gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 14:40:37 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza

Browse Source
This commit is contained in:
Translator
2025-02-17 17:16:42 +00:00
parent a63d5e9d04
commit 4f8d3bf7e2
12 changed files with 120 additions and 120 deletions
Download Patch File Download Diff File Expand all files Collapse all files

4
src/pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md
View File

@@ -4,14 +4,14 @@
## 基本情報
AWS Organizationsは、追加費用をかけずに新しいAWSアカウントを作成することを容易にします。リソースは簡単に割り当てることができ、アカウントは効率的にグループ化され、ガバナンスポリシーは個々のアカウントグループに適用でき、組織内の管理と制御が強化されます。
AWS Organizationsは、追加コストをかけずに新しいAWSアカウントを作成することを容易にします。リソースは簡単に割り当てることができ、アカウントは効率的にグループ化され、ガバナンスポリシーは個々のアカウントまたはグループに適用され、組織内の管理と制御が強化されます。
主なポイント:
- **新しいアカウントの作成**: AWS Organizationsは、追加料金なしで新しいAWSアカウントを作成することを可能にします。
- **リソースの割り当て**: アカウント間でのリソースの割り当てプロセスを簡素化します。
- **アカウントのグループ化**: アカウントをまとめて管理をより効率的にします。
- **ガバナンスポリシー**: アカウントアカウントのグループにポリシーを適用し、組織全体のコンプライアンスとガバナンスを確保します。
- **ガバナンスポリシー**: アカウントまたはアカウントのグループにポリシーを適用し、組織全体のコンプライアンスとガバナンスを確保します。
詳細情報は以下で確認できます:

2
src/pentesting-cloud/aws-security/aws-services/aws-sqs-and-sns-enum.md
View File

@@ -18,7 +18,7 @@ aws sqs receive-message --queue-url <value>
aws sqs send-message --queue-url <value> --message-body <value>
```
> [!CAUTION]
> また、`--queue-url` にリージョンが含まれていても、**`--region`** で正しいリージョンを指定することを確認してください。そうしないと、アクセス権がないことを示すようなエラーが表示されますが、問題はリージョンです。
> また、`--queue-url`にリージョンが含まれていても、**`--region`**で正しいリージョンを指定することを確認してください。そうしないと、アクセス権がないことを示すようなエラーが表示されますが、問題はリージョンです。
#### 認証されていないアクセス

8
src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md
View File

@@ -12,7 +12,7 @@
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`
この権限を持つ攻撃者は、Azure Storage Queueからメッセージを覗き見ることができます。これにより、攻撃者はメッセージの内容を処理済みとしてマークしたり、その状態を変更したりすることなく表示できます。これにより、機密情報への不正アクセスが可能になり、データの流出やさらなる攻撃のための情報収集が行われる可能性があります。
この権限を持つ攻撃者は、Azure Storage Queueからメッセージを覗き見ることができます。これにより、攻撃者はメッセージの内容を処理済みとしてマークしたり、その状態を変更したりすることなく表示できます。これにより、機密情報への不正アクセスが可能になり、データの流出やさらなる攻撃のための情報収集が行る可能性があります。
```bash
az storage message peek --queue-name <queue_name> --account-name <storage_account>
```
@@ -32,7 +32,7 @@ az storage message put --queue-name <queue-name> --content "Injected malicious m
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write`
この権限により、攻撃者はAzure Storage Queueに新しいメッセージを追加したり、既存のメッセージを更新したりすることができます。これを使用することで、悪意のあるコンテンツを挿入したり、既存のメッセージを変更したりすることができ、キューに依存するアプリケーションを誤解させたり、システム望ましくない動作を引き起こす可能性があります。
この権限により、攻撃者はAzure Storage Queueに新しいメッセージを追加したり、既存のメッセージを更新したりすることができます。これを使用することで、攻撃者は有害なコンテンツを挿入したり、既存のメッセージを変更したりすることができ、アプリケーションを誤解させたり、キューに依存するシステム望ましくない動作を引き起こす可能性があります。
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
@@ -46,7 +46,7 @@ az storage message update --queue-name <queue-name> \
```
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/delete`
この権限により、攻撃者はストレージアカウント内のキューを削除できます。この機能を利用することで、攻撃者はキューとその関連メッセージを永久に削除し、ワークフローに重大な混乱を引き起こし、影響を受けたキューに依存するアプリケーションにとって重要なデータ損失をもたらすことができます。このアクションは、システムの重要なコンポーネントを削除することでサービスを妨害するためにも使用できます。
この権限により、攻撃者はストレージアカウント内のキューを削除することができます。この機能を利用することで、攻撃者はキューとその関連メッセージを永久に削除し、ワークフローに重大な混乱を引き起こし、影響を受けたキューに依存するアプリケーションにとって重要なデータ損失をもたらすことができます。このアクションは、システムの重要なコンポーネントを削除することでサービスを妨害するためにも使用される可能性があります。
```bash
az storage queue delete --name <queue-name> --account-name <storage-account>
```
@@ -58,7 +58,7 @@ az storage message clear --queue-name <queue-name> --account-name <storage-accou
```
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/write`
この権限、攻撃者ストレージアカウント内のキューとそのプロパティを作成または変更することを許可します。これにより、不正なキューを作成したり、メタデータを変更したり、アクセス制御リストACLを変更してアクセスを許可または制限したりすることができます。この機能は、ワークフローを妨害したり、悪意のあるデータを注入したり、機密情報を抽出したり、さらなる攻撃を可能にするためにキュー設定を操作したりする可能性があります。
この権限により、攻撃者ストレージアカウント内のキューとそのプロパティを作成または変更できます。これを使用して、不正なキューを作成したり、メタデータを変更したり、アクセス制御リストACLを変更してアクセスを付与または制限したりできます。この機能は、ワークフローを妨害したり、悪意のあるデータを注入したり、機密情報を抽出したり、さらなる攻撃を可能にするためにキュー設定を操作したりする可能性があります。
```bash
az storage queue create --name <new-queue-name> --account-name <storage-account>

