Az - Azure Network

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Azure 내의 네트워크는 다양한 Azure 서비스와 리소스 간의 연결 및 통신을 가능하게 하는 클라우드 컴퓨팅 플랫폼의 중요한 부분으로 작동합니다. Azure의 네트워크 아키텍처는 매우 확장 가능하고, 안전하며, 사용자 정의가 가능합니다.

기본적으로 Azure는 **가상 네트워크 (VNet)**를 제공하여 사용자가 Azure 클라우드 내에서 격리된 네트워크를 생성할 수 있게 합니다. 이러한 VNet 내에서 가상 머신, 애플리케이션, 데이터베이스와 같은 리소스를 안전하게 호스팅하고 관리할 수 있습니다. Azure의 네트워킹은 클라우드 내 통신(다양한 Azure 서비스 간)과 외부 네트워크 및 인터넷과의 연결을 모두 지원합니다.

보안은 Azure 네트워킹의 중요한 측면으로, 데이터 보호, 접근 관리 및 규정 준수를 위한 다양한 도구와 서비스를 제공합니다. 이러한 보안 조치에는 방화벽, 네트워크 보안 그룹, 암호화 기능이 포함되어 있어 트래픽 및 접근에 대한 높은 수준의 제어를 가능하게 합니다.

전반적으로, Azure의 네트워킹 기능은 유연성을 제공하여 사용자가 특정 애플리케이션 및 워크로드 요구에 맞는 네트워크 환경을 생성할 수 있도록 하며, 보안 및 신뢰성을 강하게 강조합니다.

Virtual Network (VNET) & Subnets

Azure의 VNet은 본질적으로 클라우드에서 사용자의 네트워크를 나타냅니다. 이는 Azure 클라우드를 사용자의 구독에 전용으로 논리적으로 격리한 것입니다. VNet을 통해 Azure에서 가상 사설 네트워크(VPN)를 프로비저닝하고 관리할 수 있으며, 가상 머신(VM), 데이터베이스, 애플리케이션 서비스와 같은 다양한 유형의 Azure 리소스를 호스팅하고 관리하는 데 사용할 수 있습니다.

VNet은 IP 주소 범위, 서브넷 생성, 라우트 테이블 및 네트워크 게이트웨이를 포함한 네트워크 설정에 대한 완전한 제어를 제공합니다.

서브넷은 VNet 내의 IP 주소 범위입니다. VNet을 여러 서브넷으로 나누어 조직 및 보안을 강화할 수 있습니다. VNet 내의 각 서브넷은 네트워크 및 애플리케이션 아키텍처에 따라 리소스를 격리하고 그룹화하는 데 사용할 수 있습니다.

또한, 서브넷을 통해 VNet을 하나 이상의 서브 네트워크로 분할하여 리소스가 사용할 수 있는 IP 주소 범위를 제공합니다.

Example

10.0.0.0/16 IP 주소 범위를 가진 MyVNet이라는 VNet이 있다고 가정해 봅시다. 이 VNet 내에 10.0.0.0/24 IP 주소 범위를 가진 Subnet-1이라는 서브넷을 생성하여 웹 서버를 호스팅할 수 있습니다. 또 다른 서브넷인 10.0.1.0/24 범위를 가진 Subnet-2는 데이터베이스 서버를 위해 사용할 수 있습니다. 이러한 분할은 네트워크 내에서 효율적인 관리 및 보안 제어를 가능하게 합니다.

Enumeration

Azure 계정에서 모든 VNet 및 서브넷을 나열하려면 Azure Command-Line Interface (CLI)를 사용할 수 있습니다. 다음은 단계입니다:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Network Security Groups (NSG)

Azure에서 **Network Security Group (NSG)**는 Azure Virtual Network (VNet) 내의 Azure 리소스에 대한 네트워크 트래픽을 필터링하는 주요 기능을 수행합니다. 이는 네트워크 트래픽의 흐름을 세밀하게 규정하는 보안 규칙 세트를 포함하고 있습니다.

NSG의 주요 측면은 다음과 같습니다:

트래픽 제어: 각 NSG는 다양한 Azure 리소스와 관련된 인바운드 및 아웃바운드 네트워크 트래픽을 허용하거나 차단하는 데 중요한 역할을 하는 규칙을 포함하고 있습니다.
규칙 구성 요소: NSG 내의 규칙은 소스/목적지 IP 주소, 포트 및 프로토콜과 같은 기준에 따라 트래픽을 필터링하는 매우 구체적인 규칙입니다. 이러한 구체성은 네트워크 트래픽의 세밀한 관리를 가능하게 합니다.
보안 강화: 승인된 트래픽만이 Azure 리소스에 들어오거나 나갈 수 있도록 보장함으로써, NSG는 네트워크 인프라의 보안 태세를 강화하는 데 중요한 역할을 합니다.

