Az - Azure Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Mitandao ndani ya Azure inafanya kazi kama sehemu muhimu ya jukwaa lake la kompyuta ya wingu, ikiruhusu kuunganishwa na mawasiliano kati ya huduma na rasilimali mbalimbali za Azure. Muktadha wa mtandao katika Azure umeundwa kuwa na uwezo mkubwa wa kupanuka, salama, na kubadilika.
Katika msingi wake, Azure inatoa mtandao wa virtual (VNet) unaowaruhusu watumiaji kuunda mitandao iliyotengwa ndani ya wingu la Azure. Ndani ya VNets hizi, rasilimali kama vile mashine za virtual, programu, na hifadhidata zinaweza kuhifadhiwa na kusimamiwa kwa usalama. Mtandao katika Azure unasaidia mawasiliano ndani ya wingu (kati ya huduma za Azure) na kuunganishwa na mitandao ya nje na intaneti.
Usalama ni kipengele muhimu cha mtandao wa Azure, huku zikiwa na zana na huduma mbalimbali zinazopatikana kwa ajili ya kulinda data, kusimamia ufikiaji, na kuhakikisha kufuata sheria. Hatua hizi za usalama zinajumuisha firewalls, makundi ya usalama wa mtandao, na uwezo wa kuandika data, ikiruhusu kiwango cha juu cha udhibiti juu ya trafiki na ufikiaji.
Kwa ujumla, uwezo wa mtandao wa Azure umeundwa kutoa kubadilika, ikiruhusu watumiaji kuunda mazingira ya mtandao yanayofaa mahitaji yao maalum ya programu na mzigo huku wakidumisha mkazo mkubwa juu ya usalama na uaminifu.
VNet katika Azure kimsingi ni uwakilishi wa mtandao wako mwenyewe katika wingu. Ni kujitenga kwa kimantiki kwa wingu la Azure lililotengwa kwa ajili ya usajili wako. VNet inakuruhusu kuandaa na kusimamia mitandao ya kibinafsi ya virtual (VPNs) katika Azure na inaweza kutumika kuhifadhi na kusimamia aina mbalimbali za rasilimali za Azure, kama vile Mashine za Virtual (VMs), hifadhidata, na huduma za programu.
VNets zinakupa udhibiti kamili juu ya mipangilio ya mtandao wako, ikiwa ni pamoja na mipangilio ya anwani za IP, uundaji wa subnets, meza za njia, na lango za mtandao.
Subnet ni mipangilio ya anwani za IP katika VNet yako. Unaweza kugawanya VNet katika subnets nyingi kwa ajili ya shirika na usalama. Kila subnet katika VNet inaweza kutumika kutenga na kuunganisha rasilimali kulingana na usanifu wa mtandao na programu yako.
Zaidi ya hayo, subnets zinakuruhusu kugawanya VNet yako katika mitandao moja au zaidi, ikitoa anuwai ya anwani za IP ambazo rasilimali zinaweza kutumia.
Fikiria una VNet inayoitwa MyVNet
yenye anwani ya IP ya 10.0.0.0/16
. Unaweza kuunda subnet ndani ya VNet hii, sema Subnet-1
, yenye anwani ya IP ya 10.0.0.0/24
kwa ajili ya kuhifadhi seva zako za wavuti. Subnet nyingine, Subnet-2
yenye anwani ya 10.0.1.0/24
, inaweza kutumika kwa seva zako za hifadhidata. Ugawanyaji huu unaruhusu usimamizi mzuri na udhibiti wa usalama ndani ya mtandao.
Ili kuorodhesha VNets zote na subnets katika akaunti ya Azure, unaweza kutumia Azure Command-Line Interface (CLI). Hapa kuna hatua:
Katika Azure, Kikundi cha Usalama wa Mtandao (NSG) kina jukumu kuu la kuchuja trafiki ya mtandao kuelekea na kutoka kwa rasilimali za Azure ndani ya Mtandao wa Kijadi wa Azure (VNet). Kina seti ya kanuni za usalama ambazo kwa makini zinaelekeza mtiririko wa trafiki ya mtandao.
