mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2025-12-27 13:13:06 -08:00
Translated ['src/pentesting-cloud/azure-security/az-services/az-keyvault
This commit is contained in:
Translator
@@ -4,11 +4,11 @@
|
||||
|
||||
## Basiese Inligting
|
||||
|
||||
**Azure Key Vault** is 'n wolkdienste wat deur Microsoft Azure verskaf word vir die veilige stoor en bestuur van sensitiewe inligting soos **geheime, sleutels, sertifikate, en wagwoorde**. Dit dien as 'n gesentraliseerde berging, wat veilige toegang en fynbeheer bied deur middel van Azure Active Directory (Azure AD). Vanuit 'n sekuriteits perspektief bied Key Vault **hardeware sekuriteitsmodule (HSM) beskerming** vir kriptografiese sleutels, verseker dat geheime beide in rus en in oordrag geënkripteer is, en bied robuuste toegang bestuur deur middel van **rolgebaseerde toegangsbeheer (RBAC)** en beleide. Dit beskik ook oor **auditing-logboek**, integrasie met Azure Monitor vir die opsporing van toegang, en outomatiese sleutelrotasie om risiko van langdurige sleutelblootstelling te verminder.
|
||||
**Azure Key Vault** is 'n wolkdienste wat deur Microsoft Azure verskaf word om sensitiewe inligting soos **geheime, sleutels, sertifikate en wagwoorde** veilig te stoor en te bestuur. Dit dien as 'n gesentraliseerde berging, wat veilige toegang en fynbeheer bied deur middel van Azure Active Directory (Azure AD). Vanuit 'n sekuriteits perspektief bied Key Vault **hardeware sekuriteitsmodule (HSM) beskerming** vir kriptografiese sleutels, verseker dat geheime beide in rus en in oordrag geënkripteer is, en bied robuuste toegang bestuur deur middel van **rolgebaseerde toegangsbeheer (RBAC)** en beleide. Dit beskik ook oor **auditskryf**, integrasie met Azure Monitor vir die opsporing van toegang, en outomatiese sleutelrotasie om risiko van langdurige sleutelblootstelling te verminder.
|
||||
|
||||
Sien [Azure Key Vault REST API oorsig](https://learn.microsoft.com/en-us/azure/key-vault/general/about-keys-secrets-certificates) vir volledige besonderhede.
|
||||
|
||||
Volgens die [**docs**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts), ondersteun Vaults die stoor van sagteware en HSM-ondersteunde sleutels, geheime, en sertifikate. Gemanagte HSM-poele ondersteun slegs HSM-ondersteunde sleutels.
|
||||
Volgens die [**dokumentasie**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts), ondersteun Vaults die stoor van sagteware en HSM-ondersteunde sleutels, geheime, en sertifikate. Gemanagte HSM-poele ondersteun slegs HSM-ondersteunde sleutels.
|
||||
|
||||
Die **URL-formaat** vir **vaults** is `https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}` en vir gemanagte HSM-poele is dit: `https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}`
|
||||
|
||||
@@ -17,7 +17,7 @@ Waar:
|
||||
- `vault-name` is die wêreldwyd **unieke** naam van die sleutelkluis
|
||||
- `object-type` kan "sleutels", "geheime" of "sertifikate" wees
|
||||
- `object-name` is die **unieke** naam van die objek binne die sleutelkluis
|
||||
- `object-version` is stelsels gegenereer en opsioneel gebruik om 'n **unieke weergawe van 'n objek** aan te dui.
|
||||
- `object-version` is stelsels gegenereer en opsioneel gebruik om 'n **unieke weergawe van 'n objek** aan te spreek.
|
||||
|
||||
Om toegang te verkry tot die geheime wat in die kluis gestoor is, is dit moontlik om tussen 2 toestemmingsmodelle te kies wanneer die kluis geskep word:
|
||||
|
||||
@@ -34,7 +34,7 @@ Toegang tot 'n Key Vault hulpbron word deur twee vlakke beheer:
|
||||
- Die **datavlak**, waarvan die teiken **`<vault-name>.vault.azure.com`** is.
|
||||
- Dit word gebruik om die **data** (sleutels, geheime en sertifikate) **in die sleutelkluis** te bestuur en toegang te verkry. Dit ondersteun **sleutelkluis toegang beleide** of Azure **RBAC**.
