gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-14 05:46:25 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 18:54:26 +00:00
parent 7770a50092
commit 192d97f7b7
244 changed files with 8835 additions and 11676 deletions
Download Patch File Download Diff File Expand all files Collapse all files

26
src/pentesting-cloud/ibm-cloud-pentesting/README.md
View File

@@ -4,20 +4,20 @@
{{#include ../../banners/hacktricks-training.md}}
### What is IBM cloud? (By chatGPT)
### ¿Qué es IBM Cloud? (Por chatGPT)
IBM Cloud, a cloud computing platform by IBM, offers a variety of cloud services such as infrastructure as a service (IaaS), platform as a service (PaaS), and software as a service (SaaS). It enables clients to deploy and manage applications, handle data storage and analysis, and operate virtual machines in the cloud.
IBM Cloud, una plataforma de computación en la nube de IBM, ofrece una variedad de servicios en la nube como infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). Permite a los clientes implementar y gestionar aplicaciones, manejar almacenamiento y análisis de datos, y operar máquinas virtuales en la nube.
When compared with Amazon Web Services (AWS), IBM Cloud showcases certain distinct features and approaches:
Cuando se compara con Amazon Web Services (AWS), IBM Cloud muestra ciertas características y enfoques distintos:
1. **Focus**: IBM Cloud primarily caters to enterprise clients, providing a suite of services designed for their specific needs, including enhanced security and compliance measures. In contrast, AWS presents a broad spectrum of cloud services for a diverse clientele.
2. **Hybrid Cloud Solutions**: Both IBM Cloud and AWS offer hybrid cloud services, allowing integration of on-premises infrastructure with their cloud services. However, the methodology and services provided by each differ.
3. **Artificial Intelligence and Machine Learning (AI & ML)**: IBM Cloud is particularly noted for its extensive and integrated services in AI and ML. AWS also offers AI and ML services, but IBM's solutions are considered more comprehensive and deeply embedded within its cloud platform.
4. **Industry-Specific Solutions**: IBM Cloud is recognized for its focus on particular industries like financial services, healthcare, and government, offering bespoke solutions. AWS caters to a wide array of industries but might not have the same depth in industry-specific solutions as IBM Cloud.
1. **Enfoque**: IBM Cloud se dirige principalmente a clientes empresariales, proporcionando un conjunto de servicios diseñados para sus necesidades específicas, incluyendo medidas de seguridad y cumplimiento mejoradas. En contraste, AWS presenta un amplio espectro de servicios en la nube para una clientela diversa.
2. **Soluciones de Nube Híbrida**: Tanto IBM Cloud como AWS ofrecen servicios de nube híbrida, permitiendo la integración de infraestructura local con sus servicios en la nube. Sin embargo, la metodología y los servicios proporcionados por cada uno difieren.
3. **Inteligencia Artificial y Aprendizaje Automático (IA & AA)**: IBM Cloud es particularmente conocido por sus servicios extensos e integrados en IA y AA. AWS también ofrece servicios de IA y AA, pero las soluciones de IBM se consideran más completas y profundamente integradas dentro de su plataforma en la nube.
4. **Soluciones Específicas de la Industria**: IBM Cloud es reconocido por su enfoque en industrias particulares como servicios financieros, atención médica y gobierno, ofreciendo soluciones a medida. AWS atiende a una amplia gama de industrias, pero puede que no tenga la misma profundidad en soluciones específicas de la industria que IBM Cloud.
