gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-05 01:07:11 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza

Browse Source
This commit is contained in:
Translator
2025-02-17 12:01:45 +00:00
parent cef4ace69a
commit 0dec7967dc
16 changed files with 408 additions and 314 deletions
Download Patch File Download Diff File Expand all files Collapse all files

120
src/pentesting-cloud/azure-security/az-services/az-sql.md
View File

@@ -6,21 +6,86 @@
Azure SQL es una familia de productos gestionados, seguros e inteligentes que utilizan el **motor de base de datos SQL Server en la nube de Azure**. Esto significa que no tienes que preocuparte por la administración física de tus servidores, y puedes concentrarte en gestionar tus datos.
Azure SQL consta de tres ofertas principales:
Azure SQL consta de cuatro ofertas principales:
1. **Azure SQL Database**: Este es un **servicio de base de datos completamente gestionado**, que te permite alojar bases de datos individuales en la nube de Azure. Ofrece inteligencia incorporada que aprende tus patrones únicos de base de datos y proporciona recomendaciones personalizadas y ajuste automático.
2. **Azure SQL Managed Instance**: Esto es para implementaciones a gran escala, de toda la instancia de SQL Server. Proporciona casi un 100% de compatibilidad con el motor de base de datos SQL Server en las instalaciones (Edición Enterprise), que ofrece una implementación nativa de red virtual (VNet) que aborda preocupaciones comunes de seguridad, y un modelo de negocio favorable para los clientes de SQL Server en las instalaciones.
3. **Azure SQL Server en Azure VMs**: Esto es Infraestructura como Servicio (IaaS) y es mejor para migraciones donde deseas **control sobre el sistema operativo y la instancia de SQL Server**, como si fuera un servidor que se ejecuta en las instalaciones.
1. **Azure SQL Server**: Azure SQL Server es un servicio de base de datos relacional gestionado que simplifica la implementación y gestión de bases de datos SQL Server, con características de seguridad y rendimiento integradas.
2. **Azure SQL Database**: Este es un **servicio de base de datos totalmente gestionado**, que te permite alojar bases de datos individuales en la nube de Azure. Ofrece inteligencia incorporada que aprende tus patrones únicos de base de datos y proporciona recomendaciones personalizadas y ajuste automático.
3. **Azure SQL Managed Instance**: Esto es para implementaciones a gran escala, de toda la instancia de SQL Server. Proporciona casi un 100% de compatibilidad con el motor de base de datos SQL Server en las instalaciones (Edición Enterprise), que ofrece una implementación nativa de red virtual (VNet) que aborda preocupaciones comunes de seguridad, y un modelo de negocio favorable para los clientes de SQL Server en las instalaciones.
4. **Azure SQL Server en Azure VMs**: Esto es Infraestructura como Servicio (IaaS) y es mejor para migraciones donde deseas **control sobre el sistema operativo y la instancia de SQL Server**, como si fuera un servidor que se ejecuta en las instalaciones.
### Azure SQL Server
Azure SQL Server es un sistema de gestión de bases de datos relacionales (RDBMS) que utiliza Transact-SQL para operaciones de datos y está diseñado para manejar sistemas a nivel empresarial. Ofrece características robustas para rendimiento, seguridad, escalabilidad e integración con varias aplicaciones de Microsoft. Las bases de datos de Azure SQL dependen de este servidor, ya que están construidas sobre estos servidores y es el punto de entrada para que los usuarios accedan a las bases de datos.
#### Red
**Conectividad de Red**: Elige si habilitar el acceso a través de un punto final público o privado. Si seleccionas Sin acceso, no se crean puntos finales hasta que se configure manualmente:
- Sin acceso: No se configuran puntos finales, bloqueando conexiones entrantes hasta que se configuren manualmente.
- Punto final público: Permite conexiones directas a través de Internet público, sujeto a reglas de firewall y otras configuraciones de seguridad.
- Punto final privado: Restringe la conectividad a una red privada.
**Política de Conexión**: Define cómo los clientes se comunican con el servidor de base de datos SQL:
- Predeterminado: Utiliza una política de redirección para todas las conexiones de clientes desde dentro de Azure (excepto aquellas que utilizan Puntos Finales Privados) y una política de proxy para conexiones desde fuera de Azure.
- Proxy: Rutea todas las conexiones de clientes a través de la puerta de enlace de Azure SQL Database.
