From 21663fc429ad7b1d94b3c7a6147f2a635ddc203f Mon Sep 17 00:00:00 2001 From: Translator Date: Sat, 8 Feb 2025 18:51:31 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE --- .../az-basic-information/README.md | 101 +++++++++++------- 1 file changed, 60 insertions(+), 41 deletions(-) diff --git a/src/pentesting-cloud/azure-security/az-basic-information/README.md b/src/pentesting-cloud/azure-security/az-basic-information/README.md index 727885a59..220d3ffe0 100644 --- a/src/pentesting-cloud/azure-security/az-basic-information/README.md +++ b/src/pentesting-cloud/azure-security/az-basic-information/README.md @@ -21,10 +21,10 @@ ### Azure pretplate -- To je još jedan **logički kontejner u kojem se mogu pokretati resursi** (VM-ovi, DB-ovi…) i za koji će se naplaćivati. +- To je još jedan **logički kontejner u kojem se mogu pokretati resursi** (VM-ovi, DB-ovi…) i za koje će se naplaćivati. - Njegov **roditelj** je uvek **grupa za upravljanje** (i može biti grupa za upravljanje korenom) jer pretplate ne mogu sadržati druge pretplate. - **Veruje samo jednoj Entra ID** direktoriji -- **Dozvole** primenjene na nivou pretplate (ili bilo kojem od njegovih roditelja) se **nasleđuju** svim resursima unutar pretplate +- **Dozvole** primenjene na nivou pretplate (ili bilo kojem od njegovih roditelja) se **nasleđuju** na sve resurse unutar pretplate ### Grupe resursa @@ -54,7 +54,7 @@ Azure je Microsoftova sveobuhvatna **platforma za cloud računarstvo, koja nudi ### Entra ID (ranije Azure Active Directory) -Entra ID je cloud-bazirana **usluga upravljanja identitetom i pristupom** dizajnirana da se bavi autentifikacijom, autorizacijom i kontrolom pristupa korisnika. Omogućava siguran pristup Microsoftovim uslugama kao što su Office 365, Azure i mnoge aplikacije trećih strana. Sa funkcijama kao što su jedinstveno prijavljivanje (SSO), višefaktorska autentifikacija (MFA) i politike uslovnog pristupa, između ostalog. +Entra ID je cloud-bazirana **usluga upravljanja identitetom i pristupom** dizajnirana da se bavi autentifikacijom, autorizacijom i kontrolom pristupa korisnika. Omogućava siguran pristup Microsoftovim uslugama kao što su Office 365, Azure i mnoge aplikacije trećih strana. Sa funkcijama kao što su jedinstveno prijavljivanje (SSO), višefaktorska autentifikacija (MFA) i politike uslovnog pristupa među ostalim. ### Entra Domain Services (ranije Azure AD DS) @@ -71,7 +71,7 @@ Entra Domain Services proširuje mogućnosti Entra ID-a nudeći **upravljane usl - Naznačite svojstva (ime, radno mesto, kontakt informacije…) - Podrazumevani tip korisnika je “**član**” - **Spoljni korisnici** -- Naznačite e-poštu za poziv i prikazano ime (može biti e-pošta koja nije Microsoft) +- Naznačite e-poštu za poziv i prikazano ime (može biti e-pošta koja nije od Microsoft-a) - Naznačite svojstva - Podrazumevani tip korisnika je “**Gost**” @@ -99,16 +99,16 @@ Možete ih proveriti na [https://learn.microsoft.com/en-us/entra/fundamentals/us - Ograničavanje pristupa Microsoft Entra administrativnom portalu: Podrazumevano **Ne** - Ovo ne ograničava API pristup portalu (samo web) - Dozvolite korisnicima da povežu radni ili školski nalog sa LinkedIn-om: Podrazumevano **Da** -- Prikazivanje zadržavanja korisnika prijavljenim: Podrazumevano **Da** +- Prikaži zadrži korisnika prijavljenim: Podrazumevano **Da** - Ograničavanje korisnika od oporavka BitLocker ključeva za njihove vlasničke uređaje: Podrazumevano Ne (proverite u podešavanjima uređaja) -- Čitanje drugih korisnika: Podrazumevano **Da** (putem Microsoft Graph) +- Čita