gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-13 13:26:31 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 19:09:02 +00:00
parent 7770a50092
commit 4ecda9fe96
244 changed files with 8478 additions and 11318 deletions
Download Patch File Download Diff File Expand all files Collapse all files

26
src/pentesting-cloud/ibm-cloud-pentesting/README.md
View File

@@ -4,20 +4,20 @@
{{#include ../../banners/hacktricks-training.md}}
### What is IBM cloud? (By chatGPT)
### Що таке IBM Cloud? (Від chatGPT)
IBM Cloud, a cloud computing platform by IBM, offers a variety of cloud services such as infrastructure as a service (IaaS), platform as a service (PaaS), and software as a service (SaaS). It enables clients to deploy and manage applications, handle data storage and analysis, and operate virtual machines in the cloud.
IBM Cloud, платформа хмарних обчислень від IBM, пропонує різноманітні хмарні послуги, такі як інфраструктура як послуга (IaaS), платформа як послуга (PaaS) та програмне забезпечення як послуга (SaaS). Вона дозволяє клієнтам розгортати та керувати додатками, обробляти зберігання та аналіз даних, а також працювати з віртуальними машинами в хмарі.
When compared with Amazon Web Services (AWS), IBM Cloud showcases certain distinct features and approaches:
У порівнянні з Amazon Web Services (AWS), IBM Cloud демонструє певні відмінні риси та підходи:
1. **Focus**: IBM Cloud primarily caters to enterprise clients, providing a suite of services designed for their specific needs, including enhanced security and compliance measures. In contrast, AWS presents a broad spectrum of cloud services for a diverse clientele.
2. **Hybrid Cloud Solutions**: Both IBM Cloud and AWS offer hybrid cloud services, allowing integration of on-premises infrastructure with their cloud services. However, the methodology and services provided by each differ.
3. **Artificial Intelligence and Machine Learning (AI & ML)**: IBM Cloud is particularly noted for its extensive and integrated services in AI and ML. AWS also offers AI and ML services, but IBM's solutions are considered more comprehensive and deeply embedded within its cloud platform.
4. **Industry-Specific Solutions**: IBM Cloud is recognized for its focus on particular industries like financial services, healthcare, and government, offering bespoke solutions. AWS caters to a wide array of industries but might not have the same depth in industry-specific solutions as IBM Cloud.
1. **Фокус**: IBM Cloud в основному орієнтований на корпоративних клієнтів, пропонуючи набір послуг, розроблених для їх специфічних потреб, включаючи підвищену безпеку та заходи відповідності. На відміну від цього, AWS пропонує широкий спектр хмарних послуг для різноманітної клієнтської бази.
2. **Гібридні хмарні рішення**: Як IBM Cloud, так і AWS пропонують гібридні хмарні послуги, що дозволяють інтеграцію локальної інфраструктури з їхніми хмарними послугами. Однак методологія та послуги, що надаються кожним, відрізняються.
3. **Штучний інтелект та машинне навчання (AI & ML)**: IBM Cloud особливо відзначається своїми широкими та інтегрованими послугами в AI та ML. AWS також пропонує послуги AI та ML, але рішення IBM вважаються більш комплексними та глибоко інтегрованими в її хмарну платформу.
4. **Рішення для конкретних галузей**: IBM Cloud визнаний за свій фокус на певних галузях, таких як фінансові послуги, охорона здоров'я та уряд, пропонуючи індивідуальні рішення. AWS обслуговує широкий спектр галузей, але може не мати такої ж глибини в рішеннях для конкретних галузей, як IBM Cloud.
