwa funguo za cryptographic, inahakikisha siri zimefungwa kwa usalama wakati wa kupumzika na wakati wa kusafirishwa, na inatoa usimamizi thabiti wa ufikiaji kupitia udhibiti wa ufikiaji kulingana na majukumu (RBAC) na sera. Pia ina kumbukumbu za ukaguzi, uunganisho na Azure Monitor kwa ajili ya kufuatilia ufikiaji, na mzunguko wa funguo wa kiotomatiki ili kupunguza hatari kutokana na kufichuliwa kwa funguo kwa muda mrefu.
Tazama Muhtasari wa Azure Key Vault REST API kwa maelezo kamili.
Kulingana na docs, Vaults zinasaidia kuhifadhi funguo za programu na funguo za HSM. Hifadhi za HSM zinazodhibitiwa zinasaidia tu funguo za HSM.
Muundo wa URL kwa vaults ni https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
na kwa hifadhi za HSM zinazodhibitiwa ni: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Ambapo:
vault-name
ni jina la kipekee duniani la vault ya funguo
object-type
inaweza kuwa "funguo", "siri" au "vyeti"
object-name
ni jina la kipekee la kitu ndani ya vault ya funguo
object-version
inatengenezwa na mfumo na inaweza kutumika kwa hiari kuashiria toleo la kipekee la kitu.
Ili kupata ufikiaji wa siri zilizohifadhiwa katika vault, inawezekana kuchagua kati ya mifano miwili ya ruhusa wakati wa kuunda vault:
Sera ya ufikiaji wa vault
Azure RBAC (ya kawaida zaidi na inashauriwa)
Unaweza kupata ruhusa zote za kina zinazosaidiwa katika https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault
Ufikiaji wa rasilimali ya Key Vault unadhibitiwa na ndege mbili:
ndege ya usimamizi, ambayo lengo lake ni management.azure.com.
Inatumika kusimamia vault ya funguo na sera za ufikiaji. Ni Azure tu udhibiti wa ufikiaji kulingana na majukumu (RBAC) unasaidiwa.
ndege ya data, ambayo lengo lake ni <vault-name>.vault.azure.com
.
Inatumika kusimamia na kupata data (funguo, siri na vyeti) katika vault ya funguo. Hii inasaidia sera za ufikiaji wa vault au Azure RBAC.
Jukumu kama Mchangiaji ambalo lina ruhusa katika eneo la usimamizi kusimamia sera za ufikiaji linaweza kupata ufikiaji wa siri kwa kubadilisha sera za ufikiaji.
Katika Azure Key Vault, sheria za moto zinaweza kuwekwa ili kuruhusu operesheni za ndege ya data tu kutoka mitandao halisi au anwani za IPv4 zilizotajwa. Kikomo hiki pia kinaathiri ufikiaji kupitia lango la usimamizi la Azure; watumiaji hawataweza kuorodhesha funguo, siri, au vyeti katika vault ya funguo ikiwa anwani yao ya IP ya kuingia haiko ndani ya anuwai iliyoidhinishwa.
Kwa ajili ya kuchambua na kusimamia mipangilio hii, unaweza kutumia Azure CLI:
The previous command will display the firewall settings of name-vault
, including enabled IP ranges and policies for denied traffic.
Zaidi ya hayo, inawezekana kuunda kiunganishi binafsi ili kuruhusu muunganisho binafsi kwa vault.
Wakati vault ya funguo inaundwa, idadi ya chini ya siku za kuruhusu kufuta ni 7. Hii inamaanisha kwamba kila wakati unajaribu kufuta vault hiyo ya funguo itahitaji angalau siku 7 kufutwa.
Hata hivyo, inawezekana kuunda vault yenye ulinzi wa kufuta usioamilishwa ambayo inaruhusu vault ya funguo na vitu kufutwa wakati wa kipindi cha uhifadhi. Ingawa, mara tu ulinzi huu unapowekwa kwa vault hauwezi kuzuiliwa.
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)