Vipengele muhimu vya NSG ni pamoja na:
Udhibiti wa Trafiki: Kila NSG ina kanuni ambazo ni muhimu katika kuruhusu au kuzuia trafiki ya mtandao inayohusiana na rasilimali mbalimbali za Azure.
Vipengele vya Kanuni: Kanuni ndani ya NSG ni maalum sana, zikichuja trafiki kulingana na vigezo kama anwani ya IP ya chanzo/destinatari, bandari, na itifaki. Uspesifiki huu unaruhusu usimamizi wa kina wa trafiki ya mtandao.
Kuimarisha Usalama: Kwa kuhakikisha kuwa ni trafiki iliyothibitishwa pekee inayoweza kuingia au kutoka kwa rasilimali zako za Azure, NSGs zina jukumu muhimu katika kuimarisha msimamo wa usalama wa miundombinu yako ya mtandao.
Fikiria una NSG inayoitwa MyNSG
iliyotumika kwenye subnet au mashine halisi maalum ndani ya VNet yako. Unaweza kuunda kanuni kama:
Kanuni ya kuingia inayoruhusu trafiki ya HTTP (bandari 80) kutoka chanzo chochote kwenda kwa seva zako za wavuti.
Kanuni ya kutoka inayoruhusu tu trafiki ya SQL (bandari 1433) kwenda kwenye anwani maalum ya IP.
Azure Firewall ni huduma ya usalama wa mtandao inayosimamiwa, inayotegemea wingu ambayo inalinda rasilimali zako za Azure Virtual Network. Ni firewall kamili yenye hali ya juu kama huduma yenye vipengele vya upatikanaji wa juu na uwezo wa kupanuka.
Azure Firewall inatoa vipengele vya hali ya juu zaidi kuliko NSGs, ikiwa ni pamoja na kuchuja kwa kiwango cha programu, kuchuja kwa kiwango cha mtandao, kuchuja kulingana na uelewa wa vitisho, na ujumuishaji na Azure Monitor kwa ajili ya uandishi wa kumbukumbu na uchanganuzi. Inaweza kuchuja trafiki ya nje, ndani, kutoka kwa nanga hadi nanga, VPN, na trafiki ya ExpressRoute. Sheria za firewall zinaweza kuundwa kulingana na FQDN (Jina la Kikoa Lenye Sifa Kamili), anwani za IP, na bandari.
Muktadha:
NSG: Inafanya kazi katika kiwango cha subnet au kiunganishi cha mtandao. Imeundwa kutoa kuchuja msingi cha trafiki ya ndani na nje kutoka kwa viunganishi vya mtandao (NIC), VMs, au subnets.
Azure Firewall: Inafanya kazi katika kiwango cha VNet, ikitoa muktadha mpana wa ulinzi. Imeundwa kulinda rasilimali zako za mtandao wa virtual na kudhibiti trafiki inayotiririka ndani na nje ya VNet.
Uwezo:
NSG: Inatoa uwezo wa kuchuja msingi kulingana na anwani ya IP, bandari, na protokali. Haipokei vipengele vya hali ya juu kama vile ukaguzi wa kiwango cha programu au uelewa wa vitisho.
Azure Firewall: Inatoa vipengele vya hali ya juu kama vile kuchuja trafiki kwa kiwango cha programu (Layer 7), kuchuja kulingana na uelewa wa vitisho, kuchuja trafiki ya mtandao, na zaidi. Pia inasaidia anwani nyingi za IP za umma.
Matumizi:
NSG: Inafaa kwa kuchuja trafiki ya kiwango cha mtandao.
Azure Firewall: Inafaa kwa hali ngumu zaidi za kuchuja ambapo udhibiti wa kiwango cha programu, uandishi wa kumbukumbu, na uelewa wa vitisho unahitajika.
Usimamizi na Ufuatiliaji:
NSG: Inatoa uandishi wa kumbukumbu wa msingi na ujumuishaji na Azure Monitor.