#### Basic Information
#### Información Básica
For some basic information about IAM and hierarchi check:
Para obtener información básica sobre IAM y jerarquía, consulta:
{{#ref}}
ibm-basic-information.md
@@ -25,18 +25,14 @@ ibm-basic-information.md
### SSRF
Learn how you can access the medata endpoint of IBM in the following page:
Aprende cómo puedes acceder al endpoint de medata de IBM en la siguiente página:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#2af0
{{#endref}}
## References
## Referencias
- [https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/#:\~:text=IBM%20Cloud%20is%3A,%2C%20networking%2C%20and%20database%20management.](https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/)
{{#include ../../banners/hacktricks-training.md}}

68
src/pentesting-cloud/ibm-cloud-pentesting/ibm-basic-information.md
View File

@@ -1,14 +1,14 @@
# IBM - Basic Information
# IBM - Información Básica
{{#include ../../banners/hacktricks-training.md}}
## Hierarchy
## Jerarquía
IBM Cloud resource model ([from the docs](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
Modelo de recursos de IBM Cloud ([de la documentación](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
<figure><img src="../../images/image (225).png" alt=""><figcaption></figcaption></figure>
Recommended way to divide projects:
Forma recomendada de dividir proyectos:
<figure><img src="../../images/image (239).png" alt=""><figcaption></figcaption></figure>
@@ -16,61 +16,57 @@ Recommended way to divide projects:
<figure><img src="../../images/image (266).png" alt=""><figcaption></figcaption></figure>
### Users
### Usuarios
Users have an **email** assigned to them. They can access the **IBM console** and also **generate API keys** to use their permissions programatically.\
**Permissions** can be granted **directly** to the user with an access policy or via an **access group**.
Los usuarios tienen un **correo electrónico** asignado. Pueden acceder a la **consola de IBM** y también **generar claves API** para usar sus permisos programáticamente.\
**Los permisos** pueden ser otorgados **directamente** al usuario con una política de acceso o a través de un **grupo de acceso**.
### Trusted Profiles
### Perfiles de Confianza
These are **like the Roles of AWS** or service accounts from GCP. It's possible to **assign them to VM** instances and access their **credentials via metadata**, or even **allow Identity Providers** to use them in order to authenticate users from external platforms.\
**Permissions** can be granted **directly** to the trusted profile with an access policy or via an **access group**.
Estos son **como los Roles de AWS** o cuentas de servicio de GCP. Es posible **asignarlos a instancias de VM** y acceder a sus **credenciales a través de metadatos**, o incluso **permitir a los Proveedores de Identidad** utilizarlos para autenticar usuarios de plataformas externas.\
**Los permisos** pueden ser otorgados **directamente** al perfil de confianza con una política de acceso o a través de un **grupo de acceso**.
### Service IDs
### IDs de Servicio
This is another option to allow applications to **interact with IBM cloud** and perform actions. In this case, instead of assign it to a VM or Identity Provider an **API Key can be used** to interact with IBM in a **programatic** way.\
**Permissions** can be granted **directly** to the service id with an access policy or via an **access group**.
Esta es otra opción para permitir que las aplicaciones **interactúen con IBM Cloud** y realicen acciones. En este caso, en lugar de asignarlo a una VM o Proveedor de Identidad, se puede utilizar una **clave API** para interactuar con IBM de manera **programática**.\
**Los permisos** pueden ser otorgados **directamente** al ID de servicio con una política de acceso o a través de un **grupo de acceso**.
### Identity Providers
### Proveedores de Identidad
External **Identity Providers** can be configured to **access IBM cloud** resources from external platforms by accessing **trusting Trusted Profiles**.
Los **Proveedores de Identidad** externos pueden ser configurados para **acceder a los recursos de IBM Cloud** desde plataformas externas accediendo a **perfiles de confianza**.
### Access Groups
### Grupos de Acceso
In the same access group **several users, trusted profiles & service ids** can be present. Each principal in the access group will **inherit the access group permissions**.\
**Permissions** can be granted **directly** to the trusted profile with an access policy.\
An **access group cannot be a member** of another access group.
En el mismo grupo de acceso **pueden estar presentes varios usuarios, perfiles de confianza e IDs de servicio**. Cada principal en el grupo de acceso **heredará los permisos del grupo de acceso**.\
**Los permisos** pueden ser otorgados **directamente** al perfil de confianza con una política de acceso.\
Un **grupo de acceso no puede ser miembro** de otro grupo de acceso.