예시

VNet 내의 서브넷 또는 특정 가상 머신에 적용된 MyNSG라는 NSG가 있다고 가정해 보겠습니다. 다음과 같은 규칙을 만들 수 있습니다:
모든 소스에서 웹 서버로의 HTTP 트래픽(포트 80)을 허용하는 인바운드 규칙.
특정 목적지 IP 주소 범위로만 SQL 트래픽(포트 1433)을 허용하는 아웃바운드 규칙.

Enumeration

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Firewall

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 고가용성과 확장성 기능이 내장된 완전 상태 저장 방화벽 서비스입니다.

Azure Firewall은 NSG보다 더 고급 기능을 제공하며, 애플리케이션 수준 필터링, 네트워크 수준 필터링, 위협 인텔리전스 기반 필터링, 로깅 및 분석을 위한 Azure Monitor와의 통합을 포함합니다. 아웃바운드, 인바운드, spoke-to-spoke, VPN, ExpressRoute 트래픽을 필터링할 수 있습니다. 방화벽 규칙은 FQDN (Fully Qualified Domain Name), IP 주소 및 포트를 기반으로 생성할 수 있습니다.

Azure Firewall과 NSG의 차이점

범위:

NSG: 서브넷 또는 네트워크 인터페이스 수준에서 작동합니다. 네트워크 인터페이스(NIC), VM 또는 서브넷의 인바운드 및 아웃바운드 트래픽의 기본 필터링을 제공하기 위한 것입니다.
Azure Firewall: VNet 수준에서 작동하여 더 넓은 범위의 보호를 제공합니다. 가상 네트워크 리소스를 보호하고 VNet으로 들어오고 나가는 트래픽을 관리하도록 설계되었습니다.

기능:

NSG: IP 주소, 포트 및 프로토콜을 기반으로 기본 필터링 기능을 제공합니다. 애플리케이션 수준 검사나 위협 인텔리전스와 같은 고급 기능을 지원하지 않습니다.
Azure Firewall: 애플리케이션 수준(Layer 7) 트래픽 필터링, 위협 인텔리전스 기반 필터링, 네트워크 트래픽 필터링 등 고급 기능을 제공합니다. 또한 여러 공용 IP 주소를 지원합니다.

사용 사례:

NSG: 기본 네트워크 수준 트래픽 필터링에 이상적입니다.
Azure Firewall: 애플리케이션 수준 제어, 로깅 및 위협 인텔리전스가 필요한 더 복잡한 필터링 시나리오에 적합합니다.

관리 및 모니터링:

NSG: 기본 로깅 및 Azure Monitor와의 통합을 제공합니다.
Azure Firewall: 트래픽의 성격과 패턴을 이해하는 데 필수적인 Azure Monitor를 통한 고급 로깅 및 분석 기능을 제공합니다.

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Network Virtual Appliance (NVA)

Azure의 Network Virtual Appliance (NVA)는 가상 네트워크 내에서 네트워크 기능을 수행하는 가상 어플라이언스입니다. NVAs는 Azure에서 네이티브로 제공되지 않는 네트워크 기능이나 더 많은 커스터마이징이 필요한 경우에 주로 사용됩니다. 본질적으로 네트워크 애플리케이션이나 서비스를 실행하는 VM으로, 방화벽, WAN 최적화 장치, 로드 밸런서 등이 있습니다.

NVAs는 복잡한 라우팅, 보안, 네트워크 트래픽 관리 작업에 사용됩니다. Azure Marketplace에서 배포할 수 있으며, 많은 서드파티 벤더들이 Azure 환경에 통합할 준비가 된 어플라이언스를 제공합니다.

예시

조직은 Azure에 NVA를 배포하여 맞춤형 방화벽 솔루션을 만들 수 있습니다. 이 NVA는 서드파티 방화벽 소프트웨어를 실행하여 침입 탐지, 패킷 검사, VPN 연결과 같은 고급 기능을 제공할 수 있습니다. NVA는 통과하는 트래픽을 검사하고 필터링하도록 구성할 수 있으며, 조직의 정책에 따라 강화된 보안 조치를 보장합니다.