|
||||
|
||||
'n Rol soos **Bydraer** wat toestemming het in die bestuursvlak om toegang beleide te bestuur, kan toegang tot die geheime verkry deur die toegang beleide te wysig.
|
||||
'n Rol soos **Bydraer** wat toestemmings in die bestuursvlak het om toegang beleide te bestuur, kan toegang tot die geheime verkry deur die toegang beleide te wysig.
|
||||
|
||||
### Key Vault RBAC Gebou-in Rolle <a href="#rbac-built-in-roles" id="rbac-built-in-roles"></a>
|
||||
|
||||
@@ -42,7 +42,7 @@ Toegang tot 'n Key Vault hulpbron word deur twee vlakke beheer:
|
||||
|
||||
### Netwerktoegang
|
||||
|
||||
In Azure Key Vault kan **vuurmuur** reëls opgestel word om **data vlak operasies slegs toe te laat vanaf gespesifiseerde virtuele netwerke of IPv4 adresreekse**. Hierdie beperking beïnvloed ook toegang deur die Azure administrasiepaneel; gebruikers sal nie in staat wees om sleutels, geheime, of sertifikate in 'n sleutelkluis te lys as hul aanmeld IP-adres nie binne die gemagtigde reeks is nie.
|
||||
In Azure Key Vault kan **vuurmuur** reëls opgestel word om **data vlak operasies slegs vanaf gespesifiseerde virtuele netwerke of IPv4 adresreekse toe te laat**. Hierdie beperking beïnvloed ook toegang deur die Azure administrasieportaal; gebruikers sal nie in staat wees om sleutels, geheime of sertifikate in 'n sleutelkluis te lys as hul aanmeld IP-adres nie binne die gemagtigde reeks is nie.
|
||||
|
||||
Vir die analise en bestuur van hierdie instellings, kan jy die **Azure CLI** gebruik:
|
||||
```bash
|
||||
@@ -50,13 +50,13 @@ az keyvault show --name name-vault --query networkAcls
|
||||
```
|
||||
Die vorige opdrag sal die f**irewall instellings van `name-vault`** vertoon, insluitend geaktiveerde IP-reekse en beleide vir geweier verkeer.
|
||||
|
||||
Boonop is dit moontlik om 'n **private eindpunt** te skep om 'n private verbinding met 'n vault toe te laat.
|
||||
Boonop is dit moontlik om 'n **private eindpunt** te skep om 'n private verbinding met 'n kluis toe te laat.
|
||||
|
||||
### Verwyderingsbeskerming
|
||||
### Verwydering Beskerming
|
||||
|
||||
Wanneer 'n sleutel vault geskep word, is die minimum aantal dae wat toegelaat word vir verwydering 7. Dit beteken dat wanneer jy probeer om daardie sleutel vault te verwyder, dit **ten minste 7 dae sal neem om verwyder te word**.
|
||||
Wanneer 'n sleutelkluis geskep word, is die minimum aantal dae wat toegelaat word vir verwydering 7. Dit beteken dat wanneer jy probeer om daardie sleutelkluis te verwyder, dit **ten minste 7 dae sal neem om verwyder te word**.
|
||||
|
||||
Dit is egter moontlik om 'n vault te skep met **verwyderingsbeskerming gedeaktiveer**, wat toelaat dat sleutel vault en voorwerpe gedurende die retensieperiode verwyder word. Alhoewel, sodra hierdie beskerming geaktiveer is vir 'n vault, kan dit nie gedeaktiveer word nie.
|
||||
Dit is egter moontlik om 'n kluis te skep met **verwydering beskerming gedeaktiveer**, wat toelaat dat sleutelkluis en voorwerpe gedurende die retensieperiode verwyder kan word. Alhoewel, sodra hierdie beskerming geaktiveer is vir 'n kluis, kan dit nie gedeaktiveer word nie.
|
||||
|
||||
## Enumerasie
|
||||
|
||||
@@ -67,6 +67,7 @@ Dit is egter moontlik om 'n vault te skep met **verwyderingsbeskerming gedeaktiv
|
||||
az keyvault list
|
||||
# List Key Vaults in a specific Resource Group
|
||||
az keyvault list --resource-group <ResourceGroupName>
|
||||
az keyvault list --query '[].{name:name}' -o tsv # Get just the names
|
||||
# Show details of a specific Key Vault
|
||||
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
|
||||
# List all keys in a Key Vault
|
||||
|
||||
Reference in New Issue
Block a user