8
src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md
View File

@@ -24,7 +24,7 @@ az servicebus topic delete --resource-group <ResourceGroupName> --namespace-name
```
### Actions: `Microsoft.ServiceBus/namespaces/queues/Delete`
この権限を持つ攻撃者は、Azure Service Bus キューを削除できます。このアクションはキューとその中のすべてのメッセージを削除し、重要なデータの失を引き起こし、キューに依存するシステムやワークフローを混乱させる可能性があります。
この権限を持つ攻撃者は、Azure Service Bus キューを削除できます。このアクションはキューとその中のすべてのメッセージを削除し、重要なデータの失を引き起こし、キューに依存するシステムやワークフローを混乱させる可能性があります。
```bash
az servicebus queue delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
```
@@ -36,21 +36,21 @@ az servicebus topic subscription delete --resource-group <ResourceGroupName> --n
```
### Actions: `Microsoft.ServiceBus/namespaces/queues/write` (`Microsoft.ServiceBus/namespaces/queues/read`)
攻撃者は、Azure Service Bus キューを作成または変更する権限を持っている場合キューを変更するには、Action:`Microsoft.ServiceBus/namespaces/queues/read` も必要です)、これを利用してデータを傍受したり、ワークフローを妨害したり、無許可のアクセスを可能にしたりすることができます。彼らは、悪意のあるエンドポイントにメッセージを転送する、メッセージの TTL を調整してデータを不適切に保持または削除する、またはエラーハンドリングに干渉するためにデッドレターを有効にするなど、重要な設定を変更することができます。さらに、キューのサイズ、ロックの期間、またはステータスを操作してサービスの機能を妨害したり、検出を回避したりすることができるため、これは重要なポストエクスプロイテーションリスクとなります。
Azure Service Bus キューを作成または変更する権限を持つ攻撃者キューを変更するには、Action:`Microsoft.ServiceBus/namespaces/queues/read` も必要です)、これを利用してデータを傍受したり、ワークフローを妨害したり、無許可のアクセスを可能にしたりすることができます。彼らは、悪意のあるエンドポイントにメッセージを転送する、メッセージの TTL を調整してデータを不適切に保持または削除する、またはエラーハンドリングに干渉するためにデッドレターを有効にするなど、重要な設定を変更することができます。さらに、キューのサイズ、ロックの期間、またはステータスを操作してサービスの機能を妨害したり、検出を回避したりすることができるため、これは重要なポストエクスプロイテーションリスクとなります。
```bash
az servicebus queue create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
az servicebus queue update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
```
### Actions: `Microsoft.ServiceBus/namespaces/topics/write` (`Microsoft.ServiceBus/namespaces/topics/read`)
Azure Service Bus 名前空間内でトピックを作成または変更する権限を持つ攻撃者は、これを利用してメッセージワークフローを妨害したり、機密データを露出させたり、無許可のアクションを有効にしたりすることができます。az servicebus topic updateのようなコマンドを使用して、スケーラビリティの悪用のためにパーティショニングを有効にしたり、メッセージを不適切に保持または破棄するためにTTL設定を変更したり、制御を回避するために重複検出を無効にしたりするなど構成を操作できます。さらに、トピックのサイズ制限を調整したり、ステータスを変更して可用性を妨害したり、インターセプトされたメッセージを一時的に保存するためにエクスプレストピックを構成したりすることができるため、トピック管理はポストエクスプロイテーションの緩和において重要な焦点となります。
Azure Service Bus 名前空間内でトピックを作成または変更する権限を持つ攻撃者は、これを利用してメッセージワークフローを妨害したり、機密データを露出させたり、無許可のアクションを有効にしたりすることができます。az servicebus topic updateのようなコマンドを使用して、スケーラビリティの悪用のためにパーティショニングを有効にしたり、メッセージを不適切に保持または破棄するためにTTL設定を変更したり、制御を回避するために重複検出を無効にしたりするなど構成を操作できます。さらに、トピックのサイズ制限を調整したり、ステータスを変更して可用性を妨害したり、インターセプトされたメッセージを一時的に保存するためにエクスプレストピックを構成したりすることができるため、トピック管理はポストエクスプロイテーションの緩和において重要な焦点となります。
```bash
az servicebus topic create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
az servicebus topic update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
```
### Actions: `Microsoft.ServiceBus/namespaces/topics/subscriptions/write` (`Microsoft.ServiceBus/namespaces/topics/subscriptions/read`)
サブスクリプションを作成または変更する権限を持つ攻撃者サブスクリプションを変更するには、Action: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read` も必要ですは、Azure Service Bus トピック内でこれを利用してメッセージワークフローを傍受、再ルーティング、または中断することができます。az servicebus topic subscription updateのようなコマンドを使用して、メッセージを転送するためにデッドレターを有効にしたり、未承認のエンドポイントにメッセージを転送したり、TTLやロック期間を変更してメッセージ配信を保持または干渉したりするなどの設定を操作できます。さらに、ステータスや最大配信回数の設定を変更して操作を中断させたり、検出を回避したりすることができるため、サブスクリプション制御はポストエクスプロイテーションシナリオの重要な側面となります。
サブスクリプションを作成または変更する権限を持つ攻撃者サブスクリプションを変更するには、Action: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read` も必要ですは、Azure Service Bus トピック内でこれを利用してメッセージワークフローを傍受、再ルーティング、または中断することができます。az servicebus topic subscription updateのようなコマンドを使用して、メッセージを転送するためにデッドレターを有効にしたり、未承認のエンドポイントにメッセージを転送したり、TTLやロック期間を変更してメッセージ配信を保持または干渉したりするなどの設定を操作できます。さらに、ステータスや最大配信回数の設定を変更して操作を中断させたり、検出を回避したりすることができるため、サブスクリプション制御はポストエクスプロイテーションシナリオの重要な側面となります。
```bash
az servicebus topic subscription create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
az servicebus topic subscription update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>

14
src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md
View File

@@ -4,7 +4,7 @@
## SQL Database Post Exploitation
SQL Databaseに関する詳細情報は以下を確認してください:
SQL Databaseに関する詳細情報は以下を確認してください:
{{#ref}}
../az-services/az-sql.md
@@ -12,7 +12,7 @@ SQL Databaseに関する詳細情報は以下を確認してください:
### `Microsoft.Sql/servers/databases/read`, `Microsoft.Sql/servers/read` && `Microsoft.Sql/servers/databases/write`
これらの権限を持つ攻撃者は、侵害された環境内でデータベースを作成および更新できます。このポストエクスプロイテーション活動により、攻撃者は悪意のあるデータを追加したり、データベースの設定を変更したり、さらなる持続性のためにバックドアを挿入したりすることができ、操作を妨害したり、追加の悪意のある行動を可能にしたりする可能性があります。
これらの権限を持つ攻撃者は、侵害された環境内でデータベースを作成および更新できます。このポストエクスプロイ活動により、攻撃者は悪意のあるデータを追加したり、データベースの設定を変更したり、さらなる持続性のためにバックドアを挿入したりすることができ、操作を妨害したり、追加の悪意のある行動を可能にしたりする可能性があります。
```bash
# Create Database
az sql db create --resource-group <resource-group> --server <server-name> --name <new-database-name>
@@ -52,7 +52,7 @@ az sql elastic-pool update \
```
### `Microsoft.Sql/servers/auditingSettings/read` && `Microsoft.Sql/servers/auditingSettings/write`
この権限を持つことで、Azure SQL Serverの監査設定を変更または有効にすることができます。これにより、攻撃者や権限のあるユーザーが監査構成を操作し、痕跡を隠したり、監査ログを自分の管理下にある場所にリダイレクトしたりする可能性があります。これにより、セキュリティ監視が妨げられたり、行動を追跡することができなくなったりする可能性があります。注意: Azure SQL Serverの監査をBlob Storage有効にするには、監査ログを保存できるストレージアカウントを接続する必要があります。
この権限を持つことで、Azure SQL Serverの監査設定を変更または有効にすることができます。これにより、攻撃者や権限のあるユーザーが監査構成を操作し、痕跡を隠したり、監査ログを自分の管理下にある場所にリダイレクトしたりする可能性があります。これにより、セキュリティ監視が妨げられたり、行動を追跡することができなくなったりする可能性があります。注意: Azure SQL Serverの監査をBlob Storageを使用して有効にするには、監査ログを保存できるストレージアカウントを接続する必要があります。
```bash
az sql server audit-policy update \
--server <server_name> \
@@ -86,7 +86,7 @@ az sql db export \
```
### `Microsoft.Sql/servers/databases/import/action`
この権限を持つことで、Azure SQL Serverにデータベースをインポートできます。この権限を持つ攻撃者または認可されたユーザーは、悪意のあるまたは操作されたデータベースをアップロードする可能性があります。これにより、機密データの制御を獲得したり、インポートされたデータベース内に有害なスクリプトやトリガーを埋め込んだりすることができます。さらに、Azure内の自分のサーバーにインポートすることもできます。注意: サーバーは、Azureサービスおよびリソースがサーバーにアクセスすることを許可する必要があります。
この権限を持つことで、Azure SQL Serverにデータベースをインポートできます。この権限を持つ攻撃者または認可されたユーザーは、悪意のあるまたは操作されたデータベースをアップロードする可能性があります。これにより、インポートされたデータベース内に機密データへの制御を得たり、有害なスクリプトやトリガーを埋め込んだりすることができます。さらに、Azure内の自分のサーバーにインポートすることもできます。注意: サーバーは、Azureサービスリソースがサーバーにアクセスすることを許可する必要があります。
```bash
az sql db import --admin-user <admin-user> \
--admin-password <admin-password> \
@@ -99,7 +99,7 @@ az sql db import --admin-user <admin-user> \
```
### `Microsoft.Sql/servers/connectionPolicies/write` && `Microsoft.Sql/servers/connectionPolicies/read`
この権限を持つユーザーは、Azure SQL サーバーの接続ポリシーを変更および取得できます。これらの権限により、クライアントがサーバーに接続する方法を変更できるため、リダイレクトやプロキシなどの方法を選択できます。これが誤って構成されると、セキュリティが弱まったり、トラフィックリダイレクトされたり、機密データ傍受されたりする可能性があります。
この権限を持つユーザーは、Azure SQL サーバーの接続ポリシーを変更および取得できます。これらの権限により、クライアントがサーバーに接続する方法を変更できるリダイレクトやプロキシなどの方法を選択することができ、誤って設定された場合にはセキュリティを弱体化させたり、トラフィックリダイレクトたり、機密データ傍受たりすることが悪用される可能性があります。
```bash
az sql server conn-policy update \
--resource-group <resource_group> \
@@ -108,7 +108,7 @@ az sql server conn-policy update \
```
### `Microsoft.Sql/servers/keys/write` && `Microsoft.Sql/servers/keys/read`
この権限を持つユーザーは、Azure SQL Server に関連付けられた暗号化キーを更新および取得できます。これらのキーは、暗号化を通じて機密データを保護するために使用されることが多いため、それらを操作することは、無許可の復号化やキーのローテーション変更を許可することによってデータセキュリティ危険にさら可能性があります。
この権限を持つユーザーは、Azure SQL Server に関連付けられた暗号化キーを更新および取得できます。これらのキーは、暗号化を通じて機密データを保護するために使用されることが多いため、それらを操作すると、不正な復号化やキーのローテーション変更を許可することによってデータセキュリティ危険にさらされる可能性があります。
```bash
az sql server key create \
--resource-group MyResourceGroup \
@@ -126,7 +126,7 @@ az sql db ledger-digest-uploads disable \
```
### `Microsoft.Sql/servers/databases/transparentDataEncryption/write`, `Microsoft.Sql/locations/transparentDataEncryptionAzureAsyncOperation/read`, `Microsoft.Sql/servers/databases/transparentDataEncryption/read`
この権限は、認可されたユーザーまたは攻撃者がAzure SQLデータベースの透過的データ暗号化TDE設定を有効化、無効化、または変更することを可能にし、暗号化設定を変更することでデータセキュリティに影響を与える可能性があります。
この権限は、認可されたユーザーまたは攻撃者がAzure SQLデータベースの透過的データ暗号化TDE設定を有効化、無効化、または変更することを可し、暗号化設定を変更することでデータセキュリティに影響を与える可能性があります。
```bash
az sql db tde set \
--database <database-name> \

