mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2026-02-04 19:11:41 -08:00
Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza
This commit is contained in:
Translator
@@ -4,7 +4,7 @@
|
||||
|
||||
## SQS
|
||||
|
||||
O Amazon Simple Queue Service (SQS) é apresentado como um **serviço de enfileiramento de mensagens totalmente gerenciado**. Sua função principal é ajudar na escalabilidade e desacoplamento de microsserviços, sistemas distribuídos e aplicações sem servidor. O serviço é projetado para eliminar a necessidade de gerenciar e operar middleware orientado a mensagens, que pode ser frequentemente complexo e intensivo em recursos. Essa eliminação da complexidade permite que os desenvolvedores direcionem seus esforços para aspectos mais inovadores e diferenciadores de seu trabalho.
|
||||
Amazon Simple Queue Service (SQS) é apresentado como um **serviço de enfileiramento de mensagens totalmente gerenciado**. Sua função principal é ajudar na escalabilidade e desacoplamento de microsserviços, sistemas distribuídos e aplicações sem servidor. O serviço é projetado para eliminar a necessidade de gerenciar e operar middleware orientado a mensagens, que pode ser frequentemente complexo e intensivo em recursos. Essa eliminação da complexidade permite que os desenvolvedores direcionem seus esforços para aspectos mais inovadores e diferenciadores de seu trabalho.
|
||||
|
||||
### Enumeration
|
||||
```bash
|
||||
|
||||
@@ -26,7 +26,7 @@ az storage message get --queue-name <queue_name> --account-name <storage_account
|
||||
```
|
||||
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action`
|
||||
|
||||
Com esta permissão, um atacante pode adicionar novas mensagens a uma Azure Storage Queue. Isso permite que eles injetem dados maliciosos ou não autorizados na fila, potencialmente acionando ações não intencionais ou interrompendo serviços subsequentes que processam as mensagens.
|
||||
Com essa permissão, um atacante pode adicionar novas mensagens a uma Azure Storage Queue. Isso permite que eles injetem dados maliciosos ou não autorizados na fila, potencialmente acionando ações não intencionais ou interrompendo serviços subsequentes que processam as mensagens.
|
||||
```bash
|
||||
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
|
||||
```
|
||||
|
||||
@@ -18,13 +18,13 @@ az servicebus namespace delete --resource-group <ResourceGroupName> --name <Name
|
||||
```
|
||||
### Ações: `Microsoft.ServiceBus/namespaces/topics/Delete`
|
||||
|
||||
Um atacante com esta permissão pode excluir um tópico do Azure Service Bus. Esta ação remove o tópico e todas as suas assinaturas e mensagens associadas, potencialmente causando perda de dados críticos e interrompendo sistemas e fluxos de trabalho que dependem do tópico.
|
||||
Um atacante com essa permissão pode excluir um tópico do Azure Service Bus. Essa ação remove o tópico e todas as suas assinaturas e mensagens associadas, potencialmente causando perda de dados críticos e interrompendo sistemas e fluxos de trabalho que dependem do tópico.
|
||||
```bash
|
||||
az servicebus topic delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
|
||||
```
|
||||
### Ações: `Microsoft.ServiceBus/namespaces/queues/Delete`
|
||||
|
||||
Um atacante com essa permissão pode excluir uma fila do Azure Service Bus. Essa ação remove a fila e todas as mensagens dentro dela, potencialmente causando perda de dados críticos e interrompendo sistemas e fluxos de trabalho dependentes da fila.
|
||||
Um atacante com esta permissão pode excluir uma fila do Azure Service Bus. Esta ação remove a fila e todas as mensagens dentro dela, potencialmente causando perda de dados críticos e interrompendo sistemas e fluxos de trabalho dependentes da fila.
