Az - Azure Network
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure надає віртуальні мережі (VNet), які дозволяють користувачам створювати ізольовані мережі в хмарі Azure. У межах цих VNet ресурси, такі як віртуальні машини, додатки, бази даних... можуть бути безпечно розміщені та керовані. Мережеве з'єднання в Azure підтримує як комунікацію в межах хмари (між службами Azure), так і з'єднання з зовнішніми мережами та Інтернетом. Більше того, можливо підключати VNet з іншими VNet та з локальними мережами.
Віртуальна мережа Azure (VNet) є уявленням вашої власної мережі в хмарі, що забезпечує логічну ізоляцію в середовищі Azure, присвяченому вашій підписці. VNet дозволяють вам створювати та керувати віртуальними приватними мережами (VPN) в Azure, розміщуючи ресурси, такі як віртуальні машини (VM), бази даних та служби додатків. Вони пропонують повний контроль над налаштуваннями мережі, включаючи діапазони IP-адрес, створення підмереж, таблиці маршрутів та мережеві шлюзи.
Підмережі є підрозділами в межах VNet, визначеними конкретними діапазонами IP-адрес. Сегментуючи VNet на кілька підмереж, ви можете організувати та захистити ресурси відповідно до вашої мережевої архітектури. За замовчуванням всі підмережі в межах однієї віртуальної мережі Azure (VNet) можуть спілкуватися одна з одною без будь-яких обмежень.
Приклад:
MyVNet з діапазоном IP-адрес 10.0.0.0/16.
Підмережа-1: 10.0.0.0/24 для веб-серверів.
Підмережа-2: 10.0.1.0/24 для серверів бази даних.
Щоб перерахувати всі VNet та підмережі в обліковому записі Azure, ви можете використовувати командний рядок Azure (CLI). Ось кроки:
Група безпеки мережі (NSG) фільтрує мережевий трафік як до, так і з ресурсів Azure в межах віртуальної мережі Azure (VNet). Вона містить набір правил безпеки, які можуть вказувати які порти відкрити для вхідного та вихідного трафіку за вихідним портом, вихідною IP-адресою, портом призначення, і можливо призначити пріоритет (чим нижче число пріоритету, тим вищий пріоритет).
NSG можуть бути асоційовані з підмережами та NIC.
Приклад правил:
Вхідне правило, що дозволяє HTTP-трафік (порт 80) з будь-якого джерела до ваших веб-серверів.
Вихідне правило, що дозволяє лише SQL-трафік (порт 1433) до конкретного діапазону IP-адрес призначення.
Azure Firewall — це керована служба мережевої безпеки в Azure, яка захищає хмарні ресурси, перевіряючи та контролюючи трафік. Це станова брандмауер, який фільтрує трафік на основі правил для рівнів з 3 по 7, підтримуючи зв'язок як всередині Azure (східно-західний трафік), так і з/до зовнішніх мереж (північно- південний трафік). Розгорнутий на рівні віртуальної мережі (VNet), він забезпечує централізований захист для всіх підмереж у VNet. Azure Firewall автоматично масштабується для обробки вимог до трафіку та забезпечує високу доступність без необхідності ручного налаштування.
Він доступний у трьох SKU — Basic, Standard та Premium, кожен з яких адаптований до специфічних потреб клієнтів:
Рекомендований випадок використання
Малі/середні підприємства (SMB) з обмеженими потребами
Загальне корпоративне використання, фільтрація рівнів 3–7
Дуже чутливі середовища (наприклад, обробка платежів)
Продуктивність
До 250 Мбіт/с пропускна здатність
До 30 Гбіт/с пропускна здатність
До 100 Гбіт/с пропускна здатність
Розвідка загроз
Лише сповіщення
Сповіщення та блокування (зловмисні IP/домени)
Сповіщення та блокування (розширена розвідка загроз)
Фільтрація L3–L7
Основна фільтрація
Станова фільтрація через протоколи
Станова фільтрація з розширеною перевіркою
Розширений захист від загроз
Не доступно
Фільтрація на основі розвідки загроз
Включає систему виявлення та запобігання вторгненням (IDPS)
Перевірка TLS
Не доступно
Не доступно
Підтримує вхідну/вихідну термінацію TLS
Доступність
Фіксований бекенд (2 ВМ)
Автоматичне масштабування
Автоматичне масштабування
Легкість управління
Основні елементи управління
Керування через Firewall Manager
Керування через Firewall Manager
Azure Route Tables використовуються для контролю маршрутизації мережевого трафіку в підмережі. Вони визначають правила, які вказують, як пакети повинні пересилатися, або до ресурсів Azure, в інтернет, або до конкретного наступного хопа, такого як Віртуальний Пристрій або Azure Firewall. Ви можете асоціювати таблицю маршрутів з підмережею, і всі ресурси в цій підмережі будуть слідувати маршрутам у таблиці.
Приклад: Якщо підмережа містить ресурси, які потребують маршрутизації вихідного трафіку через Мережевий Віртуальний Пристрій (NVA) для перевірки, ви можете створити маршрут у таблиці маршрутів, щоб перенаправити весь трафік (наприклад, 0.0.0.0/0) на приватну IP-адресу NVA як наступний хоп.