Azure Firewall: Inatoa uwezo wa juu wa uandishi wa kumbukumbu na uchanganuzi kupitia Azure Monitor, ambayo ni muhimu kwa kuelewa asili na muundo wa trafiki.
A Network Virtual Appliance (NVA) in Azure ni kifaa cha mtandao ambacho kinatekeleza kazi za mtandao ndani ya mtandao wa virtual. NVAs kwa kawaida hutumiwa kwa kazi za mtandao ambazo hazipatikani kwa asili katika Azure au wakati uboreshaji zaidi unahitajika. Kwa msingi, ni VMs zinazotumia programu au huduma za mtandao, kama vile firewalls, WAN optimizers, au load balancers.
NVAs hutumiwa kwa kazi ngumu za routing, usalama, na usimamizi wa trafiki ya mtandao. Zinweza kuwekwa kutoka Azure Marketplace, ambapo wauzaji wengi wa tatu wanatoa vifaa vyao tayari kwa kuunganishwa katika mazingira ya Azure.
Shirika linaweza kuweka NVA katika Azure ili kuunda ufumbuzi wa firewall wa kawaida. Hii NVA inaweza kuendesha programu ya firewall ya upande wa tatu, ikitoa vipengele vya juu kama vile kugundua uvamizi, ukaguzi wa pakiti, au muunganisho wa VPN. NVA inaweza kuwekewa mipangilio ya kukagua na kuchuja trafiki inayopita kupitia hiyo, kuhakikisha kuwa hatua za usalama zilizoboreshwa ziko katika nafasi kulingana na sera za shirika.
Azure Route Tables ni kipengele ndani ya Microsoft Azure kinachoruhusu udhibiti wa mwelekeo wa trafiki ya mtandao ndani ya Azure Virtual Networks (VNets). Kimsingi, zinabainisha jinsi paket zinavyokuwa zinasambazwa kati ya subnets ndani ya VNets, kati ya VNets, au kwa mitandao ya nje. Kila meza ya mwelekeo ina seti ya sheria, inayojulikana kama mwelekeo, ambayo inabainisha jinsi paket zinavyopaswa kuelekezwa kulingana na anwani zao za IP za marudio.
User Defined Routes (UDR) katika Azure ni mwelekeo maalum ambayo unaunda ndani ya Azure Route Tables ili kudhibiti mtiririko wa trafiki ya mtandao ndani na kati ya Azure Virtual Networks (VNets), na kwa muunganisho wa nje. UDRs zinakupa uwezo wa kuelekeza trafiki ya mtandao kulingana na mahitaji yako maalum, zikipita juu ya maamuzi ya kawaida ya mwelekeo ya Azure.
Mwelekeo haya ni muhimu hasa kwa hali ambapo unahitaji kuelekeza trafiki kupitia kifaa cha virtual, kutekeleza njia maalum kwa ajili ya usalama au kufuata sera, au kuunganishwa na mitandao ya ndani.
Fikiria umeanzisha Network Virtual Appliance (NVA) kwa ajili ya kukagua trafiki kati ya subnets ndani ya VNet. Unaweza kuunda UDR inayoelekeza trafiki yote kutoka subnet moja hadi subnet nyingine kupitia NVA. Hii UDR inahakikisha kwamba NVA inakagua trafiki kwa ajili ya usalama kabla ya kufika kwenye marudio yake.
Azure Private Link ni huduma katika Azure ambayo inawezesha ufikiaji wa kibinafsi kwa huduma za Azure kwa kuhakikisha kwamba trafiki kati ya mtandao wako wa kibinafsi wa Azure (VNet) na huduma inasafiri kabisa ndani ya mtandao wa msingi wa Microsoft Azure. Inaleta huduma hiyo moja kwa moja ndani ya VNet yako. Mpangilio huu unaboresha usalama kwa kutokuweka data wazi kwa mtandao wa umma.