- Redirección: Los clientes se conectan directamente al nodo que aloja la base de datos.
#### Métodos de Autenticación
Azure SQL admite varios métodos de autenticación para asegurar el acceso a la base de datos:
- **Autenticación solo de Microsoft Entra**: Utiliza Microsoft Entra (anteriormente Azure AD) para la gestión de identidad centralizada y el inicio de sesión único.
- **Autenticación tanto de SQL como de Microsoft Entra**: Te permite usar la autenticación SQL tradicional junto con Microsoft Entra.
- **Autenticación SQL**: Se basa únicamente en nombres de usuario y contraseñas de SQL Server.
#### Características de Seguridad
Los servidores SQL tienen **Identidades Gestionadas**. Las identidades gestionadas permiten que tu servidor se autentique de forma segura con otros servicios de Azure sin almacenar credenciales. Permite acceder a otros servicios que serían identidad gestionada asignada por el sistema y ser accedidos por otros servicios con otras identidades que son identidad gestionada asignada por el usuario. Algunos de los servicios a los que SQL puede acceder son Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB o Cosmos DB API para MongoDB, ODBC genérico, Operaciones en bloque y almacenamiento de objetos compatible con S3.
Otras características de seguridad que tiene el servidor SQL son:
- **Reglas de Firewall**: Las reglas de firewall controlan el acceso a tu servidor restringiendo o permitiendo el tráfico. Esta es una característica de las bases de datos en sí también.
- **Cifrado de Datos Transparente (TDE)**: TDE cifra tus bases de datos, copias de seguridad y registros en reposo para proteger tus datos incluso si el almacenamiento se ve comprometido. Se puede hacer con una clave gestionada por el servicio o una clave gestionada por el cliente.
- **Microsoft Defender para SQL**: Microsoft Defender para SQL se puede habilitar ofreciendo evaluaciones de vulnerabilidad y protección avanzada contra amenazas para un servidor.
#### Modelos de Implementación
Azure SQL Database admite opciones de implementación flexibles para satisfacer diversas necesidades:
- **Base de Datos Única**:
- Una base de datos totalmente aislada con sus propios recursos dedicados.
- Ideal para microservicios o aplicaciones que requieren una única fuente de datos.
- **Grupo Elástico**:
- Permite que múltiples bases de datos compartan recursos dentro de un grupo.
- Eficiente en costos para aplicaciones con patrones de uso fluctuantes en múltiples bases de datos.
### Azure SQL Database
**Azure SQL Database** es una **plataforma de base de datos completamente gestionada como servicio (PaaS)** que proporciona soluciones de bases de datos relacionales escalables y seguras. Está construida sobre las últimas tecnologías de SQL Server y elimina la necesidad de gestión de infraestructura, lo que la convierte en una opción popular para aplicaciones basadas en la nube.
**Azure SQL Database** es una **plataforma de base de datos totalmente gestionada como servicio (PaaS)** que proporciona soluciones de base de datos relacional escalables y seguras. Está construida sobre las últimas tecnologías de SQL Server y elimina la necesidad de gestión de infraestructura, lo que la convierte en una opción popular para aplicaciones basadas en la nube.
#### Características Clave
- **Siempre Actualizado**: Se ejecuta en la última versión estable de SQL Server y recibe nuevas características y parches automáticamente.
- **Capacidades de PaaS**: Alta disponibilidad, copias de seguridad y actualizaciones integradas.
- **Flexibilidad de Datos**: Soporta datos relacionales y no relacionales (por ejemplo, gráficos, JSON, espaciales y XML).
- **Flexibilidad de Datos**: Admite datos relacionales y no relacionales (por ejemplo, gráficos, JSON, espacial y XML).
#### Red
**Conectividad de Red**: Elige si habilitar el acceso a través de un punto final público o privado. Si seleccionas Sin acceso, no se crean puntos finales hasta que se configure manualmente:
- Sin acceso: No se configuran puntos finales, bloqueando conexiones entrantes hasta que se configuren manualmente.
- Punto final público: Permite conexiones directas a través de Internet público, sujeto a reglas de firewall y otras configuraciones de seguridad.
- Punto final privado: Restringe la conectividad a una red privada.
**Política de Conexión**: Define cómo los clientes se comunican con el servidor de base de datos SQL:
- Predeterminado: Utiliza una política de redirección para todas las conexiones de clientes desde dentro de Azure (excepto aquellas que utilizan Puntos Finales Privados) y una política de proxy para conexiones desde fuera de Azure.