### Roles
A role is a **set of granular permissions**. **A role** is dedicated to **a service**, meaning that it will only contain permissions of that service.\
**Each service** of IAM will already have some **possible roles** to choose from to **grant a principal access to that service**: **Viewer, Operator, Editor, Administrator** (although there could be more).
Un rol es un **conjunto de permisos granulares**. **Un rol** está dedicado a **un servicio**, lo que significa que solo contendrá permisos de ese servicio.\
**Cada servicio** de IAM ya tendrá algunos **roles posibles** para elegir y **otorgar acceso a un principal a ese servicio**: **Viewer, Operator, Editor, Administrator** (aunque podría haber más).
Role permissions are given via access policies to principals, so if you need to give for example a **combination of permissions** of a service of **Viewer** and **Administrator**, instead of giving those 2 (and overprivilege a principal), you can **create a new role** for the service and give that new role the **granular permissions you need**.
Los permisos de rol se otorgan a través de políticas de acceso a los principales, por lo que si necesitas otorgar, por ejemplo, una **combinación de permisos** de un servicio de **Viewer** y **Administrator**, en lugar de otorgar esos 2 (y sobreprivilegiar a un principal), puedes **crear un nuevo rol** para el servicio y otorgar a ese nuevo rol los **permisos granulares que necesitas**.
### Access Policies
### Políticas de Acceso
Access policies allows to **attach 1 or more roles of 1 service to 1 principal**.\
When creating the policy you need to choose:
Las políticas de acceso permiten **adjuntar 1 o más roles de 1 servicio a 1 principal**.\
Al crear la política, necesitas elegir:
- The **service** where permissions will be granted
- **Affected resources**
- Service & Platform **access** that will be granted
- These indicate the **permissions** that will be given to the principal to perform actions. If any **custom role** is created in the service you will also be able to choose it here.
- **Conditions** (if any) to grant the permissions
- El **servicio** donde se otorgarán los permisos
- **Recursos afectados**
- **Acceso** al servicio y plataforma que se otorgará
- Estos indican los **permisos** que se otorgarán al principal para realizar acciones. Si se crea algún **rol personalizado** en el servicio, también podrás elegirlo aquí.
- **Condiciones** (si las hay) para otorgar los permisos
> [!NOTE]
> To grant access to several services to a user, you can generate several access policies
> Para otorgar acceso a varios servicios a un usuario, puedes generar varias políticas de acceso
<figure><img src="../../images/image (248).png" alt=""><figcaption></figcaption></figure>
## References
## Referencias
- [https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises](https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises)
- [https://cloud.ibm.com/docs/account?topic=account-iamoverview](https://cloud.ibm.com/docs/account?topic=account-iamoverview)
{{#include ../../banners/hacktricks-training.md}}

32
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-crypto-services.md
View File

@@ -2,32 +2,28 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Información Básica
IBM Hyper Protect Crypto Services is a cloud service that provides **highly secure and tamper-resistant cryptographic key management and encryption capabilities**. It is designed to help organizations protect their sensitive data and comply with security and privacy regulations such as GDPR, HIPAA, and PCI DSS.
IBM Hyper Protect Crypto Services es un servicio en la nube que proporciona **gestión de claves criptográficas y capacidades de cifrado altamente seguras y resistentes a manipulaciones**. Está diseñado para ayudar a las organizaciones a proteger sus datos sensibles y cumplir con regulaciones de seguridad y privacidad como GDPR, HIPAA y PCI DSS.
Hyper Protect Crypto Services uses **FIPS 140-2 Level 4 certified hardware security modules** (HSMs) to store and protect cryptographic keys. These HSMs are designed to r**esist physical tampering** and provide high levels of **security against cyber attacks**.
Hyper Protect Crypto Services utiliza **módulos de seguridad de hardware (HSM) certificados por FIPS 140-2 Nivel 4** para almacenar y proteger claves criptográficas. Estos HSM están diseñados para **resistir manipulaciones físicas** y proporcionar altos niveles de **seguridad contra ataques cibernéticos**.