Private Link inaweza kutumika na huduma mbalimbali za Azure, kama Azure Storage, Azure SQL Database, na huduma za kawaida zinazoshirikiwa kupitia Private Link. Inatoa njia salama ya kutumia huduma kutoka ndani ya VNet yako mwenyewe au hata kutoka kwa usajili tofauti wa Azure.
NSGs hazitumiki kwa maeneo ya kibinafsi, ambayo ina maana wazi kwamba kuunganisha NSG na subnet ambayo ina Private Link hakutakuwa na athari.
Fikiria hali ambapo una Azure SQL Database ambayo unataka kufikia kwa usalama kutoka VNet yako. Kawaida, hii inaweza kuhusisha kupita kwenye mtandao wa umma. Kwa kutumia Private Link, unaweza kuunda kiunganishi cha kibinafsi katika VNet yako ambacho kinahusisha moja kwa moja na huduma ya Azure SQL Database. Kiunganishi hiki kinafanya database ionekane kana kwamba ni sehemu ya VNet yako mwenyewe, inayopatikana kupitia anwani ya IP ya kibinafsi, hivyo kuhakikisha ufikiaji salama na wa kibinafsi.
Azure Service Endpoints huongeza nafasi ya anwani ya faragha ya mtandao wako wa virtual na utambulisho wa VNet yako kwa huduma za Azure kupitia muunganisho wa moja kwa moja. Kwa kuwezesha service endpoints, rasilimali katika VNet yako zinaweza kuungana kwa usalama na huduma za Azure, kama Azure Storage na Azure SQL Database, kwa kutumia mtandao wa msingi wa Azure. Hii inahakikisha kwamba mwelekeo kutoka VNet hadi huduma ya Azure unabaki ndani ya mtandao wa Azure, ikitoa njia salama na ya kuaminika zaidi.
Kwa mfano, akaunti ya Azure Storage kwa kawaida inapatikana kupitia intaneti ya umma. Kwa kuwezesha service endpoint kwa Azure Storage ndani ya VNet yako, unaweza kuhakikisha kwamba ni mwelekeo pekee kutoka VNet yako unaweza kufikia akaunti ya uhifadhi. Kisha, moto wa akaunti ya uhifadhi unaweza kuwekewa mipangilio ili kukubali mwelekeo tu kutoka VNet yako.
Microsoft inapendekeza kutumia Private Links katika docs:\
Service Endpoints:
Trafiki kutoka kwa VNet yako hadi huduma ya Azure inasafiri kupitia mtandao wa Microsoft Azure, ikiepuka intaneti ya umma.
Endpoint ni muunganisho wa moja kwa moja na huduma ya Azure na hutoa IP ya kibinafsi kwa huduma ndani ya VNet.
Huduma yenyewe bado inapatikana kupitia endpoint yake ya umma kutoka nje ya VNet yako isipokuwa uweke moto wa huduma kuzuia trafiki kama hiyo.
Ni uhusiano wa moja kwa moja kati ya subnet na huduma ya Azure.
Ni ya gharama nafuu kuliko Private Links.
Private Links:
Private Link inachora huduma za Azure ndani ya VNet yako kupitia endpoint ya kibinafsi, ambayo ni kiunganishi cha mtandao chenye anwani ya IP ya kibinafsi ndani ya VNet yako.
Huduma ya Azure inafikiwa kwa kutumia anwani hii ya IP ya kibinafsi, ikifanya ionekane kama sehemu ya mtandao wako.
Huduma zilizounganishwa kupitia Private Link zinaweza kufikiwa tu kutoka kwa VNet yako au mitandao iliyounganishwa; hakuna ufikiaji wa intaneti ya umma kwa huduma hiyo.
Inaruhusu muunganisho salama kwa huduma za Azure au huduma zako binafsi zinazohifadhiwa katika Azure, pamoja na muunganisho kwa huduma zinazoshirikiwa na wengine.
Inatoa udhibiti wa ufikiaji wa kina kupitia endpoint ya kibinafsi katika VNet yako, tofauti na udhibiti mpana wa ufikiaji katika kiwango cha subnet na service endpoints.