Azure Private Link - це сервіс в Azure, який дозволяє приватний доступ до сервісів Azure, забезпечуючи, що трафік між вашою віртуальною мережею Azure (VNet) та сервісом проходить повністю в межах мережі Microsoft Azure. Це ефективно інтегрує сервіс у вашу VNet. Така конфігурація підвищує безпеку, не піддаючи дані публічному інтернету.
Private Link можна використовувати з різними сервісами Azure, такими як Azure Storage, Azure SQL Database та користувацькими сервісами, які діляться через Private Link. Це забезпечує безпечний спосіб споживання сервісів з вашої власної VNet або навіть з різних підписок Azure.
NSG не застосовуються до приватних кінцевих точок, що чітко означає, що асоціювання NSG з підмережею, яка містить Private Link, не матиме жодного ефекту.
Приклад:
Розгляньте сценарій, коли у вас є Azure SQL Database, до якої ви хочете отримати безпечний доступ з вашої VNet. Зазвичай це може включати проходження через публічний інтернет. З Private Link ви можете створити приватну кінцеву точку у вашій VNet, яка безпосередньо підключається до сервісу Azure SQL Database. Ця кінцева точка робить базу даних такою, що вона виглядає як частина вашої власної VNet, доступна через приватну IP-адресу, що забезпечує безпечний і приватний доступ.
Azure Service Endpoints розширюють приватний адресний простір вашої віртуальної мережі та ідентичність вашої VNet до сервісів Azure через пряме з'єднання. Увімкнувши кінцеві точки сервісу, ресурси у вашій VNet можуть безпечно підключатися до сервісів Azure, таких як Azure Storage та Azure SQL Database, використовуючи магістральну мережу Azure. Це забезпечує, що трафік з VNet до сервісу Azure залишається в межах мережі Azure, забезпечуючи більш безпечний і надійний шлях.
Приклад:
Наприклад, обліковий запис Azure Storage за замовчуванням доступний через публічний інтернет. Увімкнувши кінцеву точку сервісу для Azure Storage у вашій VNet, ви можете забезпечити, що лише трафік з вашої VNet може отримати доступ до облікового запису зберігання. Брандмауер облікового запису зберігання може бути налаштований для прийняття трафіку лише з вашої VNet.
Microsoft рекомендує використовувати Private Links у документації:
Service Endpoints:
Трафік з вашої VNet до Azure-сервісу проходить через мережу Microsoft Azure, обходячи публічний інтернет.
Endpoint є прямим з'єднанням з Azure-сервісом і не надає приватну IP-адресу для сервісу в межах VNet.
Сам сервіс все ще доступний через свій публічний endpoint ззовні вашої VNet, якщо ви не налаштуєте брандмауер сервісу для блокування такого трафіку.
Це відносини один до одного між підмережею та Azure-сервісом.
Менш витратний, ніж Private Links.
Private Links:
Private Link відображає Azure-сервіси у вашій VNet через приватний endpoint, який є мережевим інтерфейсом з приватною IP-адресою в межах вашої VNet.
Azure-сервіс доступний за цією приватною IP-адресою, що робить його частиною вашої мережі.
Сервіси, підключені через Private Link, можуть бути доступні лише з вашої VNet або підключених мереж; доступу до сервісу з публічного інтернету немає.
Це забезпечує безпечне з'єднання з Azure-сервісами або вашими власними сервісами, розміщеними в Azure, а також з'єднання з сервісами, якими діляться інші.
Це забезпечує більш детальний контроль доступу через приватний endpoint у вашій VNet, на відміну від більш широкого контролю доступу на рівні підмережі з service endpoints.
Підсумовуючи, хоча як Service Endpoints, так і Private Links забезпечують безпечне з'єднання з Azure-сервісами, Private Links пропонують вищий рівень ізоляції та безпеки, забезпечуючи доступ до сервісів приватно без їх відкриття для публічного інтернету. Service Endpoints, з іншого боку, легші у налаштуванні для загальних випадків, коли потрібен простий, безпечний доступ до Azure-сервісів без необхідності в приватній IP-адресі у VNet.
Azure Front Door є масштабованою та безпечною точкою входу для швидкої доставки ваших глобальних веб-додатків. Він поєднує різні сервіси, такі як глобальне балансування навантаження, прискорення сайтів, SSL offloading та можливості Web Application Firewall (WAF) в один сервіс. Azure Front Door забезпечує інтелектуальну маршрутизацію на основі найближчого краєвого розташування до користувача, забезпечуючи оптимальну продуктивність та надійність. Крім того, він пропонує маршрутизацію на основі URL, хостинг кількох сайтів, афінність сесій та безпеку на рівні додатків.
Azure Front Door WAF призначений для захисту веб-додатків від веб-атак без модифікації коду на бекенді. Він включає в себе користувацькі правила та керовані набори правил для захисту від загроз, таких як SQL-ін'єкції, міжсайтове скриптування та інші поширені атаки.