|
||||
```bash
|
||||
az servicebus queue delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
|
||||
```
|
||||
|
||||
@@ -1,10 +1,10 @@
|
||||
# Az - SQL Database Pós-Exploração
|
||||
# Az - SQL Database Post Exploitation
|
||||
|
||||
{{#include ../../../banners/hacktricks-training.md}}
|
||||
|
||||
## Pós-Exploração de Banco de Dados SQL
|
||||
## SQL Database Post Exploitation
|
||||
|
||||
Para mais informações sobre Banco de Dados SQL, consulte:
|
||||
Para mais informações sobre SQL Database, consulte:
|
||||
|
||||
{{#ref}}
|
||||
../az-services/az-sql.md
|
||||
@@ -63,7 +63,7 @@ az sql server audit-policy update \
|
||||
```
|
||||
### `Microsoft.Sql/locations/connectionPoliciesAzureAsyncOperation/read`, `Microsoft.Sql/servers/connectionPolicies/read` && `Microsoft.Sql/servers/connectionPolicies/write`
|
||||
|
||||
Com esta permissão, você pode modificar as políticas de conexão de um Azure SQL Server. Essa capacidade pode ser explorada para habilitar ou alterar as configurações de conexão em nível de servidor.
|
||||
Com esta permissão, você pode modificar as políticas de conexão de um Azure SQL Server. Essa capacidade pode ser explorada para habilitar ou alterar configurações de conexão em nível de servidor.
|
||||
```bash
|
||||
az sql server connection-policy update \
|
||||
--server <server_name> \
|
||||
@@ -117,7 +117,7 @@ az sql server key create \
|
||||
```
|
||||
### `Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action`, `Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read`, `Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read`
|
||||
|
||||
Esta permissão permite desabilitar o Ledger Digest para um Banco de Dados Azure SQL, o que interrompe o upload periódico de registros de digestão criptográfica para o Azure Blob Storage que verifica a integridade dos dados.
|
||||
Esta permissão permite desativar o Ledger Digest para um Banco de Dados Azure SQL, o que interrompe o upload periódico de registros de digestão criptográfica para o Azure Blob Storage que verifica a integridade dos dados.
|
||||
```bash
|
||||
az sql db ledger-digest-uploads disable \
|
||||
--name ledgerDB \
|
||||
|
||||
@@ -12,7 +12,7 @@ Para mais informações, consulte:
|
||||
|
||||
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`
|
||||
|
||||
Um atacante com esta permissão pode visualizar mensagens de uma Azure Storage Queue. Isso permite que o atacante veja o conteúdo das mensagens sem marcá-las como processadas ou alterar seu estado. Isso pode levar ao acesso não autorizado a informações sensíveis, possibilitando a exfiltração de dados ou a coleta de inteligência para ataques futuros.
|
||||
Um atacante com esta permissão pode visualizar mensagens de uma Azure Storage Queue. Isso permite que o atacante veja o conteúdo das mensagens sem marcá-las como processadas ou alterar seu estado. Isso pode levar ao acesso não autorizado a informações sensíveis, permitindo a exfiltração de dados ou a coleta de inteligência para ataques futuros.
|
||||
```bash
|
||||
az storage message peek --queue-name <queue_name> --account-name <storage_account>
|
||||
```
|
||||
|
||||
@@ -31,7 +31,7 @@ az servicebus namespace authorization-rule create --authorization-rule-name "myR
|
||||
>[!WARNING]
|
||||
>Este comando não responde com as chaves, então você precisa obtê-las com os comandos (e permissões) anteriores para escalar privilégios.
|
||||
|
||||
Além disso, com esse comando (e `Microsoft.ServiceBus/namespaces/authorizationRules/read`) se você executar esta ação através do Azure CLI, é possível atualizar uma regra de autorização existente e conceder mais permissões (caso estivesse faltando algumas) com o seguinte comando:
|
||||
Além disso, com esse comando (e `Microsoft.ServiceBus/namespaces/authorizationRules/read`) se você executar esta ação através da Azure CLI, é possível atualizar uma regra de autorização existente e conceder mais permissões (caso estivesse faltando algumas) com o seguinte comando:
|
||||
```bash
|
||||
az servicebus namespace authorization-rule update \
|
||||
--resource-group <MyResourceGroup> \
|
||||
@@ -68,7 +68,7 @@ az servicebus queue authorization-rule create --resource-group <res-group> --nam
|
||||
>[!WARNING]
|
||||
>Este comando não responde com as chaves, então você precisa obtê-las com os comandos (e permissões) anteriores para escalar privilégios.