6
src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md
View File

@@ -4,7 +4,7 @@
## Queue
詳細については、次を確認してください
詳細については、次を確認してください:
{{#ref}}
../az-services/az-queue-enum.md
@@ -32,7 +32,7 @@ az storage message put --queue-name <queue-name> --content "Injected malicious m
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write`
この権限により、攻撃者はAzure Storage Queueに新しいメッセージを追加したり、既存のメッセージを更新したりできます。これを使用することで、攻撃者は有害なコンテンツを挿入したり、既存のメッセージを変更したりすることができ、アプリケーションを誤解させたり、キューに依存するシステムで望ましくない動作を引き起こす可能性があります。
この権限により、攻撃者はAzure Storage Queueに新しいメッセージを追加したり、既存のメッセージを更新したりすることができます。これを使用することで、攻撃者は有害なコンテンツを挿入したり、既存のメッセージを変更したりすることができ、アプリケーションを誤解させたり、キューに依存するシステムで望ましくない動作を引き起こす可能性があります。
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
@@ -46,7 +46,7 @@ az storage message update --queue-name <queue-name> \
```
### Action: `Microsoft.Storage/storageAccounts/queueServices/queues/write`
この権限により、攻撃者はストレージアカウント内のキューそのプロパティを作成または変更できます。これを使用して、不正なキューを作成したり、メタデータを変更したり、アクセス制御リストACLを変更してアクセスを付与または制限したりできます。この機能は、ワークフローを妨害したり、悪意のあるデータを注入したり、機密情報を抽出したり、さらなる攻撃を可能にするためにキュー設定を操作したりする可能性があります。
この権限により、攻撃者はストレージアカウント内のキューおよびそのプロパティを作成または変更できます。これを使用して、不正なキューを作成したり、メタデータを変更したり、アクセス制御リストACLを変更してアクセスを付与または制限したりできます。この機能は、ワークフローを妨害したり、悪意のあるデータを注入したり、機密情報を抽出したり、さらなる攻撃を可能にするためにキュー設定を操作したりする可能性があります。
```bash
az storage queue create --name <new-queue-name> --account-name <storage-account>