Приклад:
Уявіть, що у вас є глобально розподілений додаток з користувачами по всьому світу. Ви можете використовувати Azure Front Door для маршрутизації запитів користувачів до найближчого регіонального дата-центру, що хостить ваш додаток, тим самим зменшуючи затримки, покращуючи досвід користувачів та захищаючи його від веб-атак за допомогою можливостей WAF. Якщо в певному регіоні виникають проблеми, Azure Front Door може автоматично перенаправити трафік до наступного найкращого місця, забезпечуючи високу доступність.
Azure Application Gateway є балансувальником навантаження веб-трафіку, який дозволяє вам керувати трафіком до ваших веб додатків. Він пропонує балансування навантаження на рівні 7, завершення SSL та можливості веб-додатків брандмауера (WAF) у контролері доставки додатків (ADC) як послугу. Ключові функції включають маршрутизацію на основі URL, прив'язку сесій на основі cookie та зняття навантаження з безпечного сокета (SSL), які є критично важливими для додатків, що вимагають складних можливостей балансування навантаження, таких як глобальна маршрутизація та маршрутизація на основі шляху.
Приклад:
Розгляньте сценарій, коли у вас є веб-сайт електронної комерції, який включає кілька піддоменів для різних функцій, таких як облікові записи користувачів та обробка платежів. Azure Application Gateway може маршрутизувати трафік до відповідних веб-серверів на основі URL-адреси. Наприклад, трафік до example.com/accounts може бути направлений до служби облікових записів користувачів, а трафік до example.com/pay може бути направлений до служби обробки платежів.
І захистити ваш веб-сайт від атак, використовуючи можливості WAF.
VNet Peering - це мережевий функціонал в Azure, який дозволяє різним Віртуальним Мережам (VNets) підключатися безпосередньо та безперешкодно. Завдяки VNet peering, ресурси в одній VNet можуть спілкуватися з ресурсами в іншій VNet, використовуючи приватні IP-адреси, ніби вони були в одній мережі. VNet Peering також може використовуватися з локальними мережами шляхом налаштування VPN з сайту на сайт або Azure ExpressRoute.
Azure Hub and Spoke - це топологія мережі, що використовується в Azure для управління та організації мережевого трафіку. "Хаб" є центральною точкою, яка контролює та маршрутизує трафік між різними "спицями". Хаб зазвичай містить спільні сервіси, такі як мережеві віртуальні пристрої (NVA), Azure VPN Gateway, Azure Firewall або Azure Bastion. "Спиці" - це VNets, які хостять навантаження та підключаються до хабу за допомогою VNet peering, що дозволяє їм використовувати спільні сервіси в межах хабу. Ця модель сприяє чистій мережевій структурі, зменшуючи складність шляхом централізації загальних сервісів, які можуть використовувати кілька навантажень через різні VNets.
VNET pairing є нетранзитивним в Azure, що означає, що якщо спиця 1 підключена до спиці 2, а спиця 2 підключена до спиці 3, то спиця 1 не може безпосередньо спілкуватися зі спицею 3.
Приклад:
Уявіть компанію з окремими відділами, такими як Продажі, HR та Розробка, кожен з яких має свою власну VNet (спиці). Ці VNets потребують доступу до спільних ресурсів, таких як центральна база даних, брандмауер та шлюз до Інтернету, які всі розташовані в іншій VNet (хаб). Використовуючи модель Hub and Spoke, кожен відділ може надійно підключатися до спільних ресурсів через VNet хабу, не піддаючи ці ресурси публічному Інтернету або створюючи складну мережеву структуру з численними з'єднаннями.
Site-to-Site VPN в Azure дозволяє вам підключити вашу локальну мережу до вашої Azure Virtual Network (VNet), що дозволяє ресурсам, таким як ВМ в Azure, з'являтися так, ніби вони знаходяться у вашій локальній мережі. Це з'єднання встановлюється через VPN-шлюз, який шифрує трафік між двома мережами.
Приклад:
Компанія з головним офісом у Нью-Йорку має локальний дата-центр, який потрібно безпечно підключити до свого VNet в Azure, що хостить її віртуалізовані навантаження. Налаштувавши Site-to-Site VPN, компанія може забезпечити зашифроване з'єднання між локальними серверами та Azure ВМ, що дозволяє безпечно отримувати доступ до ресурсів у обох середовищах, ніби вони знаходяться в одній локальній мережі.
Azure ExpressRoute - це сервіс, який забезпечує приватне, виділене, високошвидкісне з'єднання між вашою локальною інфраструктурою та центрами обробки даних Azure. Це з'єднання здійснюється через постачальника зв'язку, обходячи публічний інтернет і пропонуючи більшу надійність, швидші швидкості, нижчі затримки та вищу безпеку, ніж звичайні інтернет-з'єднання.
Приклад:
Багатонаціональна корпорація потребує послідовного та надійного з'єднання з її сервісами Azure через великий обсяг даних та необхідність високої пропускної здатності. Компанія обирає Azure ExpressRoute для безпосереднього з'єднання свого локального центру обробки даних з Azure, що полегшує великомасштабні передачі даних, такі як щоденні резервні копії та аналітика даних в реальному часі, з підвищеною конфіденційністю та швидкістю.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