druge korisnike: Podrazumevano **Da** (putem Microsoft Graph) - **Gosti** - **Ograničenja pristupa gostujućih korisnika** opcije: -- **Gosti imaju iste pristupe kao članovi**. +- **Gosti imaju isti pristup kao članovi**. - **Gosti imaju ograničen pristup svojstvima i članstvima objekata direktorijuma (podrazumevano)**. Ovo ograničava pristup gostiju samo na njihov profil korisnika po default-u. Pristup informacijama o drugim korisnicima i grupama više nije dozvoljen. - **Pristup gostujućih korisnika je ograničen na svojstva i članstva njihovih vlastitih objekata direktorijuma** je najrestriktivniji. - **Gosti mogu pozivati** opcije: -- **Svako u organizaciji može pozvati gostujuće korisnike uključujući goste i ne-administratore (najinkluzivnije) - Podrazumevano** +- **Svako u organizaciji može pozvati gostujuće korisnike uključujući goste i ne-admine (najinkluzivnije) - Podrazumevano** - **Korisnici članovi i korisnici dodeljeni specifičnim administrativnim ulogama mogu pozvati gostujuće korisnike uključujući goste sa članovskim dozvolama** - **Samo korisnici dodeljeni specifičnim administrativnim ulogama mogu pozvati gostujuće korisnike** - **Niko u organizaciji ne može pozvati gostujuće korisnike uključujući administratore (najrestriktivnije)** @@ -124,9 +124,9 @@ Postoje **2 tipa grupa**: - **Sigurnosne**: Ova vrsta grupe se koristi za davanje članovima pristupa aplikacijama, resursima i dodeljivanje licenci. Korisnici, uređaji, servisni principi i druge grupe mogu biti članovi. - **Microsoft 365**: Ova vrsta grupe se koristi za saradnju, dajući članovima pristup zajedničkoj pošti, kalendaru, datotekama, SharePoint sajtu, itd. Članovi grupe mogu biti samo korisnici. -- Ovo će imati **adresu e-pošte** sa domenom EntraID tenant-a. +- Ovo će imati **email adresu** sa domenom EntraID tenant-a. -Postoje **2 tipa članstava**: +Postoje **2 tipa članstva**: - **Dodeljeno**: Omogućava ručno dodavanje specifičnih članova u grupu. - **Dinamičko članstvo**: Automatski upravlja članstvom koristeći pravila, ažurirajući uključivanje grupe kada se atributi članova promene. @@ -168,7 +168,7 @@ Moguće je **direktno se prijaviti kao servisni princip** generišući mu **tajn - offline_access - održava pristup podacima kojima su korisnici dali pristup - openid - prijavite korisnike - profile - prikažite osnovni profil korisnika -- email - prikažite adresu e-pošte korisnika +- email - prikažite email adresu korisnika - **Dozvoliti korisnički pristanak za aplikacije (podrazumevano)** - Svi korisnici mogu dati pristanak za bilo koju aplikaciju da pristupi podacima organizacije. @@ -176,7 +176,7 @@ Moguće je **direktno se prijaviti kao servisni princip** generišući mu **tajn - Korisnici mogu zatražiti pristanak administratora za aplikacije za koje ne mogu dati pristanak - Ako je **Da**: Moguće je naznačiti korisnike, grupe i uloge koje mogu dati zahteve za pristanak -- Takođe konfigurišite da li će korisnici primati obaveštenja putem e-pošte i podsetnike o isteku +- Takođe konfigurišite da li će korisnici primati obaveštenja putem email-a i podsetnike o isteku ### **Upravljani identitet (metapodaci)** @@ -184,16 +184,16 @@ Upravljani identiteti u Azure Active Directory nude rešenje za **automatsko upr Postoje dva tipa upravljanih identiteta: -- **Sistemom dodeljeni**. Neke Azure usluge omogućavaju da **omogućite upravljani identitet direktno na instanci usluge**. Kada omogućite sistemom dodeljeni upravljani identitet, **servisni princip** se kreira u Entra ID tenant-u kojem veruje pretplata u kojoj se resurs nalazi. Kada