#### Basic Information
#### Основна інформація
For some basic information about IAM and hierarchi check:
Для деякої основної інформації про IAM та ієрархію перевірте:
{{#ref}}
ibm-basic-information.md
@@ -25,18 +25,14 @@ ibm-basic-information.md
### SSRF
Learn how you can access the medata endpoint of IBM in the following page:
Дізнайтеся, як ви можете отримати доступ до медата-інтерфейсу IBM на наступній сторінці:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#2af0
{{#endref}}
## References
## Посилання
- [https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/#:\~:text=IBM%20Cloud%20is%3A,%2C%20networking%2C%20and%20database%20management.](https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/)
{{#include ../../banners/hacktricks-training.md}}

70
src/pentesting-cloud/ibm-cloud-pentesting/ibm-basic-information.md
View File

@@ -1,14 +1,14 @@
# IBM - Basic Information
# IBM - Основна інформація
{{#include ../../banners/hacktricks-training.md}}
## Hierarchy
## Ієрархія
IBM Cloud resource model ([from the docs](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
Модель ресурсів IBM Cloud ([з документації](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
<figure><img src="../../images/image (225).png" alt=""><figcaption></figcaption></figure>
Recommended way to divide projects:
Рекомендований спосіб розподілу проектів:
<figure><img src="../../images/image (239).png" alt=""><figcaption></figcaption></figure>
@@ -16,61 +16,57 @@ Recommended way to divide projects:
<figure><img src="../../images/image (266).png" alt=""><figcaption></figcaption></figure>
### Users
### Користувачі
Users have an **email** assigned to them. They can access the **IBM console** and also **generate API keys** to use their permissions programatically.\
**Permissions** can be granted **directly** to the user with an access policy or via an **access group**.
Користувачам призначено **електронну пошту**. Вони можуть отримати доступ до **консолі IBM** та також **генерувати API ключі** для програмного використання своїх дозволів.\
**Дозволи** можуть бути надані **безпосередньо** користувачу за допомогою політики доступу або через **групу доступу**.
### Trusted Profiles
### Довірені профілі
These are **like the Roles of AWS** or service accounts from GCP. It's possible to **assign them to VM** instances and access their **credentials via metadata**, or even **allow Identity Providers** to use them in order to authenticate users from external platforms.\
**Permissions** can be granted **directly** to the trusted profile with an access policy or via an **access group**.
Це **як Ролі AWS** або облікові записи сервісів з GCP. Можливо **призначити їх віртуальним машинам** і отримати доступ до їх **облікових даних через метадані**, або навіть **дозволити постачальникам ідентичності** використовувати їх для аутентифікації користувачів з зовнішніх платформ.\
**Дозволи** можуть бути надані **безпосередньо** довіреному профілю за допомогою політики доступу або через **групу доступу**.
### Service IDs
### Ідентифікатори сервісів
This is another option to allow applications to **interact with IBM cloud** and perform actions. In this case, instead of assign it to a VM or Identity Provider an **API Key can be used** to interact with IBM in a **programatic** way.\
**Permissions** can be granted **directly** to the service id with an access policy or via an **access group**.
Це ще один варіант, щоб дозволити додаткам **взаємодіяти з IBM cloud** та виконувати дії. У цьому випадку, замість того, щоб призначити його віртуальній машині або постачальнику ідентичності, **можна використовувати API ключ** для взаємодії з IBM у **програмний** спосіб.\
**Дозволи** можуть бути надані **безпосередньо** ідентифікатору сервісу за допомогою політики доступу або через **групу доступу**.
### Identity Providers
### Постачальники ідентичності
External **Identity Providers** can be configured to **access IBM cloud** resources from external platforms by accessing **trusting Trusted Profiles**.
Зовнішні **постачальники ідентичності** можуть бути налаштовані для **доступу до ресурсів IBM cloud** з зовнішніх платформ, отримуючи доступ до **довірених профілів**.
### Access Groups
### Групи доступу
In the same access group **several users, trusted profiles & service ids** can be present. Each principal in the access group will **inherit the access group permissions**.\
**Permissions** can be granted **directly** to the trusted profile with an access policy.\
An **access group cannot be a member** of another access group.