8
src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md
View File

@@ -14,7 +14,7 @@
これらの権限により、Service Bus 名前空間内のローカル認証ルールのキーを取得または再生成できます。このキーを使用することで、Service Bus 名前空間として認証でき、任意のキューやトピックにメッセージを送信したり、任意のキューやサブスクリプションからメッセージを受信したり、システムに対して操作を妨害したり、正当なユーザーを偽装したり、メッセージングワークフローに悪意のあるデータを注入したりする可能性があります。
デフォルトでは、**`RootManageSharedAccessKey` ルールは Service Bus 名前空間に対して完全な制御を持っています** そしてこれは `az` cli によって使用されますが、他のキー値を持つ他のルールが存在する可能性があります。
デフォルトでは、**`RootManageSharedAccessKey` ルールは Service Bus 名前空間に対して完全な制御を持っています** そしてこれは `az` cli によって使用されますが、他のキー値を持つ他のルールが存在する可能性があります。
```bash
# List keys
az servicebus namespace authorization-rule keys list --resource-group <res-group> --namespace-name <namespace-name> --authorization-rule-name RootManageSharedAccessKey [--authorization-rule-name RootManageSharedAccessKey]
@@ -66,7 +66,7 @@ az servicebus topic authorization-rule create --resource-group <res-group> --nam
az servicebus queue authorization-rule create --resource-group <res-group> --namespace-name <namespace-name> --queue-name <queue-name> --name <auth-rule-name> --rights Manage Listen Send
```
>[!WARNING]
>このコマンドはキーで応答しないため、特権を昇格させるために前のコマンド(および権限)でそれらを取得する必要があります。
>このコマンドはキーで応答しないため、特権を昇格させるために前のコマンド(および権限)で取得する必要があります。
さらに、そのコマンド(および `Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/read`を使用して、Azure CLIを通じてこのアクションを実行すると、既存の承認ルールを更新し、次のコマンドでより多くの権限を与えることが可能です不足している場合
```bash
@@ -78,13 +78,13 @@ az servicebus queue authorization-rule update --resource-group <res-group> --nam
```
### Microsoft.ServiceBus/namespaces/write (& Microsoft.ServiceBus/namespaces/read if az cli is used)
これらの権限により、**攻撃者は次のコマンドを使用して「ローカル認証」を再有効化できる**ため、共有ポリシーからのすべてのキーが機能します。
これらの権限により、**攻撃者は次のコマンドを使用して「ローカル認証」を再有効化できます**。そのため、共有ポリシーからのすべてのキーが機能します。
```bash
az servicebus namespace update --disable-local-auth false -n <namespace-name> --resource-group <res-group>
```
### Send Messages with keys (Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action OR Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action)
`PrimaryConnectionString`を取得できます。これはService Bus名前空間の資格情報として機能します。この接続文字列を使用すると、Service Bus名前空間として完全に認証でき、任意のキューやトピックにメッセージを送信し、システムと相互作用して操作を妨害したり、有効なユーザーを偽装したり、メッセージングワークフローに悪意のあるデータを注入したりする可能性があります。この方法は、`--disable-local-auth`がfalseに設定されている場合に機能します。
`PrimaryConnectionString`を取得できます。これはService Bus名前空間の資格情報として機能します。この接続文字列を使用すると、Service Bus名前空間として完全に認証でき、任意のキューやトピックにメッセージを送信し、システムに対して操作を妨害したり、有効なユーザーを偽装したり、メッセージングワークフローに悪意のあるデータを注入したりする可能性があります。この方法は、`--disable-local-auth`がfalseに設定されている場合に機能します。
```python
import asyncio
from azure.servicebus.aio import ServiceBusClient

4
src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md
View File

@@ -12,7 +12,7 @@ SQL Databaseに関する詳細情報は、以下を確認してください:
### `Microsoft.Sql/servers/read` && `Microsoft.Sql/servers/write`
これらの権限を持つユーザーは、Azure SQLサーバーを更新または作成し、管理者資格情報を含む重要な設定を変更することで特権昇格を行うことができます。この権限により、ユーザーはSQLサーバー管理者パスワードを含むサーバーのプロパティを更新でき、不正アクセスやサーバーの制御を可能にします。また、新しいサーバーを作成することもでき、悪意のある目的のためにシャドウインフラストラクチャを導入する可能性があります。特に「Microsoft Entra Authentication Only」が無効になっている環境では、SQLベースの認証を利用して無制限のアクセスを得ることができるため、これは特に重要です。
これらの権限を持つユーザーは、Azure SQLサーバーを更新または作成し、管理者資格情報を含む重要な設定を変更することで特権昇格を行うことができます。この権限により、ユーザーはSQLサーバー管理者パスワードを含むサーバーのプロパティを更新でき、不正アクセスやサーバーの制御を可能にします。また、新しいサーバーを作成することもでき、悪意のある目的のためにシャドウインフラストラクチャを導入する可能性があります。特に「Microsoft Entra Authentication Only」が無効になっている環境では、SQLベースの認証を利用して無制限のアクセスを得ることができるため、これは特に重要です。
```bash
# Change the server password
az sql server update \
@@ -35,7 +35,7 @@ az sql server update \
--resource-group <resource-group> \
--enable-public-network true
```
さらに、権限を使用して、割り当てられた ID を有効にし、サーバーに接続されたマネージド ID で操作できます。たとえば、ここでは Azure Storage にアクセスできるマネージド ID を使用しています:
さらに、権限を使用して、割り当てられた ID を有効にし、サーバーに添付されたマネージド ID で操作できます。たとえば、ここでは Azure Storage にアクセスできるマネージド ID を使用しています:
```bash
az sql server update \
--name <server-name> \

2
src/pentesting-cloud/azure-security/az-services/az-queue-enum.md
View File

@@ -4,7 +4,7 @@
## 基本情報
Azure Queue Storageは、アプリケーションコンポーネント間のメッセージキューイングのために設計されたMicrosoftのAzureクラウドプラットフォームのサービスであり、**非同期通信とデカップリングを可能にします**。無制限の数のメッセージを保存でき、各メッセージのサイズは最大64 KBです。キューの作成や削除、メッセージの追加、取得、更新、削除、メタデータやアクセスポリシーの管理などの操作をサポートしています。通常、メッセージは先入れ先出しFIFO方式で処理されますが、厳密なFIFOは保証されていません。
Azure Queue Storageは、アプリケーションコンポーネント間のメッセージキューイングのために設計されたMicrosoftのAzureクラウドプラットフォームのサービスであり、**非同期通信とデカップリングを可能にします**。無制限の数のメッセージを保存でき、各メッセージのサイズは最大64 KBでキューの作成や削除、メッセージの追加、取得、更新、削除、メタデータやアクセスポリシーの管理などの操作をサポートしています。通常、メッセージは先入れ先出しFIFO方式で処理されますが、厳密なFIFOは保証されていません。
### 列挙