Enumeration

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Azure Route Tables & User Defined Routes (UDR)

Azure Route Tables는 Microsoft Azure 내에서 Azure Virtual Networks (VNets) 내의 네트워크 트래픽 라우팅을 제어할 수 있는 기능입니다. 기본적으로, 이는 패킷이 VNets 내의 서브넷 간, VNets 간, 또는 외부 네트워크로 전달되는 방식을 정의합니다. 각 라우트 테이블에는 경로라고 하는 일련의 규칙이 포함되어 있으며, 이는 목적지 IP 주소에 따라 패킷이 라우팅되는 방식을 지정합니다.

**User Defined Routes (UDR)**는 Azure Route Tables 내에서 사용자가 생성하는 맞춤형 경로로, Azure Virtual Networks (VNets) 내 및 VNets 간, 그리고 외부 연결 간의 네트워크 트래픽 흐름을 제어합니다. UDR은 Azure의 기본 라우팅 결정을 무시하고 특정 요구 사항에 따라 네트워크 트래픽을 유도할 수 있는 유연성을 제공합니다.

이러한 경로는 특히 가상 어플라이언스를 통해 트래픽을 라우팅하거나, 보안 또는 정책 준수를 위해 특정 경로를 강제하거나, 온프레미스 네트워크와 통합해야 하는 시나리오에서 유용합니다.

예시

서브넷 간 트래픽을 검사하기 위해 Network Virtual Appliance (NVA)를 배포했다고 가정해 봅시다. 한 서브넷에서 다른 서브넷으로 가는 모든 트래픽을 NVA를 통해 전달하도록 UDR을 생성할 수 있습니다. 이 UDR은 트래픽이 목적지에 도달하기 전에 NVA가 보안 목적으로 트래픽을 검사하도록 보장합니다.

Enumeration

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link는 Azure 서비스에 대한 비공개 액세스를 가능하게 하는 Azure의 서비스로, Azure 가상 네트워크(VNet)와 서비스 간의 트래픽이 전적으로 Microsoft의 Azure 백본 네트워크 내에서 이동하도록 보장합니다. 이 설정은 서비스를 VNet으로 가져오는 효과가 있습니다. 이 설정은 데이터를 공용 인터넷에 노출시키지 않음으로써 보안을 강화합니다.

Private Link는 Azure Storage, Azure SQL Database 및 Private Link를 통해 공유되는 사용자 정의 서비스와 같은 다양한 Azure 서비스와 함께 사용할 수 있습니다. 이는 자체 VNet 내에서 또는 다른 Azure 구독에서 서비스를 안전하게 소비할 수 있는 방법을 제공합니다.

NSG는 private endpoints에 적용되지 않으므로, Private Link가 포함된 서브넷에 NSG를 연결해도 아무런 효과가 없습니다.

Example

VNet에서 안전하게 액세스하려는 Azure SQL Database가 있는 시나리오를 고려해보세요. 일반적으로 이는 공용 인터넷을 통해 이동할 수 있습니다. Private Link를 사용하면 VNet에 Azure SQL Database 서비스에 직접 연결되는 private endpoint를 생성할 수 있습니다. 이 endpoint는 데이터베이스를 마치 자체 VNet의 일부인 것처럼 보이게 하여, 비공개 IP 주소를 통해 안전하고 비공개로 액세스할 수 있도록 합니다.

Enumeration

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure Service Endpoints

Azure Service Endpoints는 가상 네트워크의 프라이빗 주소 공간과 VNet의 아이덴티티를 Azure 서비스에 직접 연결을 통해 확장합니다. 서비스 엔드포인트를 활성화하면, VNet의 리소스가 Azure Storage 및 Azure SQL Database와 같은 Azure 서비스에 안전하게 연결할 수 있습니다. 이는 VNet에서 Azure 서비스로의 트래픽이 Azure 네트워크 내에 머물도록 하여 더 안전하고 신뢰할 수 있는 경로를 제공합니다.

Example

예를 들어, 기본적으로 Azure Storage 계정은 공용 인터넷을 통해 접근할 수 있습니다. VNet 내에서 Azure Storage에 대한 서비스 엔드포인트를 활성화하면, VNet에서만 스토리지 계정에 접근할 수 있도록 할 수 있습니다. 그런 다음 스토리지 계정 방화벽을 VNet에서 오는 트래픽만 허용하도록 구성할 수 있습니다.

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Service Endpoints와 Private Links의 차이점

Microsoft는 docs에서 Private Links 사용을 권장합니다:\

Service Endpoints:

VNet에서 Azure 서비스로의 트래픽은 공용 인터넷을 우회하여 Microsoft Azure 백본 네트워크를 통해 이동합니다.
엔드포인트는 Azure 서비스로의 직접 연결이며, VNet 내에서 서비스에 대한 개인 IP를 제공하지 않습니다.
서비스 자체는 서비스 방화벽을 구성하여 이러한 트래픽을 차단하지 않는 한 VNet 외부에서 공용 엔드포인트를 통해 여전히 액세스할 수 있습니다.
서브넷과 Azure 서비스 간의 일대일 관계입니다.
Private Links보다 저렴합니다.