Kwa muhtasari, ingawa Service Endpoints na Private Links zote zinatoa muunganisho salama kwa huduma za Azure, Private Links hutoa kiwango cha juu cha kutengwa na usalama kwa kuhakikisha kwamba huduma zinapatikana kwa siri bila kuzifichua kwa intaneti ya umma. Service Endpoints, kwa upande mwingine, ni rahisi kuanzisha kwa kesi za jumla ambapo ufikiaji rahisi na salama kwa huduma za Azure unahitajika bila haja ya IP ya kibinafsi katika VNet.
Azure Front Door ni kiingilio kinachoweza kupanuka na salama kwa usambazaji wa haraka wa programu zako za wavuti za kimataifa. In changanya huduma mbalimbali kama usambazaji wa mzigo wa kimataifa, kuharakisha tovuti, SSL offloading, na uwezo wa Web Application Firewall (WAF) katika huduma moja. Azure Front Door inatoa urambazaji wa akili kulingana na mahali pa karibu zaidi na mtumiaji, kuhakikisha utendaji bora na uaminifu. Zaidi ya hayo, inatoa urambazaji wa msingi wa URL, mwenyeji wa tovuti nyingi, upendeleo wa kikao, na usalama wa safu ya programu.
Azure Front Door WAF imeundwa ili kulinda programu za wavuti kutokana na mashambulizi ya mtandaoni bila kubadilisha msimbo wa nyuma. Inajumuisha sheria za kawaida na seti za sheria zinazodhibitiwa ili kulinda dhidi ya vitisho kama vile SQL injection, cross-site scripting, na mashambulizi mengine ya kawaida.
Fikiria una programu iliyosambazwa kimataifa yenye watumiaji kote ulimwenguni. Unaweza kutumia Azure Front Door ili kupeleka maombi ya watumiaji kwa kituo cha data cha kikanda kilicho karibu zaidi kinachohifadhi programu yako, hivyo kupunguza ucheleweshaji, kuboresha uzoefu wa mtumiaji na kuilinda kutokana na mashambulizi ya mtandaoni kwa uwezo wa WAF. Ikiwa eneo fulani linakabiliwa na muda wa kushindwa, Azure Front Door inaweza kuhamasisha trafiki kiotomatiki kwa eneo linalofuata bora, kuhakikisha upatikanaji wa juu.
Azure Application Gateway ni mshughulikia mzigo wa trafiki ya wavuti inayokuwezesha kudhibiti trafiki kwa maombi yako ya wavuti. Inatoa usambazaji wa mzigo wa Tabaka la 7, kumaliza SSL, na uwezo wa moto wa wavuti (WAF) katika Msimamizi wa Usambazaji wa Maombi (ADC) kama huduma. Vipengele muhimu ni pamoja na urambazaji wa URL, upendeleo wa kikao kulingana na kuki, na kupunguza safu za soketi salama (SSL), ambavyo ni muhimu kwa maombi yanayohitaji uwezo tata wa usambazaji wa mzigo kama urambazaji wa kimataifa na urambazaji wa msingi wa njia.
Fikiria hali ambapo una tovuti ya biashara mtandaoni ambayo ina subdomain nyingi kwa kazi tofauti, kama vile akaunti za watumiaji na usindikaji wa malipo. Azure Application Gateway inaweza kupeleka trafiki kwa seva za wavuti zinazofaa kulingana na njia ya URL. Kwa mfano, trafiki kwa example.com/accounts
inaweza kuelekezwa kwa huduma za akaunti za watumiaji, na trafiki kwa example.com/pay
inaweza kuelekezwa kwa huduma ya usindikaji wa malipo.
Na kulinda tovuti yako kutokana na mashambulizi kwa kutumia uwezo wa WAF.
VNet Peering ni kipengele cha mtandao katika Azure ambacho kinaruhusu Mitandao ya Kijadi (VNets) tofauti kuunganishwa moja kwa moja na bila mshono. Kupitia VNet peering, rasilimali katika VNet moja zinaweza kuwasiliana na rasilimali katika VNet nyingine kwa kutumia anwani za IP za kibinafsi, kama vile zilikuwa katika mtandao mmoja. VNet Peering inaweza pia kutumika na mitandao ya ndani kwa kuweka VPN ya tovuti hadi tovuti au Azure ExpressRoute.