12
src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md
View File

@@ -32,8 +32,8 @@ https://<namespace>.servicebus.windows.net:443/
- **スケジュール配信**: 将来のタスクのためにメッセージ処理を遅延させます。
- **メッセージ延期**: 準備ができるまでメッセージの取得を延期します。
- **トランザクション**: 操作を原子的な実行にグループ化します。
- **フィルターとアクション**: メッセージをフィルタリングまたは注釈付けるためのルールを適用します。
- **アイドル時の自動削除**: 非アクティブ後にキューを削除します(最小: 5 分)。
- **フィルターとアクション**: メッセージをフィルタリングまたは注釈付けるためのルールを適用します。
- **アイドル時の自動削除**: 非アクティブ後にキューを削除します(最小: 5 分)。
- **重複検出**: 再送信中に重複メッセージを削除します。
- **バッチ削除**: 期限切れまたは不要なメッセージを一括削除します。
@@ -42,18 +42,18 @@ https://<namespace>.servicebus.windows.net:443/
SAS ポリシーは、Azure Service Bus エンティティの名前空間(最も重要なもの)、キュー、およびトピックのアクセス権限を定義します。各ポリシーには次のコンポーネントがあります:
- **権限**: アクセスレベルを指定するためのチェックボックス:
- 管理: エンティティに対する完全な制御を付与し、構成および権限管理を含みます。
- 管理: エンティティに対する完全な制御を付与し、構成権限管理を含みます。
- 送信: エンティティにメッセージを送信することを許可します。
- リスン: エンティティからメッセージを受信することを許可します。
- **プライマリおよびセカンダリキー**: アクセス認証するための安全なトークンを生成するために使用される暗号化キーです。
- **プライマリおよびセカンダリキー**: アクセス認証の安全なトークンを生成するために使用される暗号化キーです。
- **プライマリおよびセカンダリ接続文字列**: エンドポイントとキーを含む事前構成された接続文字列で、アプリケーションでの簡単な使用のために提供されます。
- **SAS ポリシー ARM ID**: プログラムによる識別のためのポリシーへの Azure Resource Manager (ARM) パスです。
名前空間には、すべてのエンティティに影響を与える単一の SAS ポリシーがあることに注意することが重要です。一方、キュートピックは、より詳細な制御のために独自の個別の SAS ポリシーを持つことができます。
名前空間には、すべてのエンティティに影響を与える単一の SAS ポリシーがあることに注意することが重要です。一方、キュートピックは、より詳細な制御のために独自の SAS ポリシーを持つことができます。
### "--disable-local-auth"
--disable-local-auth パラメータは、Service Bus 名前空間に対してローカル認証つまり、Shared Access Signature (SAS) キーを使用すること)が有効かどうかを制御するために使用されます。知っておくべきことは次のとおりです:
--disable-local-auth パラメータは、Service Bus 名前空間に対してローカル認証つまり、Shared Access Signature (SAS) キーを使用すること)が有効かどうかを制御するために使用されます。知っておくべきことは次のとおりです:
- true に設定されている場合: SAS キーを使用したローカル認証が無効になり、Azure Active Directory (Azure AD) 認証が許可されます。
- false に設定されている場合: SASローカル認証と Azure AD 認証の両方が利用可能で、SAS キーを使用して Service Bus リソースにアクセスするための接続文字列を使用できます。