Private Links:

Private Link는 Azure 서비스를 VNet 내의 개인 엔드포인트(개인 IP 주소가 있는 네트워크 인터페이스)를 통해 VNet에 매핑합니다.
Azure 서비스는 이 개인 IP 주소를 사용하여 액세스되며, 이는 네트워크의 일부인 것처럼 보이게 합니다.
Private Link를 통해 연결된 서비스는 VNet 또는 연결된 네트워크에서만 액세스할 수 있으며, 서비스에 대한 공용 인터넷 액세스는 없습니다.
Azure 서비스 또는 Azure에 호스팅된 자체 서비스뿐만 아니라 다른 사람이 공유한 서비스에 대한 안전한 연결을 가능하게 합니다.
서비스 엔드포인트와 달리 VNet 내의 개인 엔드포인트를 통해 더 세분화된 액세스 제어를 제공합니다.

요약하자면, Service Endpoints와 Private Links 모두 Azure 서비스에 대한 안전한 연결을 제공하지만, Private Links는 서비스를 공용 인터넷에 노출시키지 않고 비공개로 액세스할 수 있도록 하여 더 높은 수준의 격리와 보안을 제공합니다. 반면, Service Endpoints는 VNet 내에서 개인 IP가 필요 없는 일반적인 경우에 간단하고 안전한 Azure 서비스 액세스를 설정하기 쉽습니다.

Azure Front Door (AFD) & AFD WAF

Azure Front Door는 글로벌 웹 애플리케이션의 빠른 전달을 위한 확장 가능하고 안전한 진입점입니다. 글로벌 로드 밸런싱, 사이트 가속, SSL 오프로드, 웹 애플리케이션 방화벽(WAF) 기능과 같은 다양한 서비스를 단일 서비스로 결합합니다. Azure Front Door는 사용자에게 가장 가까운 엣지 위치를 기반으로 지능형 라우팅을 제공하여 최적의 성능과 신뢰성을 보장합니다. 또한 URL 기반 라우팅, 다중 사이트 호스팅, 세션 친화성 및 애플리케이션 계층 보안을 제공합니다.

Azure Front Door WAF는 백엔드 코드를 수정하지 않고 웹 애플리케이션을 웹 기반 공격으로부터 보호하도록 설계되었습니다. SQL 인젝션, 크로스 사이트 스크립팅 및 기타 일반적인 공격으로부터 보호하기 위한 사용자 정의 규칙 및 관리 규칙 세트를 포함합니다.

예시

전 세계에 사용자가 있는 글로벌 분산 애플리케이션을 상상해보세요. Azure Front Door를 사용하여 사용자 요청을 애플리케이션을 호스팅하는 가장 가까운 지역 데이터 센터로 라우팅하여 지연 시간을 줄이고 사용자 경험을 개선하며 WAF 기능으로 웹 공격으로부터 방어할 수 있습니다. 특정 지역에 다운타임이 발생하면 Azure Front Door는 자동으로 트래픽을 다음 최적의 위치로 재라우팅하여 높은 가용성을 보장합니다.

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway and Azure Application Gateway WAF

Azure Application Gateway는 웹 트래픽 로드 밸런서로, 웹 애플리케이션으로의 트래픽을 관리할 수 있게 해줍니다. 이 서비스는 Layer 7 로드 밸런싱, SSL 종료, 웹 애플리케이션 방화벽 (WAF) 기능을 Application Delivery Controller (ADC)로 제공합니다. 주요 기능으로는 URL 기반 라우팅, 쿠키 기반 세션 지속성, SSL 오프로드가 있으며, 이는 글로벌 라우팅 및 경로 기반 라우팅과 같은 복잡한 로드 밸런싱 기능이 필요한 애플리케이션에 필수적입니다.

Example

여러 기능을 위한 여러 서브도메인을 포함하는 전자 상거래 웹사이트가 있다고 가정해보세요. 예를 들어, 사용자 계정 및 결제 처리를 위한 서브도메인이 있을 수 있습니다. Azure Application Gateway는 URL 경로에 따라 적절한 웹 서버로 트래픽을 라우팅할 수 있습니다. 예를 들어, example.com/accounts로의 트래픽은 사용자 계정 서비스로, example.com/pay로의 트래픽은 결제 처리 서비스로 라우팅될 수 있습니다. 그리고 WAF 기능을 사용하여 웹사이트를 공격으로부터 보호할 수 있습니다.