В одній групі доступу можуть бути присутні **кілька користувачів, довірених профілів та ідентифікаторів сервісів**. Кожен принципал у групі доступу **успадкує дозволи групи доступу**.\
**Дозволи** можуть бути надані **безпосередньо** довіреному профілю за допомогою політики доступу.\
**Група доступу не може бути членом** іншої групи доступу.
### Roles
### Ролі
A role is a **set of granular permissions**. **A role** is dedicated to **a service**, meaning that it will only contain permissions of that service.\
**Each service** of IAM will already have some **possible roles** to choose from to **grant a principal access to that service**: **Viewer, Operator, Editor, Administrator** (although there could be more).
Роль - це **набір детальних дозволів**. **Роль** призначена **сервісу**, що означає, що вона міститиме лише дозволи цього сервісу.\
**Кожен сервіс** IAM вже матиме деякі **можливі ролі** на вибір для **надання доступу принципалу до цього сервісу**: **Переглядач, Оператор, Редактор, Адміністратор** (хоча може бути й більше).
Role permissions are given via access policies to principals, so if you need to give for example a **combination of permissions** of a service of **Viewer** and **Administrator**, instead of giving those 2 (and overprivilege a principal), you can **create a new role** for the service and give that new role the **granular permissions you need**.
Дозволи ролі надаються через політики доступу принципалам, тому, якщо вам потрібно надати, наприклад, **комбінацію дозволів** сервісу **Переглядач** та **Адміністратор**, замість того, щоб надавати ці 2 (і перевантажувати принципала), ви можете **створити нову роль** для сервісу та надати цій новій ролі **детальні дозволи, які вам потрібні**.
### Access Policies
### Політики доступу
Access policies allows to **attach 1 or more roles of 1 service to 1 principal**.\
When creating the policy you need to choose:
Політики доступу дозволяють **прикріпити 1 або кілька ролей 1 сервісу до 1 принципалу**.\
При створенні політики потрібно вибрати:
- The **service** where permissions will be granted
- **Affected resources**
- Service & Platform **access** that will be granted
- These indicate the **permissions** that will be given to the principal to perform actions. If any **custom role** is created in the service you will also be able to choose it here.
- **Conditions** (if any) to grant the permissions
- **Сервіс**, де будуть надані дозволи
- **Постраждалі ресурси**
- Доступ до сервісу та платформи, який буде надано
- Це вказує на **дозволи**, які будуть надані принципалу для виконання дій. Якщо в сервісі створено будь-яку **кастомну роль**, ви також зможете вибрати її тут.
- **Умови** (якщо є) для надання дозволів
> [!NOTE]
> To grant access to several services to a user, you can generate several access policies
> Щоб надати доступ до кількох сервісів користувачу, ви можете згенерувати кілька політик доступу
<figure><img src="../../images/image (248).png" alt=""><figcaption></figcaption></figure>
## References
## Посилання
- [https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises](https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises)
- [https://cloud.ibm.com/docs/account?topic=account-iamoverview](https://cloud.ibm.com/docs/account?topic=account-iamoverview)
{{#include ../../banners/hacktricks-training.md}}

32
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-crypto-services.md
View File

@@ -2,32 +2,28 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Основна інформація
IBM Hyper Protect Crypto Services is a cloud service that provides **highly secure and tamper-resistant cryptographic key management and encryption capabilities**. It is designed to help organizations protect their sensitive data and comply with security and privacy regulations such as GDPR, HIPAA, and PCI DSS.
IBM Hyper Protect Crypto Services - це хмарний сервіс, який надає **високий рівень безпеки та стійкості до підробок в управлінні криптографічними ключами та шифруванні**. Він розроблений для допомоги організаціям у захисті їх чутливих даних та дотриманні вимог безпеки та конфіденційності, таких як GDPR, HIPAA та PCI DSS.
Hyper Protect Crypto Services uses **FIPS 140-2 Level 4 certified hardware security modules** (HSMs) to store and protect cryptographic keys. These HSMs are designed to r**esist physical tampering** and provide high levels of **security against cyber attacks**.