se **resurs** **obriše**, Azure automatski **briše** **identitet** za vas. +- **Sistemom dodeljeni**. Neke Azure usluge omogućavaju da **omogućite upravljani identitet direktno na instanci usluge**. Kada omogućite sistemom dodeljeni upravljeni identitet, **servisni princip** se kreira u Entra ID tenant-u kojem veruje pretplata u kojoj se resurs nalazi. Kada se **resurs** **obriše**, Azure automatski **briše** **identitet** za vas. - **Korisnikom dodeljeni**. Takođe je moguće da korisnici generišu upravljane identitete. Ovi se kreiraju unutar grupe resursa unutar pretplate i servisni princip će biti kreiran u EntraID kojem veruje pretplata. Zatim, možete dodeliti upravljeni identitet jednoj ili **više instanci** Azure usluge (više resursa). Za korisnikom dodeljene upravljane identitete, **identitet se upravlja odvojeno od resursa koji ga koriste**. Upravljani identiteti **ne generišu večne kredencijale** (kao što su lozinke ili sertifikati) za pristup kao servisni princip koji je povezan sa njima. -### Preduzetničke aplikacije +### Preduzeća aplikacije To je samo **tabela u Azure-u za filtriranje servisnih principa** i proveru aplikacija koje su dodeljene. -**To nije još jedan tip "aplikacije",** ne postoji nijedan objekat u Azure-u koji je "Preduzetnička aplikacija", to je samo apstrakcija za proveru servisnih principa, registracija aplikacija i upravljanih identiteta. +**To nije još jedan tip "aplikacije",** ne postoji nijedan objekat u Azure-u koji je "Preduzeće aplikacija", to je samo apstrakcija za proveru servisnih principa, registracija aplikacija i upravljanih identiteta. ### Administrativne jedinice @@ -227,7 +227,7 @@ Primer: U zavisnosti od opsega na koji je uloga dodeljena, **uloga** se može **naslediti** na **druge resurse** unutar kontejnera opsega. Na primer, ako korisnik A ima **ulogu na pretplati**, on će imati tu **ulogu na svim grupama resursa** unutar pretplate i na **svim resursima** unutar grupe resursa. -### **Klasične uloge** +### Klasične uloge | **Vlasnik** | | Svi tipovi resursa | | ----------------------------- | ---------------------------------------------------------------------------------------- | ------------------ | @@ -239,16 +239,16 @@ U zavisnosti od opsega na koji je uloga dodeljena, **uloga** se može **nasledit [Iz dokumenata: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Azure role-based access control (Azure RBAC)](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview) ima nekoliko Azure **ugrađenih uloga** koje možete **dodeliti** **korisnicima, grupama, servisnim principima i upravljanim identitetima**. Dodeljivanje uloga je način na koji kontrolišete **pristup Azure resursima**. Ako ugrađene uloge ne zadovoljavaju specifične potrebe vaše organizacije, možete kreirati svoje [**Azure prilagođene uloge**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)**.** -**Ugrađene** uloge se primenjuju samo na **resurse** za koje su **namenjene**, na primer, proverite ova 2 primera **ugrađenih uloga** nad Compute resursima: +**Ugrađene** uloge se primenjuju samo na **resurse** za koje su **namenjene**, na primer proverite ova 2 primera **ugrađenih uloga** nad Compute resursima: -| [Disk Backup Reader](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Omogućava dozvolu za backup vault za izvršavanje backup-a diska. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 | +| [Disk Backup Reader](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Omogućava dozvolu za backup vault za izvođenje backup-a diska. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 | | ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ | | [Virtual Machine User Login](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Prikaz virtuelnih mašina u portalu i prijava kao običan korisnik. | fb879df8-f326-4884-b1cf-06f3ad86be52 | Ove uloge se **takođe mogu dodeliti nad logičkim kontejnerima** (kao što su grupe za upravljanje, pretplate i grupe resursa) i principi na koje utiču će ih imati **nad resursima unutar tih kontejnera**. -- Pronađite ovde listu sa [**svim ugrađenim ulogama Azure-a**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles). -- Pronađite ovde listu sa [**svim ugrađenim ulogama Entra ID**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference). +- Pronađite ovde listu sa [**svim Azure ugrađenim ulogama**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles). +- Pronađite ovde listu sa [**svim Entra ID ugrađenim ulogama**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference). ### Prilagođene uloge @@ -259,8 +259,10 @@ Ove uloge se **takođe mogu dodeliti nad logičkim kontejnerima** (kao što su g - Princip sa isključenom dozvolom neće moći da je koristi čak i ako se dozvola dodeljuje negde drugde - Moguće je koristiti džoker znakove - Korišćeni format je JSON -- `actions` su za kontrolu radnji nad resursom -- `dataActions` su dozvole nad podacima unutar objekta +- `actions` se odnosi na dozvole za upravljačke operacije nad resursima, kao što su kreiranje, ažuriranje ili brisanje definicija i podešavanja resursa. +- `dataActions` su dozvole za operacije podataka unutar resursa, omogućavajući vam da čitate, pišete ili brišete stvarne podatke sadržane u resursu. +- `notActions` i `notDataActions` se koriste za isključivanje specifičnih dozvola iz uloge. Međutim, **ne negiraju ih**, ako druga uloga dodeljuje te dozvole, princip će ih imati. +- `assignableScopes` je niz opsega u kojima se uloga može dodeliti (kao što su grupe za upravljanje, pretplate ili grupe resursa). Primer dozvola JSON za prilagođenu ulogu: ```json @@ -295,7 +297,7 @@ Primer dozvola JSON za prilagođenu ulogu: ### Permissions order - Da bi **principal imao pristup resursu**, potrebno je da mu bude dodeljena eksplicitna uloga (na bilo koji način) **koja mu daje tu dozvolu**. -- Eksplicitna **dodela uloge za odbijanje ima prioritet** nad ulogom koja dodeljuje dozvolu. +- Eksplicitna **dodela odbijanja ima prioritet** nad ulogom koja dodeljuje dozvolu.

https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10

@@ -308,31 +310,48 @@ Ovo povećanje može se izvršiti na kraju stranice: [https://portal.azure.com/#
-### Azure Policies +### Assignments Conditions & MFA -**Azure Policies** su pravila koja pomažu organizacijama da osiguraju da njihovi resursi ispunjavaju specifične standarde i zahteve usklađenosti. Omogućavaju vam da **sprovodite ili proveravate podešavanja na resursima u Azure-u**. Na primer, možete sprečiti kreiranje virtuelnih mašina u neovlašćenoj regiji ili osigurati da svi resursi imaju specifične oznake za praćenje. +Moguće je **uspostaviti određene uslove kada se uloga dodeljuje** principalu. Uobičajen uslov koji se dodaje je zahtev za MFA za pristup nekim dozvolama uloge: +```bash +az role assignment create \ +--assignee \ +--role \ +--scope "/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f" \ +--condition "PrincipalClaims['amr'] contains 'mfa'" \ +--condition-version 2.0 +``` +### Odbijanje Dodela -Azure Policies su **proaktivne**: mogu sprečiti kreiranje ili promenu neusklađenih resursa. Takođe su **reaktivne**, omogućavajući vam