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering은 서로 다른 Virtual Networks (VNets)를 직접적이고 원활하게 연결할 수 있게 해주는 Azure의 네트워킹 기능입니다. VNet 피어링을 통해 하나의 VNet에 있는 리소스가 다른 VNet에 있는 리소스와 마치 동일한 네트워크에 있는 것처럼 사설 IP 주소를 사용하여 통신할 수 있습니다. VNet Peering은 사이트 간 VPN 또는 Azure ExpressRoute를 설정하여 온프레미스 네트워크와 함께 사용할 수도 있습니다.

Azure Hub and Spoke는 Azure에서 네트워크 트래픽을 관리하고 조직화하는 데 사용되는 네트워크 토폴로지입니다. "허브"는 서로 다른 "스포크" 간의 트래픽을 제어하고 라우팅하는 중앙 지점입니다. 허브는 일반적으로 네트워크 가상 어플라이언스(NVAs), Azure VPN Gateway, Azure Firewall 또는 Azure Bastion과 같은 공유 서비스를 포함합니다. "스포크"는 워크로드를 호스팅하고 VNet 피어링을 사용하여 허브에 연결되는 VNets로, 허브 내의 공유 서비스를 활용할 수 있습니다. 이 모델은 여러 VNet에 걸친 다양한 워크로드가 사용할 수 있는 공통 서비스를 중앙 집중화하여 복잡성을 줄이고 깔끔한 네트워크 레이아웃을 촉진합니다.

VNET 피어링은 Azure에서 비전이성입니다, 즉 스포크 1이 스포크 2와 연결되고 스포크 2가 스포크 3과 연결된 경우 스포크 1은 스포크 3과 직접 통신할 수 없습니다.

Examples

Sales, HR, Development와 같은 별도의 부서를 가진 회사가 있다고 상상해 보세요. 각 부서는 자체 VNet(스포크)을 가지고 있습니다. 이러한 VNets는 중앙 데이터베이스, 방화벽, 인터넷 게이트웨이와 같은 공유 리소스에 접근해야 합니다. 이러한 리소스는 다른 VNet(허브)에 위치해 있습니다. Hub and Spoke 모델을 사용하면 각 부서는 공유 리소스를 공용 인터넷에 노출시키지 않고 허브 VNet을 통해 안전하게 연결할 수 있습니다. 또는 수많은 연결로 복잡한 네트워크 구조를 만들지 않고도 가능합니다.

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

Azure의 Site-to-Site VPN은 온프레미스 네트워크를 Azure Virtual Network (VNet)에 연결하여 Azure 내의 VM과 같은 리소스가 로컬 네트워크에 있는 것처럼 보이게 합니다. 이 연결은 두 네트워크 간의 트래픽을 암호화하는 VPN 게이트웨이를 통해 설정됩니다.

예시

뉴욕에 본사를 둔 한 기업이 온프레미스 데이터 센터를 Azure의 VNet에 안전하게 연결해야 합니다. 이 VNet은 가상화된 워크로드를 호스팅합니다. Site-to-Site VPN을 설정함으로써, 회사는 온프레미스 서버와 Azure VM 간의 암호화된 연결을 보장하여 두 환경 간의 리소스를 동일한 로컬 네트워크에 있는 것처럼 안전하게 액세스할 수 있습니다.

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute는 온프레미스 인프라와 Azure 데이터 센터 간의 전용 고속 연결을 제공하는 서비스입니다. 이 연결은 공용 인터넷을 우회하여 연결 제공자를 통해 이루어지며, 일반적인 인터넷 연결보다 더 높은 신뢰성, 빠른 속도, 낮은 지연 시간 및 높은 보안을 제공합니다.

예시

다국적 기업은 대량의 데이터와 높은 처리량 요구로 인해 Azure 서비스에 대한 일관되고 신뢰할 수 있는 연결이 필요합니다. 이 회사는 Azure ExpressRoute를 선택하여 온프레미스 데이터 센터를 Azure에 직접 연결하여 일일 백업 및 실시간 데이터 분석과 같은 대규모 데이터 전송을 향상된 프라이버시와 속도로 수행합니다.

열거

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

AWS Hacking 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기

구독 플랜을 확인하세요!
💬 Discord 그룹 또는 telegram 그룹에 가입하거나 Twitter 🐦 @hacktricks_live을 팔로우하세요.
PR을 제출하여 HackTricks 및 HackTricks Cloud github 저장소에 해킹 트릭을 공유하세요.

PreviousAz - Virtual Machines & Network NextAz - Permissions for a Pentest

Last updated 1 month ago