Hyper Protect Crypto Services використовує **апаратні модулі безпеки, сертифіковані за стандартом FIPS 140-2 рівня 4** (HSM), для зберігання та захисту криптографічних ключів. Ці HSM розроблені для **опору фізичним втручанням** та забезпечення високого рівня **безпеки проти кібератак**.
The service provides a range of cryptographic services, including key generation, key management, digital signature, encryption, and decryption. It supports industry-standard cryptographic algorithms such as AES, RSA, and ECC, and can be integrated with a variety of applications and services.
Сервіс надає ряд криптографічних послуг, включаючи генерацію ключів, управління ключами, цифровий підпис, шифрування та дешифрування. Він підтримує криптографічні алгоритми, що відповідають галузевим стандартам, такі як AES, RSA та ECC, і може бути інтегрований з різними додатками та сервісами.
### What is a Hardware Security Module
### Що таке апаратний модуль безпеки
A hardware security module (HSM) is a dedicated cryptographic device that is used to generate, store, and manage cryptographic keys and protect sensitive data. It is designed to provide a high level of security by physically and electronically isolating the cryptographic functions from the rest of the system.
Апаратний модуль безпеки (HSM) - це спеціалізований криптографічний пристрій, який використовується для генерації, зберігання та управління криптографічними ключами та захисту чутливих даних. Він розроблений для забезпечення високого рівня безпеки шляхом фізичного та електронного ізолювання криптографічних функцій від решти системи.
The way an HSM works can vary depending on the specific model and manufacturer, but generally, the following steps occur:
Спосіб роботи HSM може варіюватися в залежності від конкретної моделі та виробника, але загалом відбуваються такі етапи:
1. **Key generation**: The HSM generates a random cryptographic key using a secure random number generator.
2. **Key storage**: The key is **stored securely within the HSM, where it can only be accessed by authorized users or processes**.
3. **Key management**: The HSM provides a range of key management functions, including key rotation, backup, and revocation.
4. **Cryptographic operations**: The HSM performs a range of cryptographic operations, including encryption, decryption, digital signature, and key exchange. These operations are **performed within the secure environment of the HSM**, which protects against unauthorized access and tampering.
5. **Audit logging**: The HSM logs all cryptographic operations and access attempts, which can be used for compliance and security auditing purposes.
1. **Генерація ключа**: HSM генерує випадковий криптографічний ключ за допомогою безпечного генератора випадкових чисел.
2. **Зберігання ключа**: Ключ **надійно зберігається в HSM, де до нього можуть отримати доступ лише авторизовані користувачі або процеси**.
3. **Управління ключами**: HSM надає ряд функцій управління ключами, включаючи ротацію ключів, резервне копіювання та відкликання.
4. **Криптографічні операції**: HSM виконує ряд криптографічних операцій, включаючи шифрування, дешифрування, цифровий підпис та обмін ключами. Ці операції **виконуються в безпечному середовищі HSM**, що захищає від несанкціонованого доступу та втручання.
5. **Аудит логування**: HSM реєструє всі криптографічні операції та спроби доступу, які можуть бути використані для цілей дотримання вимог та аудиту безпеки.
HSMs can be used for a wide range of applications, including secure online transactions, digital certificates, secure communications, and data encryption. They are often used in industries that require a high level of security, such as finance, healthcare, and government.
HSM можуть використовуватися для широкого спектра застосувань, включаючи безпечні онлайн-транзакції, цифрові сертифікати, безпечні комунікації та шифрування даних. Вони часто використовуються в галузях, які вимагають високого рівня безпеки, таких як фінанси, охорона здоров'я та уряд.
Overall, the high level of security provided by HSMs makes it **very difficult to extract raw keys from them, and attempting to do so is often considered a breach of security**. However, there may be **certain scenarios** where a **raw key could be extracted** by authorized personnel for specific purposes, such as in the case of a key recovery procedure.
