Az - Key Vault
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure Key Vault — це хмарна служба, що надається Microsoft Azure для безпечного зберігання та управління чутливою інформацією, такою як секрети, ключі, сертифікати та паролі. Вона діє як централізований репозиторій, пропонуючи безпечний доступ і детальний контроль за допомогою Azure Active Directory (Azure AD). З точки зору безпеки, Key Vault забезпечує захист апаратного модуля безпеки (HSM) для криптографічних ключів, гарантує, що секрети шифруються як у спокої, так і в процесі передачі, і пропонує надійне управління доступом через контроль доступу на основі ролей (RBAC) та політики. Вона також має журнал аудиту, інтеграцію з Azure Monitor для відстеження доступу та автоматизовану ротацію ключів для зменшення ризику тривалого відкриття ключів.
Дивіться огляд REST API Azure Key Vault для отримання повних деталей.
Згідно з документацією, Vaults підтримують зберігання програмних та HSM-підтримуваних ключів, секретів і сертифікатів. Керовані HSM пули підтримують лише HSM-підтримувані ключі.
Формат URL для vaults — https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
, а для керованих HSM пулів — https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Де:
vault-name
— це глобально унікальне ім'я ключового сховища
object-type
може бути "keys", "secrets" або "certificates"
object-name
— унікальне ім'я об'єкта в межах ключового сховища
object-version
— генерується системою і використовується для адресації унікальної версії об'єкта.
Щоб отримати доступ до секретів, збережених у сховищі, можна вибрати між 2 моделями дозволів під час створення сховища:
Політика доступу до сховища
Azure RBAC (найбільш поширена та рекомендована)
Ви можете знайти всі детальні дозволи, що підтримуються, за адресою https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault
Доступ до ресурсу Key Vault контролюється двома площинами:
управлінська площина, ціль якої — management.azure.com.
Використовується для управління ключовим сховищем та політиками доступу. Підтримується лише контроль доступу на основі ролей Azure (RBAC).
площина даних, ціль якої — <vault-name>.vault.azure.com
.
Використовується для управління та доступу до даних (ключів, секретів і сертифікатів) в ключовому сховищі. Це підтримує політики доступу до ключового сховища або Azure RBAC.
Роль, така як Contributor, яка має дозволи в управлінській площині для управління політиками доступу, може отримати доступ до секретів, змінюючи політики доступу.
У Azure Key Vault можна налаштувати правила брандмауера, щоб дозволити операції площини даних лише з вказаних віртуальних мереж або діапазонів IPv4 адрес. Це обмеження також впливає на доступ через портал адміністрування Azure; користувачі не зможуть перерахувати ключі, секрети або сертифікати в ключовому сховищі, якщо їх IP-адреса не входить до авторизованого діапазону.
Для аналізу та управління цими налаштуваннями ви можете використовувати Azure CLI:
Попередня команда відобразить налаштування брандмауера name-vault
, включаючи активовані IP-діапазони та політики для забороненого трафіку.
Більше того, можливо створити приватну точку доступу, щоб дозволити приватне з'єднання з сейфом.
Коли створюється ключовий сейф, мінімальна кількість днів для дозволу на видалення становить 7. Це означає, що щоразу, коли ви намагаєтеся видалити цей ключовий сейф, йому знадобиться принаймні 7 днів для видалення.
Однак можливо створити сейф з вимкненим захистом від очищення, що дозволяє очищати ключовий сейф та об'єкти під час періоду зберігання. Хоча, як тільки цей захист увімкнено для сейфа, його не можна вимкнути.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)