- Proxy: Rutea todas las conexiones de clientes a través de la puerta de enlace de Azure SQL Database.
- Redirección: Los clientes se conectan directamente al nodo que aloja la base de datos.
#### Características de Seguridad
- **Microsoft Defender para SQL**: se puede habilitar ofreciendo evaluaciones de vulnerabilidad y protección avanzada contra amenazas.
- **Libro Mayor**: verifica criptográficamente la integridad de los datos, asegurando que cualquier manipulación sea detectada.
- **Identidad del Servidor**: utiliza identidades gestionadas asignadas por el sistema y por el usuario para habilitar el acceso centralizado.
- **Gestión de Claves de Cifrado de Datos Transparentes**: cifra bases de datos, copias de seguridad y registros en reposo sin requerir cambios en la aplicación. El cifrado se puede habilitar en cada base de datos, y si se configura a nivel de base de datos, estas configuraciones anulan la configuración a nivel de servidor.
- **Siempre Cifrado**: es un conjunto de características avanzadas de protección de datos que separa la propiedad de los datos de la gestión de los datos. Esto asegura que los administradores u operadores con altos privilegios no puedan acceder a datos sensibles.
#### Modelos de Compra / Niveles de Servicio
@@ -29,50 +94,39 @@ Azure SQL consta de tres ofertas principales:
- Estándar: Recursos equilibrados para tareas comunes.
- Premium: Alto rendimiento para cargas de trabajo exigentes.
#### Modelos de Implementación
Azure SQL Database soporta opciones de implementación flexibles para satisfacer diversas necesidades:
- **Base de Datos Única**:
- Una base de datos completamente aislada con sus propios recursos dedicados.
- Ideal para microservicios o aplicaciones que requieren una única fuente de datos.
- **Grupo Elástico**:
- Permite que múltiples bases de datos compartan recursos dentro de un grupo.
- Eficiente en costos para aplicaciones con patrones de uso fluctuantes a través de múltiples bases de datos.
#### Rendimiento escalable y grupos
- **Bases de Datos Únicas**: Cada base de datos está aislada y tiene sus propios recursos dedicados de computación, memoria y almacenamiento. Los recursos se pueden escalar dinámicamente (hacia arriba o hacia abajo) sin tiempo de inactividad (1128 vCores, 32 GB4 TB de almacenamiento, y hasta 128 TB).
- **Grupos Elásticos**: Comparte recursos entre múltiples bases de datos en un grupo para maximizar la eficiencia y ahorrar costos. Los recursos también se pueden escalar dinámicamente para todo el grupo.
- **Flexibilidad de Nivel de Servicio**: Comienza pequeño con una base de datos única en el nivel de Propósito General. Mejora a niveles Críticos para Negocios o Hyperscale a medida que crecen las necesidades.
- **Flexibilidad de Nivel de Servicio**: Comienza pequeño con una base de datos única en el nivel de Propósito General. Mejora a niveles Críticos para Negocios o Hiperescalables a medida que crecen las necesidades.
- **Opciones de Escalado**: Escalado Dinámico o Alternativas de Autoscalado.
#### Monitoreo y Optimización Integrados
- **Query Store**: Rastrea problemas de rendimiento, identifica los principales consumidores de recursos y ofrece recomendaciones prácticas.
- **Consulta Almacenada**: Realiza un seguimiento de problemas de rendimiento, identifica los principales consumidores de recursos y ofrece recomendaciones prácticas.
- **Ajuste Automático**: Optimiza proactivamente el rendimiento con características como indexación automática y correcciones de planes de consulta.
- **Integración de Telemetría**: Soporta monitoreo a través de Azure Monitor, Event Hubs o Azure Storage para obtener información personalizada.
- **Integración de Telemetría**: Admite monitoreo a través de Azure Monitor, Event Hubs o Azure Storage para obtener información personalizada.
#### Recuperación ante Desastres y Disponibilidad
- **Copias de seguridad automáticas**: SQL Database realiza automáticamente copias de seguridad completas, diferenciales y de registro de transacciones de las bases de datos.
- **Restauración a un Punto en el Tiempo**: Recupera bases de datos a cualquier estado pasado dentro del período de retención de copias de seguridad.
- **Copias de seguridad automáticas**: SQL Database realiza automáticamente copias de seguridad completas, diferenciales y de registros de transacciones de bases de datos.
