Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure Key Vault, Microsoft Azure tarafından sağlanan, gizli bilgiler, anahtarlar, sertifikalar ve şifreler gibi hassas bilgileri güvenli bir şekilde depolamak ve yönetmek için kullanılan bir bulut hizmetidir. Merkezi bir depo olarak işlev görür ve Azure Active Directory (Azure AD) kullanarak güvenli erişim ve ince ayar kontrolü sunar. Güvenlik açısından, Key Vault, kriptografik anahtarlar için donanım güvenlik modülü (HSM) koruması sağlar, gizli bilgilerin hem dinlenirken hem de iletim sırasında şifrelenmesini garanti eder ve rol tabanlı erişim kontrolü (RBAC) ve politikalar aracılığıyla sağlam erişim yönetimi sunar. Ayrıca denetim günlüğü, erişimi izlemek için Azure Monitor ile entegrasyon ve uzun süreli anahtar maruziyetinden kaynaklanan riski azaltmak için otomatik anahtar döngüsü özelliklerine sahiptir.
Tam detaylar için Azure Key Vault REST API overview sayfasını inceleyin.
docs sayfasına göre, Vault'lar yazılım ve HSM destekli anahtarlar, gizli bilgiler ve sertifikalar depolamayı destekler. Yönetilen HSM havuzları yalnızca HSM destekli anahtarları destekler.
Vault'lar için URL formatı https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
ve yönetilen HSM havuzları için: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
şeklindedir.
Burada:
vault-name
, anahtar kasasının küresel olarak benzersiz adıdır.
object-type
, "keys", "secrets" veya "certificates" olabilir.
object-name
, anahtar kasası içindeki nesnenin benzersiz adıdır.
object-version
, sistem tarafından üretilir ve isteğe bağlı olarak bir nesnenin benzersiz versiyonuna erişmek için kullanılır.
Kasada depolanan gizli bilgilere erişmek için, kasayı oluştururken 2 izin modeli arasında seçim yapmak mümkündür:
Vault erişim politikası
Azure RBAC (en yaygın ve önerilen)
Desteklenen tüm ayrıntılı izinleri https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault adresinde bulabilirsiniz.
Key Vault kaynağına erişim, iki düzlemle kontrol edilir:
yönetim düzlemi, hedefi management.azure.com olan.
Anahtar kasasını ve erişim politikalarını yönetmek için kullanılır. Sadece Azure rol tabanlı erişim kontrolü (RBAC) desteklenir.
veri düzlemi, hedefi <vault-name>.vault.azure.com
olan.
Anahtar kasasındaki verileri (anahtarlar, gizli bilgiler ve sertifikalar) yönetmek ve erişmek için kullanılır. Bu, anahtar kasası erişim politikalarını veya Azure RBAC'yi destekler.
Erişim politikalarını yönetmek için yönetim düzleminde izinleri olan Katkıda Bulunan gibi bir rol, erişim politikalarını değiştirerek gizli bilgilere erişim sağlayabilir.
Azure Key Vault'ta, veri düzlemi işlemlerine yalnızca belirli sanal ağlardan veya IPv4 adres aralıklarından izin vermek için güvenlik duvarı kuralları ayarlanabilir. Bu kısıtlama, Azure yönetim portalı üzerinden erişimi de etkiler; kullanıcılar, giriş IP adresleri yetkilendirilmiş aralıkta değilse bir anahtar kasasındaki anahtarları, gizli bilgileri veya sertifikaları listeleyemezler.
Bu ayarları analiz etmek ve yönetmek için Azure CLI'yi kullanabilirsiniz:
The previous command will display the firewall settings of name-vault
, including enabled IP ranges and policies for denied traffic.
Ayrıca, bir kasaya özel bir bağlantı sağlamak için özel bir uç nokta oluşturmak mümkündür.
Bir anahtar kasası oluşturulduğunda, silme için izin verilen minimum gün sayısı 7'dir. Bu, o anahtar kasasını silmeye çalıştığınızda silinmesi için en az 7 gün gerektiği anlamına gelir.
Ancak, silme koruması devre dışı bırakılmış bir kasa oluşturmak mümkündür; bu, anahtar kasası ve nesnelerin saklama süresi boyunca silinmesine izin verir. Ancak, bu koruma bir kasa için etkinleştirildiğinde devre dışı bırakılamaz.
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)