В цілому, високий рівень безпеки, що надається HSM, робить **дуже складним витягування сирих ключів з них, і спроба зробити це часто вважається порушенням безпеки**. Однак можуть бути **окремі сценарії**, коли **сирий ключ може бути витягнутий** авторизованим персоналом для конкретних цілей, таких як у випадку процедури відновлення ключа.
{{#include ../../banners/hacktricks-training.md}}

44
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-virtual-server.md
View File

@@ -2,45 +2,41 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Основна інформація
Hyper Protect Virtual Server is a **virtual server** offering from IBM that is designed to provide a **high level of security and compliance** for sensitive workloads. It runs on **IBM Z and LinuxONE hardware**, which are designed for high levels of security and scalability.
Hyper Protect Virtual Server - це **віртуальний сервер** від IBM, який призначений для забезпечення **високого рівня безпеки та відповідності** для чутливих навантажень. Він працює на **апаратному забезпеченні IBM Z та LinuxONE**, яке розроблено для високих рівнів безпеки та масштабованості.
Hyper Protect Virtual Server uses **advanced security features** such as secure boot, encrypted memory, and tamper-proof virtualization to protect sensitive data and applications. It also provides a **secure execution environment that isolates each workload from other workloads** running on the same system.
Hyper Protect Virtual Server використовує **сучасні функції безпеки**, такі як безпечний завантаження, зашифрована пам'ять та захищена віртуалізація, щоб захистити чутливі дані та програми. Він також забезпечує **безпечне середовище виконання, яке ізолює кожне навантаження від інших навантажень**, що працюють на тій же системі.
This virtual server offering is designed for workloads that require the highest levels of security and compliance, such as financial services, healthcare, and government. It allows organizations to run their sensitive workloads in a virtual environment while still meeting strict security and compliance requirements.
Ця пропозиція віртуального сервера призначена для навантажень, які вимагають найвищих рівнів безпеки та відповідності, таких як фінансові послуги, охорона здоров'я та державні установи. Вона дозволяє організаціям запускати свої чутливі навантаження у віртуальному середовищі, при цьому дотримуючись суворих вимог безпеки та відповідності.
### Metadata & VPC
### Метадані та VPC
When you run a server like this one from the IBM service called "Hyper Protect Virtual Server" it **won't** allow you to configure **access to metadata,** link any **trusted profile**, use **user data**, or even a **VPC** to place the server in.
Коли ви запускаєте сервер, як цей, з сервісу IBM під назвою "Hyper Protect Virtual Server", він **не дозволить** вам налаштувати **доступ до метаданих**, зв'язати будь-який **достовірний профіль**, використовувати **дані користувача** або навіть **VPC** для розміщення сервера.
However, it's possible to **run a VM in a IBM Z linuxONE hardware** from the service "**Virtual server for VPC**" which will allow you to **set those configs** (metadata, trusted profiles, VPC...).
Однак, можливо **запустити VM на апаратному забезпеченні IBM Z linuxONE** з сервісу "**Віртуальний сервер для VPC**", що дозволить вам **налаштувати ці конфігурації** (метадані, достовірні профілі, VPC...).
### IBM Z and LinuxONE
### IBM Z та LinuxONE
If you don't understand this terms chatGPT can help you understanding them.
Якщо ви не розумієте ці терміни, chatGPT може допомогти вам їх зрозуміти.
**IBM Z is a family of mainframe computers** developed by IBM. These systems are designed for **high-performance, high-availability, and high-security** enterprise computing. IBM Z is known for its ability to handle large-scale transactions and data processing workloads.
**IBM Z - це сімейство мейнфреймів**, розроблених IBM. Ці системи призначені для **високопродуктивних, високодоступних та високобезпечних** корпоративних обчислень. IBM Z відомий своєю здатністю обробляти великомасштабні транзакції та навантаження з обробки даних.