da pronađete i ispravite postojeće neusklađene resurse. +Baš kao i dodela uloga, **odbijanje dodela** se koristi za **kontrolu pristupa Azure resursima**. Međutim, **odbijanje dodela** se koristi za **izričito odbijanje pristupa** resursu, čak i ako je korisniku dodeljen pristup putem dodele uloge. **Odbijanje dodela** ima prioritet nad **dodelama uloga**, što znači da ako je korisniku dodeljen pristup putem dodele uloge, ali mu je takođe izričito odbijen pristup putem odbijanja dodele, odbijanje dodele će imati prioritet. -#### **Key Concepts** +Baš kao i dodela uloga, **odbijanje dodela** se primenjuje na određeni opseg koji označava pogođene principe i dozvole koje se odbijaju. Štaviše, u slučaju odbijanja dodela, moguće je **sprečiti da se odbijanje nasledi** od resursa dece. -1. **Policy Definition**: Pravilo, napisano u JSON-u, koje specificira šta je dozvoljeno ili zahtevano. -2. **Policy Assignment**: Primena politike na specifičan opseg (npr. pretplata, grupa resursa). -3. **Initiatives**: Skup politika grupisanih zajedno za širu primenu. -4. **Effect**: Specificira šta se dešava kada se politika aktivira (npr. "Deny," "Audit," ili "Append"). +### Azure Politike + +**Azure Politike** su pravila koja pomažu organizacijama da osiguraju da njihovi resursi ispunjavaju određene standarde i zahteve usklađenosti. Omogućavaju vam da **sprovodite ili proveravate postavke na resursima u Azure-u**. Na primer, možete sprečiti kreiranje virtuelnih mašina u neovlašćenoj regiji ili osigurati da svi resursi imaju određene oznake za praćenje. + +Azure Politike su **proaktivne**: mogu sprečiti kreiranje ili promenu neusklađenih resursa. Takođe su **reaktivne**, omogućavajući vam da pronađete i ispravite postojeće neusklađene resurse. + +#### **Ključni Koncepti** + +1. **Definicija Politike**: Pravilo, napisano u JSON-u, koje specificira šta je dozvoljeno ili zahtevano. +2. **Dodela Politike**: Primena politike na određeni opseg (npr. pretplata, grupa resursa). +3. **Inicijative**: Skup politika grupisanih zajedno za širu primenu. +4. **Efekat**: Specificira šta se dešava kada se politika aktivira (npr. "Odbij", "Proveri" ili "Dodaj"). **Neki primeri:** -1. **Osiguranje usklađenosti sa specifičnim Azure regijama**: Ova politika osigurava da su svi resursi raspoređeni u specifičnim Azure regijama. Na primer, kompanija može želeti da osigura da su svi njeni podaci smešteni u Evropi radi usklađenosti sa GDPR-om. -2. **Sprovođenje standarda imenovanja**: Politike mogu sprovoditi konvencije imenovanja za Azure resurse. Ovo pomaže u organizaciji i lakom identifikovanju resursa na osnovu njihovih imena, što je korisno u velikim okruženjima. -3. **Ograničavanje određenih tipova resursa**: Ova politika može ograničiti kreiranje određenih tipova resursa. Na primer, politika može biti postavljena da spreči kreiranje skupih tipova resursa, poput određenih veličina VM-a, kako bi se kontrolisali troškovi. -4. **Sprovođenje politika označavanja**: Oznake su parovi ključ-vrednost povezani sa Azure resursima koji se koriste za upravljanje resursima. Politike mogu sprovoditi da određene oznake moraju biti prisutne, ili imati specifične vrednosti, za sve resurse. Ovo je korisno za praćenje troškova, vlasništvo ili kategorizaciju resursa. -5. **Ograničavanje javnog pristupa resursima**: Politike mogu sprovoditi da određeni resursi, poput skladišnih naloga ili baza podataka, nemaju javne krajnje tačke, osiguravajući da su dostupni samo unutar mreže organizacije. -6. **Automatsko primenjivanje bezbednosnih podešavanja**: Politike se mogu koristiti za automatsko primenjivanje bezbednosnih podešavanja na resurse, kao što je primena specifične grupe bezbednosti mreže na sve VM-ove ili osiguranje da svi skladišni nalozi koriste enkripciju. +1. **Osiguranje Usklađenosti sa Određenim Azure Regijama**: Ova politika osigurava da se svi resursi postavljaju u određene Azure regije. Na primer, kompanija može želeti da osigura da su svi njeni podaci pohranjeni u Evropi radi usklađenosti sa GDPR-om. +2. **Sprovođenje Standarda Imena**: Politike mogu sprovoditi konvencije imenovanja za Azure resurse. Ovo pomaže u organizovanju i lakom identifikovanju resursa na osnovu njihovih imena, što je korisno u velikim okruženjima. +3. **Ograničavanje Određenih Tipova Resursa**: Ova politika može ograničiti kreiranje određenih tipova resursa. Na primer, politika može biti postavljena da spreči kreiranje skupih tipova resursa, kao što su određene veličine VM-a, kako bi se kontrolisali troškovi. +4. **Sprovođenje Politika Oznaka**: Oznake su parovi ključ-vrednost povezani sa Azure resursima koji se koriste za upravljanje resursima. Politike mogu sprovoditi da određene oznake moraju biti prisutne, ili imati specifične vrednosti, za sve resurse. Ovo je korisno za praćenje troškova, vlasništvo ili kategorizaciju resursa. +5. **Ograničavanje Javnog Pristupa Resursima**: Politike mogu sprovoditi da određeni resursi, poput skladišnih naloga ili baza podataka, nemaju javne krajnje tačke, osiguravajući da su dostupni samo unutar mreže organizacije. +6. **Automatsko Primena Bezbednosnih Postavki**: Politike se mogu koristiti za automatsko primenu bezbednosnih postavki na resurse, kao što je primena specifične grupe bezbednosti mreže na sve VM-ove ili osiguranje da svi skladišni nalozi koriste enkripciju. -Napomena da se Azure Policies mogu prikačiti na bilo koji nivo Azure hijerarhije, ali se **najčešće koriste u root management group** ili u drugim upravljačkim grupama. +Napomena da se Azure Politike mogu prikačiti na bilo koji nivo Azure hijerarhije, ali se **najčešće koriste u grupi za upravljanje korenom** ili u drugim grupama za upravljanje. -Azure policy json example: +Azure politika json primer: ```json { "policyRule": { @@ -360,11 +379,11 @@ Ova hijerarhijska struktura omogućava efikasno i skalabilno upravljanje dozvola ### Azure RBAC vs ABAC -**RBAC** (kontrola pristupa zasnovana na rolama) je ono što smo već videli u prethodnim sekcijama: **Dodeljivanje uloge principalu kako bi mu se omogućio pristup** resursu.\ +**RBAC** (kontrola pristupa zasnovana na ulozi) je ono što smo već videli u prethodnim sekcijama: **Dodeljivanje uloge principalu kako bi mu se omogućio pristup** resursu.\ Međutim, u nekim slučajevima možda ćete želeti da obezbedite **fino podešeno upravljanje pristupom** ili **pojednostavite** upravljanje **stotinama** dodela uloga. Azure **ABAC** (kontrola pristupa zasnovana na atributima) se oslanja na Azure RBAC dodavanjem **uslova dodele uloga zasnovanih na atributima** u kontekstu specifičnih akcija. _Uslov dodele uloge_ je **dodatna provera koju možete opcionalno dodati svojoj dodeli uloge** kako biste obezbedili fino podešenu kontrolu pristupa. Uslov filtrira dozvole dodeljene kao deo definicije uloge i dodele uloge. Na primer, možete **dodati uslov koji zahteva da objekat ima specifičnu oznaku da bi se pročitao objekat**.\ -Ne možete eksplicitno **odbiti** **pristup** specifičnim resursima **korišćenjem uslova**. +Ne možete eksplicitno **odbiti** **pristup** specifičnim resursima **koristeći uslove**. ## Reference