164
src/pentesting-cloud/azure-security/az-services/az-sql.md
View File

@@ -4,150 +4,150 @@
## Azure SQL
Azure SQLは、**Azureクラウド内のSQL Serverデータベースエンジン**を使用する管理された、安全で、インテリジェントな製品のファミリーです。これにより、サーバーの物理的な管理を心配する必要がなく、データの管理に集中できます。
Azure SQLは、**Azureクラウド内のSQL Serverデータベースエンジン**を使用する管理された、安全で、インテリジェントな製品のファミリーです。これにより、サーバーの物理的な管理を心配する必要がなく、データの管理に集中できます。
Azure SQLは、4つの主要な提供物で構成されています
1. **Azure SQL Server**: Azure SQL Serverは、SQL Serverデータベースの展開と管理を簡素化する管理されたリレーショナルデータベースサービスで、組み込みのセキュリティとパフォーマンス機能を備えています。
2. **Azure SQL Database**: これは**完全管理されたデータベースサービス**で、Azureクラウド内に個別のデータベースをホストできます。独自のデータベースパターンを学習し、カスタマイズされた推奨事項と自動調整を提供する組み込みのインテリジェンスを提供します。
3. **Azure SQL Managed Instance**: これは、より大規模な、全体のSQL Serverインスタンススコープの展開向けです。最新のSQL ServerオンプレミスEnterprise Editionデータベースエンジンとのほぼ100%の互換性を提供し、一般的なセキュリティの懸念に対処するネイティブの仮想ネットワークVNet実装を提供し、オンプレミスSQL Server顧客にとって有利なビジネスモデルを提供します。
2. **Azure SQL Database**: これは**完全管理されたデータベースサービス**で、Azureクラウド内に個別のデータベースをホストできます。独自のデータベースパターンを学習し、カスタマイズされた推奨事項と自動調整を提供する組み込みのインテリジェンスを提供します。
3. **Azure SQL Managed Instance**: これは、より大規模な、全体のSQL Serverインスタンススコープの展開向けです。最新のSQL ServerオンプレミスEnterprise Editionデータベースエンジンとのほぼ100%の互換性を提供し、一般的なセキュリティの懸念に対処するネイティブの仮想ネットワークVNet実装を提供し、オンプレミスSQL Server顧客に有利なビジネスモデルを提供します。
4. **Azure SQL Server on Azure VMs**: これはInfrastructure as a ServiceIaaSで、オンプレミスで実行されているサーバーのように、**オペレーティングシステムとSQL Serverインスタンスを制御したい**マイグレーションに最適です。
### Azure SQL Server
Azure SQL Serverは、データ操作にTransact-SQLを使用し、エンタープライズレベルのシステムを処理するために構築されたリレーショナルデータベース管理システムRDBMSです。パフォーマンス、セキュリティ、スケーラビリティ、さまざまなMicrosoftアプリケーションとの統合のための堅牢な機能を提供します。Azure SQLデータベースはこのサーバーに依存しており、これらはこのサーバー上に構築されており、ユーザーがデータベースにアクセスするためのエントリポイントです。
#### Network
#### ネットワーク
**Network Connectivity**: 公開エンドポイントまたはプライベートエンドポイントを介してアクセスを有効にするかどうかを選択します。「No access」を選択した場合、手動で構成されるまでエンドポイントは作成されません:
- No access: エンドポイントは構成されず、手動で設定されるまで受信接続がブロックされます。
- Public endpoint: 公共のインターネットを介して直接接続を許可し、ファイアウォールルールやその他のセキュリティ構成の対象となります。
- Private endpoint: プライベートネットワークへの接続を制限します。
**ネットワーク接続**: 公開エンドポイントまたはプライベートエンドポイントを介してアクセスを有効にするかどうかを選択します。「アクセスなし」を選択した場合、手動で構成されるまでエンドポイントは作成されません:
- アクセスなし: エンドポイントは構成されず、手動で設定されるまで受信接続がブロックされます。
- 公開エンドポイント: 公共のインターネットを介して直接接続を許可し、ファイアウォールルールやその他のセキュリティ構成の対象となります。
- プライベートエンドポイント: プライベートネットワークへの接続を制限します。
**Connection Policy**: クライアントがSQLデータベースサーバーと通信する方法を定義します
- Default: Azure内からのすべてのクライアント接続にリダイレクトポリシーを使用しプライベートエンドポイントを使用しているものを除く、Azure外からの接続にはプロキシポリシーを使用します。
- Proxy: すべてのクライアント接続をAzure SQL Databaseゲートウェイを介してルーティングします。
- Redirect: クライアントはデータベースをホストしているノードに直接接続します。
**接続ポリシー**: クライアントがSQLデータベースサーバーと通信する方法を定義します
- デフォルト: Azure内からのすべてのクライアント接続にリダイレクトポリシーを使用しプライベートエンドポイントを使用しているものを除く、Azure外からの接続にはプロキシポリシーを使用します。
- プロキシ: すべてのクライアント接続をAzure SQL Databaseゲートウェイを介してルーティングします。
- リダイレクト: クライアントはデータベースをホストしているノードに直接接続します。
#### Authentication Methods
#### 認証方法
Azure SQLは、データベースアクセスを保護するためのさまざまな認証方法をサポートしています
- **Microsoft Entra-only authentication**: 中央集権的なアイデンティティ管理とシングルサインオンのためにMicrosoft Entra旧Azure ADを使用します。
- **Both SQL and Microsoft Entra authentication**: 従来のSQL認証Microsoft Entra併用できます。
- **SQL authentication**: SQL Serverのユーザー名とパスワードのみに依存します。
- **Microsoft Entra専用認証**: 中央集権的なアイデンティティ管理とシングルサインオンのためにMicrosoft Entra旧Azure ADを使用します。
- **SQLとMicrosoft Entraの両方の認証**: 従来のSQL認証Microsoft Entra併用できます。
- **SQL認証**: SQL Serverのユーザー名とパスワードのみに依存します。
#### Security features
#### セキュリティ機能
SQLサーバーには**Managed Identities**があります。Managed identities、資格情報を保存することなく、他のAzureサービスと安全に認証することを可能にします。他のサービスにアクセスすることができ、これがシステム割り当てのマネージドアイデンティティであり、他のアイデンティティを持つ他のサービスによってアクセスされるのがユーザー割り当てのマネージドアイデンティティです。SQLがアクセスできるサービスの一部には、Azure Storage Account(V2)、Azure Data Lake Storage Gen2、SQL Server、Oracle、Teradata、MongoDBまたはCosmos DB API for MongoDB、Generic ODBC、Bulk Operations、S3互換オブジェクトストレージがあります。
SQLサーバーには**Managed Identities**があります。Managed Identitiesを使用すると、資格情報を保存することなく、他のAzureサービスと安全に認証できます。これは、システム割り当てのマネージドアイデンティティによって他のサービスにアクセスでき、ユーザー割り当てのマネージドアイデンティティによって他のアイデンティティを持つ他のサービスによってアクセスされす。SQLがアクセスできるサービスには、Azure Storage Account(V2)、Azure Data Lake Storage Gen2、SQL Server、Oracle、Teradata、MongoDBまたはMongoDB用のCosmos DB API、Generic ODBC、Bulk Operations、S3互換オブジェクトストレージがあります。
SQLサーバーが持つ他のセキュリティ機能は次のとおりです
- **Firewall Rules**: ファイアウォールルールは、トラフィックを制限または許可することによってサーバーへのアクセスを制御します。これはデータベース自体の機能でもあります。
- **Transparent Data Encryption (TDE)**: TDEは、データベース、バックアップ、およびログを静止状態で暗号化し、ストレージが侵害されてもデータを保護します。サービス管理キーまたは顧客管理キーで行うことができます。
- **ファイアウォールルール**: ファイアウォールルールは、トラフィックを制限または許可することによってサーバーへのアクセスを制御します。これはデータベース自体の機能でもあります。
- **透過的データ暗号化TDE**: TDEは、データベース、バックアップ、およびログを静止状態で暗号化し、ストレージが侵害されてもデータを保護します。サービス管理キーまたは顧客管理キーで行できます。
- **Microsoft Defender for SQL**: Microsoft Defender for SQLを有効にすると、サーバーの脆弱性評価と高度な脅威保護を提供します。
#### Deployment Models
#### 展開モデル
Azure SQL Databaseは、さまざまなニーズに応じた柔軟な展開オプションをサポートしています
- **Single Database**:
- **シングルデータベース**:
- 専用リソースを持つ完全に孤立したデータベース。
- マイクロサービスや単一のデータソースを必要とするアプリケーションに最適です。
- **Elastic Pool**:
- プール内で複数のデータベースがリソースを共有できます。
- **エラスティックプール**:
- 複数のデータベースがプール内でリソースを共有できます。
- 複数のデータベースにわたる使用パターンが変動するアプリケーションに対してコスト効率が良いです。
### Azure SQL Database
**Azure SQL Database**は、スケーラブルで安全なリレーショナルデータベースソリューションを提供する**完全管理されたデータベースプラットフォームとしてのサービスPaaS**です。最新のSQL Server技術に基づいており、インフラ管理の必要がなく、クラウドベースのアプリケーションに人気の選択肢となっています。
**Azure SQL Database**は、スケーラブルで安全なリレーショナルデータベースソリューションを提供する**完全管理されたデータベースプラットフォームとしてのサービスPaaS**です。最新のSQL Server技術に基づいており、インフラストラクチャ管理の必要がなく、クラウドベースのアプリケーションに人気の選択肢となっています。
#### Key Features
#### 主な機能
- **Always Up-to-Date**: 最新の安定版SQL Serverで実行され、新機能やパッチを自動的に受け取ります。
- **PaaS Capabilities**: 組み込みの高可用性、バックアップ、および更新。
- **Data Flexibility**: リレーショナルデータと非リレーショナルデータグラフ、JSON、空間、XMLをサポートします。
- **常に最新**: 最新の安定版SQL Serverで実行され、新機能やパッチを自動的に受け取ります。
- **PaaS機能**: 組み込みの高可用性、バックアップ、および更新。
- **データの柔軟性**: リレーショナルデータと非リレーショナルデータグラフ、JSON、空間、XMLをサポートします。
#### Network
#### ネットワーク
**Network Connectivity**: 公開エンドポイントまたはプライベートエンドポイントを介してアクセスを有効にするかどうかを選択します。「No access」を選択した場合、手動で構成されるまでエンドポイントは作成されません:
- No access: エンドポイントは構成されず、手動で設定されるまで受信接続がブロックされます。
- Public endpoint: 公共のインターネットを介して直接接続を許可し、ファイアウォールルールやその他のセキュリティ構成の対象となります。
- Private endpoint: プライベートネットワークへの接続を制限します。
**ネットワーク接続**: 公開エンドポイントまたはプライベートエンドポイントを介してアクセスを有効にするかどうかを選択します。「アクセスなし」を選択した場合、手動で構成されるまでエンドポイントは作成されません:
- アクセスなし: エンドポイントは構成されず、手動で設定されるまで受信接続がブロックされます。
- 公開エンドポイント: 公共のインターネットを介して直接接続を許可し、ファイアウォールルールやその他のセキュリティ構成の対象となります。
- プライベートエンドポイント: プライベートネットワークへの接続を制限します。
