gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-26 20:54:14 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-sql.md']

Browse Source
This commit is contained in:
Translator
2025-03-21 09:00:24 +00:00
parent 6ee66d5642
commit 5b6cfd3d2a
1 changed files with 14 additions and 14 deletions
Download Patch File Download Diff File Expand all files Collapse all files

28
src/pentesting-cloud/azure-security/az-services/az-sql.md
View File

@@ -4,7 +4,7 @@
## Azure SQL
Azure SQL is 'n familie van bestuurde, veilige en intelligente produkte wat die **SQL Server-databasis enjin in die Azure-wolk** gebruik. Dit beteken jy hoef nie bekommerd te wees oor die fisiese administrasie van jou bedieners nie, en jy kan fokus op die bestuur van jou data.
Azure SQL is 'n familie van bestuurde, veilige en intelligente produkte wat die **SQL Server-databasisengine in die Azure-wolk** gebruik. Dit beteken jy hoef nie bekommerd te wees oor die fisiese administrasie van jou bedieners nie, en jy kan fokus op die bestuur van jou data.
Azure SQL bestaan uit vier hoofaanbiedinge:
@@ -26,23 +26,23 @@ Azure SQL bestaan uit vier hoofaanbiedinge:
- Microsoft **Entra-slegs** verifikasie: Jy moet die Entra-principals aandui wat toegang tot die diens sal hê.
- **Sowel SQL as Microsoft Entra** verifikasie: Tradisionele SQL-verifikasie met gebruikersnaam en wagwoord saam met Microsoft Entra.
- **Slegs SQL** verifikasie: Laat slegs toegang toe via databasisgebruikers.
- **Slegs SQL** verifikasie: Toegang slegs toelaat via databasisgebruikers.
Let daarop dat as enige SQL-verifikasie toegelaat word, 'n admin-gebruiker (gebruikersnaam + wagwoord) aangedui moet word, en as Entra ID-verifikasie gekies word, moet daar ook ten minste een principal met admin-toegang aangedui word.
**Enkripsie:**
- Dit word "Deursigtige data-enkripsie" genoem en dit enkripteer databasisse, rugsteun en logs in rus.
- Soos altyd, 'n Azure bestuurde sleutel word standaard gebruik, maar 'n klnt bestuurde enkripsiesleutel (CMEK) kan ook gebruik word.
- Soos altyd, 'n Azure bestuurde sleutel word standaard gebruik, maar 'n klant bestuurde enkripsiesleutel (CMEK) kan ook gebruik word.
**Bestuurde Identiteite:**
- Dit is moontlik om stelsel- en gebruikersbestuurde MI's toe te ken.
- Gebruik om toegang tot die enkripsiesleutel te verkry (as 'n CMEK gebruik word) en ander dienste van die databasisse.
- Vir sommige voorbeelde van die Azure-dienste wat vanaf die databasis toegang verkry kan word, kyk na [hierdie bladsy van die dokumentasie](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-external-data-source-transact-sql)
- Dit is moontlik om stelsel- en gebruiker bestuurde MI's toe te ken.
- Gebruik om toegang tot die enkripsiesleutel te verkry (is 'n CMEK gebruik) en ander dienste van die databasisse.
- Vir 'n paar voorbeelde van die Azure-dienste wat vanaf die databasis toeganklik is, kyk [hierdie bladsy van die dokumentasie](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-external-data-source-transact-sql)
- As meer as een UMI toegeken word, is dit moontlik om die standaard een aan te dui wat gebruik moet word.
- Dit is moontlik om 'n gefedereerde kliëntidentiteit vir kruis-huurder toegang te konfigureer.
- Dit is moontlik om 'n gefedereerde kliëntidentiteit vir kruis-tenant toegang te konfigureer.
Sommige opdragte om inligting binne 'n blob-stoor vanaf 'n SQL-databasis te bekom:
Sommige opdragte om inligting binne 'n blob-stoor vanaf 'n SQL-databasis te verkry:
```sql
-- Create a credential for the managed identity
CREATE DATABASE SCOPED CREDENTIAL [ManagedIdentityCredential]
@@ -95,7 +95,7 @@ Om 'n SQL-databasis te skep, is dit nodig om die SQL-server aan te dui waar dit
- Rugsteun
-
- **Data redundansie:** Opsies is plaaslik, sone, Geo of Geo-Zone redundante.
- **Ledger:** Dit verifieer die integriteit van data cryptografies, wat verseker dat enige vervalsing opgespoor word. Nuttig vir finansiële, mediese en enige organisasie wat sensitiewe data bestuur.
- **Ledger:** Dit verifieer die integriteit van data kriptografies, wat verseker dat enige vervalsing opgespoor word. Nuttig vir finansiële, mediese en enige organisasie wat sensitiewe data bestuur.