The service provides a range of cryptographic services, including key generation, key management, digital signature, encryption, and decryption. It supports industry-standard cryptographic algorithms such as AES, RSA, and ECC, and can be integrated with a variety of applications and services.
El servicio ofrece una variedad de servicios criptográficos, incluyendo generación de claves, gestión de claves, firma digital, cifrado y descifrado. Soporta algoritmos criptográficos estándar de la industria como AES, RSA y ECC, y puede integrarse con una variedad de aplicaciones y servicios.
### What is a Hardware Security Module
### ¿Qué es un Módulo de Seguridad de Hardware?
A hardware security module (HSM) is a dedicated cryptographic device that is used to generate, store, and manage cryptographic keys and protect sensitive data. It is designed to provide a high level of security by physically and electronically isolating the cryptographic functions from the rest of the system.
Un módulo de seguridad de hardware (HSM) es un dispositivo criptográfico dedicado que se utiliza para generar, almacenar y gestionar claves criptográficas y proteger datos sensibles. Está diseñado para proporcionar un alto nivel de seguridad al aislar física y electrónicamente las funciones criptográficas del resto del sistema.
The way an HSM works can vary depending on the specific model and manufacturer, but generally, the following steps occur:
La forma en que un HSM funciona puede variar dependiendo del modelo y fabricante específicos, pero generalmente, ocurren los siguientes pasos:
1. **Key generation**: The HSM generates a random cryptographic key using a secure random number generator.
2. **Key storage**: The key is **stored securely within the HSM, where it can only be accessed by authorized users or processes**.
3. **Key management**: The HSM provides a range of key management functions, including key rotation, backup, and revocation.
4. **Cryptographic operations**: The HSM performs a range of cryptographic operations, including encryption, decryption, digital signature, and key exchange. These operations are **performed within the secure environment of the HSM**, which protects against unauthorized access and tampering.
5. **Audit logging**: The HSM logs all cryptographic operations and access attempts, which can be used for compliance and security auditing purposes.
1. **Generación de claves**: El HSM genera una clave criptográfica aleatoria utilizando un generador de números aleatorios seguro.
2. **Almacenamiento de claves**: La clave es **almacenada de forma segura dentro del HSM, donde solo puede ser accedida por usuarios o procesos autorizados**.
3. **Gestión de claves**: El HSM proporciona una variedad de funciones de gestión de claves, incluyendo rotación de claves, respaldo y revocación.
4. **Operaciones criptográficas**: El HSM realiza una variedad de operaciones criptográficas, incluyendo cifrado, descifrado, firma digital e intercambio de claves. Estas operaciones se **realizan dentro del entorno seguro del HSM**, lo que protege contra accesos no autorizados y manipulaciones.
5. **Registro de auditoría**: El HSM registra todas las operaciones criptográficas y los intentos de acceso, que pueden ser utilizados para fines de auditoría de cumplimiento y seguridad.
HSMs can be used for a wide range of applications, including secure online transactions, digital certificates, secure communications, and data encryption. They are often used in industries that require a high level of security, such as finance, healthcare, and government.
Los HSM pueden ser utilizados para una amplia gama de aplicaciones, incluyendo transacciones en línea seguras, certificados digitales, comunicaciones seguras y cifrado de datos. A menudo se utilizan en industrias que requieren un alto nivel de seguridad, como finanzas, salud y gobierno.
Overall, the high level of security provided by HSMs makes it **very difficult to extract raw keys from them, and attempting to do so is often considered a breach of security**. However, there may be **certain scenarios** where a **raw key could be extracted** by authorized personnel for specific purposes, such as in the case of a key recovery procedure.
En general, el alto nivel de seguridad proporcionado por los HSM hace que sea **muy difícil extraer claves en bruto de ellos, y intentar hacerlo a menudo se considera una violación de la seguridad**. Sin embargo, puede haber **ciertos escenarios** en los que una **clave en bruto podría ser extraída** por personal autorizado para propósitos específicos, como en el caso de un procedimiento de recuperación de claves.