**Connection Policy**: クライアントがSQLデータベースサーバーと通信する方法を定義します
- Default: Azure内からのすべてのクライアント接続にリダイレクトポリシーを使用しプライベートエンドポイントを使用しているものを除く、Azure外からの接続にはプロキシポリシーを使用します。
- Proxy: すべてのクライアント接続をAzure SQL Databaseゲートウェイを介してルーティングします。
- Redirect: クライアントはデータベースをホストしているノードに直接接続します。
**接続ポリシー**: クライアントがSQLデータベースサーバーと通信する方法を定義します
- デフォルト: Azure内からのすべてのクライアント接続にリダイレクトポリシーを使用しプライベートエンドポイントを使用しているものを除く、Azure外からの接続にはプロキシポリシーを使用します。
- プロキシ: すべてのクライアント接続をAzure SQL Databaseゲートウェイを介してルーティングします。
- リダイレクト: クライアントはデータベースをホストしているノードに直接接続します。
#### Security Features
#### セキュリティ機能
- **Microsoft Defender for SQL**: 有効にすると、脆弱性評価と高度な脅威保護を提供ます。
- **Ledger**: データの整合性を暗号的に検証し、改ざんが検出されることを保証します。
- **Server Identity**: 中央集権的なアクセスを可能にするために、システム割り当ておよびユーザー割り当てのマネージドアイデンティティを使用します。
- **Transparent Data Encryption Key Management**: アプリケーションに変更を加えることなく、静止状態でデータベース、バックアップ、およびログを暗号化します。暗号化は各データベースで有効にでき、データベースレベルで構成されている場合、これらの設定はサーバーレベルの構成を上書きします。
- **Always Encrypted**: データの所有権と管理を分離する高度なデータ保護機能のスイートです。これにより、高い権限を持つ管理者やオペレーターが機密データにアクセスできないことが保証されます。
- **Microsoft Defender for SQL**: 脆弱性評価と高度な脅威保護を提供するために有効にできます。
- **台帳**: データの整合性を暗号的に検証し、改ざんが検出されることを保証します。
- **サーバーアイデンティティ**: 中央集権的なアクセスを可能にするために、システム割り当ておよびユーザー割り当てのマネージドアイデンティティを使用します。
- **透過的データ暗号化キー管理**: アプリケーションに変更を加えることなく、静止状態でデータベース、バックアップ、およびログを暗号化します。暗号化は各データベースで有効にでき、データベースレベルで構成されている場合、これらの設定はサーバーレベルの構成を上書きします。
- **常に暗号化**: データの所有権と管理を分離する高度なデータ保護機能のスイートです。これにより、高い権限を持つ管理者やオペレーターが機密データにアクセスできないことが保証されます。
#### Purchasing Models / Service Tiers
#### 購入モデル / サービスタイア
- **vCore-based**: コンピュート、メモリ、およびストレージを独立して選択します。一般的な目的、高い耐障害性とOLTPアプリ向けのビジネスクリティカル高パフォーマンスで、最大128TBのストレージにスケールアップします。
- **DTU-based**: コンピュート、メモリ、およびI/Oを固定ティアにバンドルします。一般的なタスクに対してバランスの取れたリソースです。
- Standard: 一般的なタスクに対してバランスの取れたリソースです。
- Premium: 要求の厳しいワークロード向けの高パフォーマンスです。
- **vCoreベース**: コンピュート、メモリ、およびストレージを独立して選択します。一般的な目的、高い耐障害性とOLTPアプリ向けのビジネスクリティカル高パフォーマンスで、最大128TBのストレージにスケールアップします。
- **DTUベース**: コンピュート、メモリ、およびI/Oを固定ティアにバンドルします。一般的なタスクに対してバランスの取れたリソースです。
- スタンダード: 一般的なタスクに対してバランスの取れたリソースです。
- プレミアム: 要求の厳しいワークロード向けの高パフォーマンスです。
#### Scalable performance and pools
#### スケーラブルなパフォーマンスとプール
- **Single Databases**: 各データベースは孤立しており、専用のコンピュート、メモリ、およびストレージリソースを持っています。リソースはダウンタイムなしで動的にスケールアップまたはスケールダウンできます1〜128 vCores、32 GB〜4 TBストレージ、最大128 TB
- **Elastic Pools**: プール内で複数のデータベース間でリソースを共有し、効率を最大化し、コストを節約します。リソースはプール全体に対しても動的にスケールできます。
- **Service Tier Flexibility**: 一般的な目的のティアで単一のデータベースから小さく始めます。ニーズが増えるにつれてビジネスクリティカルまたはハイパースケールティアにアップグレードします。
- **Scaling Options**: 動的スケーリングまたはオートスケーリングの代替手段
- **シングルデータベース**: 各データベースは孤立しており、専用のコンピュート、メモリ、およびストレージリソースを持っています。リソースはダウンタイムなしで動的にスケールアップまたはスケールダウンできます1〜128 vCores、32 GB〜4 TBストレージ、最大128 TB
- **エラスティックプール**: 複数のデータベース間でリソースを共有し、効率を最大化し、コストを節約します。リソースはプール全体に対しても動的にスケールできます。
- **サービスティアの柔軟性**: 一般的な目的のティアでシングルデータベースから小さく始めます。ニーズが増えるにつれてビジネスクリティカルまたはハイパースケールティアにアップグレードします。
- **スケーリングオプション**: 動的スケーリングまたはオートスケーリングの代替。
#### Built-In Monitoring & Optimization
#### 組み込みの監視と最適化
- **Query Store**: パフォーマンスの問題を追跡し、リソース消費の上位を特定し、実行可能な推奨事項を提供します。
- **Automatic Tuning**: 自動インデックス作成やクエリプラン修正などの機能を使用して、パフォーマンスを積極的に最適化します。
- **Telemetry Integration**: Azure Monitor、Event Hubs、またはAzure Storageを通じて監視をサポートし、カスタマイズされたインサイトを提供します。
- **クエリストア**: パフォーマンスの問題を追跡し、リソース消費の上位を特定し、実行可能な推奨事項を提供します。
- **自動調整**: 自動インデックス作成やクエリプラン修正などの機能を使用して、パフォーマンスを積極的に最適化します。
- **テレメトリー統合**: Azure Monitor、Event Hubs、またはAzure Storageを介して監視をサポートし、カスタマイズされたインサイトを提供します。
#### Disaster Recovery & Availability
#### 災害復旧と可用性
- **Automatic backups**: SQL Databaseは、データベースのフル、差分、およびトランザクションログのバックアップを自動的に実行します。
- **Point-in-Time Restore**: バックアップ保持期間内の任意の過去の状態にデータベースを復元します。
- **Geo-Redundancy**
- **Failover Groups**: データベースをグループ化して自動的に地域間でフェイルオーバーすることで、災害復旧を簡素化します。
- **自動バックアップ**: SQL Databaseは、データベースのフル、差分、およびトランザクションログのバックアップを自動的に実行します。
- **ポイントインタイムリストア**: バックアップ保持期間内の任意の過去の状態にデータベースを復元します。
- **地理的冗長性**
- **フェイルオーバーグループ**: データベースをグループ化して自動的に地域間でフェイルオーバーすることで、災害復旧を簡素化します。
### Azure SQL Managed Instance
**Azure SQL Managed Instance**は、SQL Serverとのほぼ100%の互換性を提供し、ほとんどの管理タスクアップグレード、パッチ適用、バックアップ、監視を自動的に処理するプラットフォームとしてのサービスPaaSデータベースエンジンです。最小限の変更でオンプレミスのSQL Serverデータベースを移行するためのクラウドソリューションを提供します。
#### Service Tiers
#### サービスタイア
- **General Purpose**: 標準I/Oおよびレイテンシ要件を持つアプリケーション向けのコスト効率の良いオプションです。
- **Business Critical**: 重要なワークロード向けの低I/Oレイテンシを持つ高パフォーマンスオプションです。
- **一般的な目的**: 標準的なI/Oおよびレイテンシ要件を持つアプリケーション向けのコスト効率の良いオプションです。
- **ビジネスクリティカル**: 重要なワークロード向けの低I/Oレイテンシを持つ高パフォーマンスオプションです。
#### Advanced Security Features
#### 高度なセキュリティ機能
* **Threat Protection**: 疑わしい活動やSQLインジェクション攻撃に対する高度な脅威保護アラート。コンプライアンスのためのデータベースイベントを追跡およびログする監査。
* **Access Control**: 中央集権的なアイデンティティ管理のためのMicrosoft Entra認証。行レベルセキュリティと動的データマスキングによる詳細なアクセス制御。
* **Backups**: ポイントインタイム復元機能を持つ自動および手動のバックアップ。
* **脅威保護**: 疑わしい活動やSQLインジェクション攻撃に対する高度な脅威保護アラート。コンプライアンスのためのデータベースイベントを追跡およびログする監査。
* **アクセス制御**: 中央集権的なアイデンティティ管理のためのMicrosoft Entra認証。行レベルセキュリティと動的データマスキングによる詳細なアクセス制御。
* **バックアップ**: ポイントインタイムリストア機能を持つ自動および手動のバックアップ。
### Azure SQL Virtual Machines
**Azure SQL Virtual Machines**は、**オペレーティングシステムとSQL Serverインスタンスを制御したい**マイグレーションに最適です。異なるマシンサイズと幅広いSQL Serverバージョンおよびエディションを持つことができます。
**Azure SQL Virtual Machines**は、オンプレミスで実行されているサーバーのように、**オペレーティングシステムとSQL Serverインスタンスを制御したい**マイグレーションに最適です。さまざまなマシンサイズと幅広いSQL Serverバージョンおよびエディションを持つことができます。
#### Key Features
#### 主な機能
**Automated Backup**: SQLデータベースのバックアップをスケジュールします。
**Automatic Patching**: メンテナンスウィンドウ中にWindowsおよびSQL Serverの更新を自動的にインストールします。
**Azure Key Vault Integration**: SQL Server VMのためにKey Vaultを自動的に構成します。
**Defender for Cloud Integration**: ポータルでSQLの推奨事項を表示します。
**Version/Edition Flexibility**: VMを再展開することなくSQL Serverのバージョンまたはエディションのメタデータを変更します。
**自動バックアップ**: SQLデータベースのバックアップをスケジュールします。
**自動パッチ適用**: メンテナンスウィンドウ中にWindowsおよびSQL Serverの更新を自動的にインストールします。
**Azure Key Vault統合**: SQL Server VMのためにKey Vaultを自動的に構成します。
**Defender for Cloud統合**: ポータルでDefender for SQLの推奨事項を表示します。
**バージョン/エディションの柔軟性**: VMを再展開することなくSQL Serverのバージョンまたはエディションのメタデータを変更します。
#### Security Features
#### セキュリティ機能
**Microsoft Defender for SQL**: セキュリティインサイトとアラート。
**Azure Key Vault Integration**: 資格情報と暗号化キーの安全な保管。
**Microsoft Entra (Azure AD)**: 認証とアクセス制御。
**Azure Key Vault統合**: 資格情報と暗号化キーの安全な保管。
**Microsoft EntraAzure AD**: 認証とアクセス制御。
## Enumeration
## 列挙
{{#tabs}}
{{#tab name="az cli"}}
@@ -298,7 +298,7 @@ sqlcmd -S <sql-server>.database.windows.net -U <server-user> -P <server-passwork
../az-privilege-escalation/az-sql-privesc.md
{{#endref}}
## ポストエクスプロイ
## ポストエクスプロイテーション
{{#ref}}
../az-post-exploitation/az-sql-post-exploitation.md