**LinuxONE is a line of IBM Z** mainframes that are optimized for **running Linux** workloads. LinuxONE systems support a wide range of open-source software, tools, and applications. They provide a highly secure and scalable platform for running mission-critical workloads such as databases, analytics, and machine learning.
**LinuxONE - це лінія мейнфреймів IBM Z**, оптимізованих для **виконання навантажень Linux**. Системи LinuxONE підтримують широкий спектр програмного забезпечення з відкритим кодом, інструментів та додатків. Вони забезпечують високо безпечну та масштабовану платформу для виконання критично важливих навантажень, таких як бази даних, аналітика та машинне навчання.
**LinuxONE** is built on the **same hardware** platform as **IBM Z**, but it is **optimized** for **Linux** workloads. LinuxONE systems support multiple virtual servers, each of which can run its own instance of Linux. These virtual servers are isolated from each other to ensure maximum security and reliability.
**LinuxONE** побудований на **тій же апаратній** платформі, що й **IBM Z**, але він **оптимізований** для **навантажень Linux**. Системи LinuxONE підтримують кілька віртуальних серверів, кожен з яких може виконувати свою власну інстанцію Linux. Ці віртуальні сервери ізольовані один від одного, щоб забезпечити максимальну безпеку та надійність.
### LinuxONE vs x64
### LinuxONE проти x64
LinuxONE is a family of mainframe computers developed by IBM that are optimized for running Linux workloads. These systems are designed for high levels of security, reliability, scalability, and performance.
LinuxONE - це сімейство мейнфреймів, розроблених IBM, які оптимізовані для виконання навантажень Linux. Ці системи призначені для високих рівнів безпеки, надійності, масштабованості та продуктивності.
Compared to x64 architecture, which is the most common architecture used in servers and personal computers, LinuxONE has some unique advantages. Some of the key differences are:
У порівнянні з архітектурою x64, яка є найпоширенішою архітектурою, що використовується на серверах та персональних комп'ютерах, LinuxONE має деякі унікальні переваги. Деякі з ключових відмінностей:
1. **Scalability**: LinuxONE can support massive amounts of processing power and memory, which makes it ideal for large-scale workloads.
2. **Security**: LinuxONE has built-in security features that are designed to protect against cyber threats and data breaches. These features include hardware encryption, secure boot, and tamper-proof virtualization.
3. **Reliability**: LinuxONE has built-in redundancy and failover capabilities that help ensure high availability and minimize downtime.
4. **Performance**: LinuxONE can deliver high levels of performance for workloads that require large amounts of processing power, such as big data analytics, machine learning, and AI.
1. **Масштабованість**: LinuxONE може підтримувати величезні обсяги оброблювальної потужності та пам'яті, що робить його ідеальним для великомасштабних навантажень.
2. **Безпека**: LinuxONE має вбудовані функції безпеки, які призначені для захисту від кіберзагроз та витоків даних. Ці функції включають апаратне шифрування, безпечний завантаження та захищену віртуалізацію.
3. **Надійність**: LinuxONE має вбудовану надмірність та можливості аварійного переключення, які допомагають забезпечити високу доступність та мінімізувати час простою.
4. **Продуктивність**: LinuxONE може забезпечити високі рівні продуктивності для навантажень, які вимагають великої оброблювальної потужності, таких як аналітика великих даних, машинне навчання та ШІ.
Overall, LinuxONE is a powerful and secure platform that is well-suited for running large-scale, mission-critical workloads that require high levels of performance and reliability. While x64 architecture has its own advantages, it may not be able to provide the same level of scalability, security, and reliability as LinuxONE for certain workloads.\\
В цілому, LinuxONE - це потужна та безпечна платформа, яка добре підходить для виконання великомасштабних, критично важливих навантажень, які вимагають високих рівнів продуктивності та надійності. Хоча архітектура x64 має свої переваги, вона може не забезпечити такого ж рівня масштабованості, безпеки та надійності, як LinuxONE для певних навантажень.\\
{{#include ../../banners/hacktricks-training.md}}