{{#include ../../banners/hacktricks-training.md}}

42
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-virtual-server.md
View File

@@ -2,45 +2,41 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Información Básica
Hyper Protect Virtual Server is a **virtual server** offering from IBM that is designed to provide a **high level of security and compliance** for sensitive workloads. It runs on **IBM Z and LinuxONE hardware**, which are designed for high levels of security and scalability.
Hyper Protect Virtual Server es un **servidor virtual** ofrecido por IBM que está diseñado para proporcionar un **alto nivel de seguridad y cumplimiento** para cargas de trabajo sensibles. Se ejecuta en **hardware IBM Z y LinuxONE**, que están diseñados para altos niveles de seguridad y escalabilidad.
Hyper Protect Virtual Server uses **advanced security features** such as secure boot, encrypted memory, and tamper-proof virtualization to protect sensitive data and applications. It also provides a **secure execution environment that isolates each workload from other workloads** running on the same system.
Hyper Protect Virtual Server utiliza **características de seguridad avanzadas** como arranque seguro, memoria encriptada y virtualización a prueba de manipulaciones para proteger datos y aplicaciones sensibles. También proporciona un **entorno de ejecución seguro que aísla cada carga de trabajo de otras cargas de trabajo** que se ejecutan en el mismo sistema.
This virtual server offering is designed for workloads that require the highest levels of security and compliance, such as financial services, healthcare, and government. It allows organizations to run their sensitive workloads in a virtual environment while still meeting strict security and compliance requirements.
Esta oferta de servidor virtual está diseñada para cargas de trabajo que requieren los más altos niveles de seguridad y cumplimiento, como servicios financieros, atención médica y gobierno. Permite a las organizaciones ejecutar sus cargas de trabajo sensibles en un entorno virtual mientras cumplen con estrictos requisitos de seguridad y cumplimiento.
### Metadata & VPC
### Metadatos y VPC
When you run a server like this one from the IBM service called "Hyper Protect Virtual Server" it **won't** allow you to configure **access to metadata,** link any **trusted profile**, use **user data**, or even a **VPC** to place the server in.
Cuando ejecutas un servidor como este desde el servicio de IBM llamado "Hyper Protect Virtual Server", **no** te permitirá configurar **acceso a metadatos**, vincular ningún **perfil de confianza**, usar **datos de usuario**, o incluso un **VPC** para colocar el servidor.
However, it's possible to **run a VM in a IBM Z linuxONE hardware** from the service "**Virtual server for VPC**" which will allow you to **set those configs** (metadata, trusted profiles, VPC...).
Sin embargo, es posible **ejecutar una VM en un hardware IBM Z linuxONE** desde el servicio "**Servidor virtual para VPC**", lo que te permitirá **configurar esos ajustes** (metadatos, perfiles de confianza, VPC...).
### IBM Z and LinuxONE
### IBM Z y LinuxONE
If you don't understand this terms chatGPT can help you understanding them.
Si no entiendes estos términos, chatGPT puede ayudarte a comprenderlos.
**IBM Z is a family of mainframe computers** developed by IBM. These systems are designed for **high-performance, high-availability, and high-security** enterprise computing. IBM Z is known for its ability to handle large-scale transactions and data processing workloads.
**IBM Z es una familia de computadoras mainframe** desarrolladas por IBM. Estos sistemas están diseñados para **computación empresarial de alto rendimiento, alta disponibilidad y alta seguridad**. IBM Z es conocido por su capacidad para manejar transacciones a gran escala y cargas de trabajo de procesamiento de datos.
**LinuxONE is a line of IBM Z** mainframes that are optimized for **running Linux** workloads. LinuxONE systems support a wide range of open-source software, tools, and applications. They provide a highly secure and scalable platform for running mission-critical workloads such as databases, analytics, and machine learning.