8
src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md
View File

@@ -19,12 +19,12 @@ Google Cloud Compute Instancesは、**Googleのクラウドインフラストラ
- ディスクの**サイズ**を選択
- **OS**を選択
- インスタンスが削除されたときに**ディスクを削除する**かどうかを指定
- **暗号化****デフォルト**で**Google管理キー**が使用されますが、**KMSからキーを選択**するか、**使用する生のキーを指定**することもできます。
- **暗号化****デフォルト**で**Google管理キー**が使用されますが、KMSから**キーを選択**するか、**使用する生のキー**を指定することもできます。
### コンテナのデプロイ
仮想マシン内に**コンテナ**をデプロイすることが可能です。\
使用する**イメージ**を設定し、内部で実行する**コマンド**、**引数**、**ボリューム**をマウントし、**環境変数**(機密情報?)を設定し、このコンテナのために**特権**として実行する、標準入力および擬似TTYなどのいくつかのオプションを構成できます。
使用する**イメージ**を設定し、内部で実行する**コマンド**、**引数**、**ボリューム**をマウントし、**環境変数**(機密情報?)を設定し、このコンテナのために**特権**として実行する、stdinおよび擬似TTYなどのいくつかのオプションを構成できます。
### サービスアカウント
@@ -40,7 +40,7 @@ Google Cloud Compute Instancesは、**Googleのクラウドインフラストラ
- [https://www.googleapis.com/auth/service.management.readonly](https://www.googleapis.com/auth/service.management.readonly)
- [https://www.googleapis.com/auth/trace.append](https://www.googleapis.com/auth/trace.append)
ただし、**クリックで`cloud-platform`を付与**するか、**カスタムのものを指定**することも可能です。
ただし、**クリック一つ`cloud-platform`を付与**するか、**カスタムのものを指定**することも可能です。
<figure><img src="../../../../images/image (327).png" alt=""><figcaption></figcaption></figure>
@@ -68,7 +68,7 @@ HTTPおよびHTTPSトラフィックを許可することが可能です。
VMへのアクセスを有効にする一般的な方法は、**特定のSSH公開鍵**をVMにアクセスできるようにすることです。\
ただし、**IAMを使用して`os-config`サービス経由でVMへのアクセスを有効にする**ことも可能です。さらに、このサービスを使用してVMへのアクセスに2FAを有効にすることも可能です。\
この**サービス**が**有効**になっていると、**SSHキーによるアクセスは無効**になります。
この**サービス**が**有効**になると、**SSHキーによるアクセスは無効**になります。
<figure><img src="../../../../images/image (328).png" alt=""><figcaption></figcaption></figure>