'n SQL-databasis kan deel wees van 'n **elastiese Poel**. Elastiese poele is 'n kostedoeltreffende oplossing vir die bestuur van verskeie databasisse deur konfigureerbare rekenaar (eDTUs) en stoorhulpbronne onder hulle te deel, met prysbepaling wat slegs gebaseer is op die hulpbronne wat toegeken is eerder as die aantal databasisse.
@@ -103,20 +103,20 @@ Om 'n SQL-databasis te skep, is dit nodig om die SQL-server aan te dui waar dit
**Azure SQL se dinamiese** datamaskering is 'n kenmerk wat help om **sensitiewe inligting te beskerm deur dit** van ongemagtigde gebruikers te verberg. In plaas daarvan om die werklike data te verander, maskere dit dinamies die vertoonde data, wat verseker dat sensitiewe besonderhede soos kredietkaartnommers verborge is.
Die **Dinamiese Data Maskering** geld vir alle gebruikers behalwe diegene wat nie gemasker is nie (hierdie gebruikers moet aangedui word) en administrateurs. Dit het die konfigurasieopsie wat spesifiseer watter SQL-gebruikers vrygestel is van dinamiese datamaskering, met **administrateurs altyd uitgesluit**.
Die **Dinamiese Datamaskering** raak alle gebruikers behalwe diegene wat nie gemasker is nie (hierdie gebruikers moet aangedui word) en administrateurs. Dit het die konfigurasieopsie wat spesifiseer watter SQL-gebruikers vrygestel is van dinamiese datamaskering, met **administrateurs altyd uitgesluit**.
**Azure SQL Ryvlak Sekuriteit (RLS)** is 'n kenmerk wat **beheer watter rye 'n gebruiker kan sien of wysig**, wat verseker dat elke gebruiker slegs die data sien wat relevant is vir hulle. Deur sekuriteitsbeleide met filter of blokpredikate te skep, kan organisasies fyngegradeerde toegang op databasisvlak afdwing.
**Azure SQL Ryvlak Sekuriteit (RLS)** is 'n kenmerk wat **beheer watter rye 'n gebruiker kan sien of wysig**, wat verseker dat elke gebruiker slegs die data sien wat relevant is vir hulle. Deur sekuriteitsbeleide met filter of blokpredikate te skep, kan organisasies fyngeweefde toegang op databasisvlak afdwing.
### Azure SQL Bestuurde Instansie
**Azure SQL Bestuurde Instansies** is vir groter skaal, hele SQL Server instansie-geskepte ontplooiings. Dit bied byna 100% kompatibiliteit met die nuutste SQL Server op-premises (Enterprise Edition) Databasis-enjin, wat 'n inheemse virtuele netwerk (VNet) implementering bied wat algemene sekuriteitskwessies aanspreek, en 'n besigheidsmodel wat gunstig is vir op-premises SQL Server kliënte.
**Azure SQL Bestuurde Instansies** is vir groter skaal, hele SQL Server instansie-geskepte ontplooiings. Dit bied byna 100% kompatibiliteit met die nuutste SQL Server op-premises (Enterprise Edition) Databasis Enjin, wat 'n inheemse virtuele netwerk (VNet) implementering bied wat algemene sekuriteitskwessies aanspreek, en 'n besigheidsmodel wat gunstig is vir op-premises SQL Server kliënte.
### Azure SQL Virtuele Masjiene
**Azure SQL Virtuele Masjiene** laat jou toe om die **bedryfstelsel** en die SQL Server instansie te **beheer**, aangesien 'n VM in die VM-diens wat die SQL-server draai, geskep sal word.
Wanneer 'n SQL Virtuele Masjien geskep word, is dit moontlik om **alle instellings van die VM te kies** (soos in die VM-les gewys) wat die SQL-server sal huisves.
- Dit beteken dat die VM toegang tot sommige VNet(te) sal hê, mag **Bestuurde Identiteite aan dit geheg wees**, en kan lêerdeelings gemonteer hê… wat 'n **pivoting van die SQL** na die VM baie interessant maak.
- Dit beteken dat die VM toegang tot sommige VNet(te) sal hê, moontlik **Bestuurde Identiteite aan dit geheg** kan hê, en lêerdeelings gemonteer kan hê… wat 'n **pivoting van die SQL** na die VM baie interessant maak.
- Boonop is dit moontlik om 'n app-id en geheim te konfigureer om **die SQL toegang tot 'n spesifieke sleutelkluis te laat hê**, wat sensitiewe inligting kan bevat.
Dit is ook moontlik om dinge soos **outomatiese SQL-opdaterings**, **outomatiese rugsteun**, **Entra ID-verifikasie** en die meeste van die kenmerke van die ander SQL-dienste te konfigureer.
@@ -209,7 +209,7 @@ az rest --method get \
# Get DataMaskingPolicies of a database
az rest --method get \
--uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Sql/servers/getstorageserver/databases/masktest/dataMaskingPolicies/Default?api-version=2021-11-01"
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/dataMaskingPolicies/Default?api-version=2021-11-01"
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/dataMaskingPolicies/Default/rules?api-version=2021-11-01"