Azure Hub na Spoke ni muundo wa mtandao unaotumika katika Azure kusimamia na kuandaa trafiki ya mtandao. "Hub" ni sehemu ya kati inayodhibiti na kuelekeza trafiki kati ya "spokes" tofauti. Hub kwa kawaida ina huduma za pamoja kama vile vifaa vya mtandao vya virtual (NVAs), Azure VPN Gateway, Azure Firewall, au Azure Bastion. "Spokes" ni VNets ambazo zinaweka kazi na kuungana na hub kwa kutumia VNet peering, na kuwapa uwezo wa kutumia huduma za pamoja ndani ya hub. Mfano huu unakuza mpangilio safi wa mtandao, ukipunguza ugumu kwa kuunganisha huduma za kawaida ambazo kazi nyingi katika VNets tofauti zinaweza kutumia.
VNET pairing si ya kupitisha katika Azure, ambayo inamaanisha kwamba ikiwa spoke 1 imeunganishwa na spoke 2 na spoke 2 imeunganishwa na spoke 3 basi spoke 1 haiwezi kuzungumza moja kwa moja na spoke 3.
Fikiria kampuni yenye idara tofauti kama Mauzo, HR, na Maendeleo, kila moja ikiwa na VNet yake (spokes). VNets hizi zinahitaji ufikiaji wa rasilimali za pamoja kama vile hifadhidata ya kati, firewall, na lango la intaneti, ambazo zote ziko katika VNet nyingine (hub). Kwa kutumia mfano wa Hub na Spoke, kila idara inaweza kuungana kwa usalama na rasilimali za pamoja kupitia VNet ya hub bila kufichua rasilimali hizo kwa umma wa intaneti au kuunda muundo mgumu wa mtandao wenye uhusiano mwingi.
VPN ya Site-to-Site katika Azure inakuwezesha kuunganisha mtandao wako wa ndani na Mtandao wa Kijadi wa Azure (VNet), ikiruhusu rasilimali kama VMs ndani ya Azure kuonekana kana kwamba ziko kwenye mtandao wako wa ndani. Muunganisho huu unafanywa kupitia gateway ya VPN inayoshughulikia usimbuaji wa trafiki kati ya mitandao miwili.
Biashara yenye ofisi yake kuu iliyoko New York ina kituo cha data cha ndani ambacho kinahitaji kuunganishwa kwa usalama na VNet yake katika Azure, ambayo inahifadhi kazi zake za virtualized. Kwa kuweka VPN ya Site-to-Site, kampuni inaweza kuhakikisha muunganisho wa usimbuaji kati ya seva za ndani na VMs za Azure, ikiruhusu rasilimali kufikiwa kwa usalama katika mazingira yote mawili kana kwamba ziko kwenye mtandao mmoja wa ndani.
Azure ExpressRoute ni huduma inayotoa kiunganishi cha kibinafsi, maalum, cha kasi ya juu kati ya miundombinu yako ya ndani na vituo vya data vya Azure. Kiunganishi hiki kinapatikana kupitia mtoa huduma wa muunganisho, kinapita kwenye mtandao wa umma na kutoa uaminifu zaidi, kasi za haraka, ucheleweshaji mdogo, na usalama wa juu kuliko muunganisho wa kawaida wa mtandao.
Shirika la kimataifa linahitaji kiunganishi thabiti na cha kuaminika kwa huduma zake za Azure kutokana na kiasi kikubwa cha data na hitaji la throughput ya juu. Kampuni inachagua Azure ExpressRoute kuunganisha moja kwa moja kituo chake cha data cha ndani na Azure, kuwezesha uhamishaji wa data kwa kiwango kikubwa, kama vile nakala za kila siku na uchambuzi wa data wa wakati halisi, kwa faragha na kasi iliyoongezeka.
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)