- **Restauración a un Punto en el Tiempo**: Recupera bases de datos a cualquier estado anterior dentro del período de retención de copias de seguridad.
- **Geo-Redundancia**
- **Grupos de Conmutación por Error**: Simplifica la recuperación ante desastres agrupando bases de datos para la conmutación automática entre regiones.
### Azure SQL Managed Instance
**Azure SQL Managed Instance** es un motor de base de datos como servicio (PaaS) que ofrece casi un 100% de compatibilidad con SQL Server y maneja automáticamente la mayoría de las tareas de gestión (por ejemplo, actualizaciones, parches, copias de seguridad, monitoreo). Proporciona una solución en la nube para migrar bases de datos de SQL Server en las instalaciones con cambios mínimos.
**Azure SQL Managed Instance** es un motor de base de datos como servicio (PaaS) que ofrece casi un 100% de compatibilidad con SQL Server y maneja automáticamente la mayoría de las tareas de gestión (por ejemplo, actualización, parches, copias de seguridad, monitoreo). Proporciona una solución en la nube para migrar bases de datos de SQL Server en las instalaciones con cambios mínimos.
#### Niveles de Servicio
- **Propósito General**: Opción rentable para aplicaciones con requisitos estándar de E/S y latencia.
- **Crítico para Negocios**: Opción de alto rendimiento con baja latencia de E/S para cargas de trabajo críticas.
#### Características de Seguridad Avanzadas
#### Características Avanzadas de Seguridad
* **Protección contra Amenazas**: Alertas de Protección Avanzada contra Amenazas para actividades sospechosas y ataques de inyección SQL. Auditoría para rastrear y registrar eventos de base de datos para cumplimiento.
* **Control de Acceso**: Autenticación de Microsoft Entra para gestión centralizada de identidades. Seguridad a Nivel de Fila y Enmascaramiento de Datos Dinámico para control de acceso granular.
* **Protección contra Amenazas**: Protección Avanzada contra Amenazas que alerta sobre actividades sospechosas y ataques de inyección SQL. Auditoría para rastrear y registrar eventos de base de datos para cumplimiento.
* **Control de Acceso**: Autenticación de Microsoft Entra para gestión de identidad centralizada. Seguridad a Nivel de Fila y Enmascaramiento de Datos Dinámico para control de acceso granular.
* **Copias de Seguridad**: Copias de seguridad automatizadas y manuales con capacidad de restauración a un punto en el tiempo.
### Azure SQL Virtual Machines
@@ -81,16 +135,16 @@ Azure SQL Database soporta opciones de implementación flexibles para satisfacer
#### Características Clave
**Copia de Seguridad Automatizada**: Programa copias de seguridad para bases de datos SQL.
**Patching Automático**: Automatiza la instalación de actualizaciones de Windows y SQL Server durante una ventana de mantenimiento.
**Integración con Azure Key Vault**: Configura automáticamente Key Vault para máquinas virtuales de SQL Server.
**Integración con Defender for Cloud**: Ver recomendaciones de Defender para SQL en el portal.
**Copia de Seguridad Automatizada**: Programa copias de seguridad para bases de datos SQL.
**Patching Automático**: Automatiza la instalación de actualizaciones de Windows y SQL Server durante una ventana de mantenimiento.
**Integración con Azure Key Vault**: Configura automáticamente Key Vault para máquinas virtuales de SQL Server.
**Integración con Defender for Cloud**: Ver recomendaciones de Defender para SQL en el portal.
**Flexibilidad de Versión/Edición**: Cambia la versión o metadatos de edición de SQL Server sin redeplegar la máquina virtual.
#### Características de Seguridad
**Microsoft Defender for SQL**: Información y alertas de seguridad.
**Integración con Azure Key Vault**: Almacenamiento seguro de credenciales y claves de cifrado.
**Microsoft Defender para SQL**: Información y alertas de seguridad.
**Integración con Azure Key Vault**: Almacenamiento seguro de credenciales y claves de cifrado.
**Microsoft Entra (Azure AD)**: Autenticación y control de acceso.
## Enumeración
@@ -99,7 +153,7 @@ Azure SQL Database soporta opciones de implementación flexibles para satisfacer
{{#tab name="az cli"}}
```bash
# List Servers
az sql server list # --output table
az sql server list # managed identities are enumerated here too
## List Server Usages
az sql server list-usages --name <server_name> --resource-group <resource_group>
## List Server Firewalls