**LinuxONE es una línea de mainframes IBM Z** que están optimizados para **cargas de trabajo de Linux**. Los sistemas LinuxONE admiten una amplia gama de software, herramientas y aplicaciones de código abierto. Proporcionan una plataforma altamente segura y escalable para ejecutar cargas de trabajo críticas como bases de datos, análisis y aprendizaje automático.
**LinuxONE** is built on the **same hardware** platform as **IBM Z**, but it is **optimized** for **Linux** workloads. LinuxONE systems support multiple virtual servers, each of which can run its own instance of Linux. These virtual servers are isolated from each other to ensure maximum security and reliability.
**LinuxONE** está construido sobre la **misma plataforma de hardware** que **IBM Z**, pero está **optimizado** para cargas de trabajo de **Linux**. Los sistemas LinuxONE admiten múltiples servidores virtuales, cada uno de los cuales puede ejecutar su propia instancia de Linux. Estos servidores virtuales están aislados entre sí para garantizar la máxima seguridad y confiabilidad.
### LinuxONE vs x64
LinuxONE is a family of mainframe computers developed by IBM that are optimized for running Linux workloads. These systems are designed for high levels of security, reliability, scalability, and performance.
LinuxONE es una familia de computadoras mainframe desarrolladas por IBM que están optimizadas para ejecutar cargas de trabajo de Linux. Estos sistemas están diseñados para altos niveles de seguridad, confiabilidad, escalabilidad y rendimiento.
Compared to x64 architecture, which is the most common architecture used in servers and personal computers, LinuxONE has some unique advantages. Some of the key differences are:
En comparación con la arquitectura x64, que es la arquitectura más común utilizada en servidores y computadoras personales, LinuxONE tiene algunas ventajas únicas. Algunas de las diferencias clave son:
1. **Scalability**: LinuxONE can support massive amounts of processing power and memory, which makes it ideal for large-scale workloads.
2. **Security**: LinuxONE has built-in security features that are designed to protect against cyber threats and data breaches. These features include hardware encryption, secure boot, and tamper-proof virtualization.
3. **Reliability**: LinuxONE has built-in redundancy and failover capabilities that help ensure high availability and minimize downtime.
4. **Performance**: LinuxONE can deliver high levels of performance for workloads that require large amounts of processing power, such as big data analytics, machine learning, and AI.
1. **Escalabilidad**: LinuxONE puede soportar enormes cantidades de potencia de procesamiento y memoria, lo que lo hace ideal para cargas de trabajo a gran escala.
2. **Seguridad**: LinuxONE tiene características de seguridad integradas que están diseñadas para proteger contra amenazas cibernéticas y filtraciones de datos. Estas características incluyen cifrado de hardware, arranque seguro y virtualización a prueba de manipulaciones.
3. **Confiabilidad**: LinuxONE tiene redundancia y capacidades de conmutación por error integradas que ayudan a garantizar alta disponibilidad y minimizar el tiempo de inactividad.
4. **Rendimiento**: LinuxONE puede ofrecer altos niveles de rendimiento para cargas de trabajo que requieren grandes cantidades de potencia de procesamiento, como análisis de grandes datos, aprendizaje automático e IA.
Overall, LinuxONE is a powerful and secure platform that is well-suited for running large-scale, mission-critical workloads that require high levels of performance and reliability. While x64 architecture has its own advantages, it may not be able to provide the same level of scalability, security, and reliability as LinuxONE for certain workloads.\\
En general, LinuxONE es una plataforma poderosa y segura que es adecuada para ejecutar cargas de trabajo críticas a gran escala que requieren altos niveles de rendimiento y confiabilidad. Si bien la arquitectura x64 tiene sus propias ventajas, puede que no pueda proporcionar el mismo nivel de escalabilidad, seguridad y confiabilidad que LinuxONE para ciertas cargas de trabajo.\\
{{#include ../../banners/hacktricks-training.md}}