|
||||
|
||||
Além disso, com esse comando (e `Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/read`) se você realizar esta ação através do Azure CLI, é possível atualizar uma regra de autorização existente e conceder mais permissões (caso estivesse faltando alguma) com o seguinte comando:
|
||||
Além disso, com esse comando (e `Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/read`) se você realizar esta ação através do Azure CLI, é possível atualizar uma regra de autorização existente e conceder mais permissões (caso estivesse faltando algumas) com o seguinte comando:
|
||||
```bash
|
||||
# In a topic
|
||||
az servicebus topic authorization-rule update --resource-group <res-group> --namespace-name <namespace-name> --topic-name <topic-name> --name <auth-rule-name> --rights Manage Listen Send
|
||||
@@ -101,7 +101,7 @@ print("Sent message")
|
||||
|
||||
asyncio.run(send_message())
|
||||
```
|
||||
Além disso, você pode enviar mensagens com az rest; neste caso, você precisa gerar um token sas para usar.
|
||||
Além disso, você pode enviar mensagens com az rest; neste caso, você precisa gerar um token SAS para usar.
|
||||
```python
|
||||
import time, urllib.parse, hmac, hashlib, base64
|
||||
|
||||
@@ -162,7 +162,7 @@ await receiver.complete_message(msg)
|
||||
asyncio.run(receive())
|
||||
print("Done receiving messages")
|
||||
```
|
||||
Além disso, você pode enviar mensagens com az rest; neste caso, você precisa gerar um token SAS para usar.
|
||||
Além disso, você pode enviar mensagens com az rest; neste caso, você precisa gerar um token sas para usar.
|
||||
```python
|
||||
import time, urllib.parse, hmac, hashlib, base64
|
||||
|
||||
|
||||
@@ -28,7 +28,7 @@ az sql server create \
|
||||
--admin-user <admin_username> \
|
||||
--admin-password <admin_passwor d>
|
||||
```
|
||||
Além disso, é necessário ter o acesso público habilitado se você quiser acessar a partir de um endpoint não privado. Para habilitá-lo:
|
||||
Além disso, é necessário ter o acesso público habilitado se você quiser acessar a partir de um endpoint não privado, para habilitá-lo:
|
||||
```bash
|
||||
az sql server update \
|
||||
--name <server-name> \
|
||||
|
||||
@@ -4,7 +4,7 @@
|
||||
|
||||
## Informações Básicas
|
||||
|
||||
Azure Queue Storage é um serviço na plataforma de nuvem Azure da Microsoft projetado para enfileiramento de mensagens entre componentes de aplicação, **permitindo comunicação assíncrona e desacoplamento**. Ele permite que você armazene um número ilimitado de mensagens, cada uma com até 64 KB de tamanho, e suporta operações como criar e excluir filas, adicionar, recuperar, atualizar e excluir mensagens, além de gerenciar metadados e políticas de acesso. Embora normalmente processe mensagens em uma ordem de primeiro a entrar, primeiro a sair (FIFO), a FIFO estrita não é garantida.
|
||||
Azure Queue Storage é um serviço na plataforma de nuvem Azure da Microsoft projetado para enfileiramento de mensagens entre componentes de aplicação, **permitindo comunicação assíncrona e desacoplamento**. Ele permite que você armazene um número ilimitado de mensagens, cada uma com até 64 KB de tamanho, e suporta operações como criar e excluir filas, adicionar, recuperar, atualizar e excluir mensagens, além de gerenciar metadados e políticas de acesso. Embora normalmente processe mensagens de maneira FIFO (primeiro a entrar, primeiro a sair), a FIFO estrita não é garantida.
|
||||
|
||||
### Enumeração
|
||||
|
||||
|
||||
@@ -18,7 +18,7 @@ Azure Service Bus é um **serviço de mensagens** baseado em nuvem projetado par
|
||||
- As assinaturas podem ter regras/filtros para controlar a entrega ou adicionar metadados.
|
||||
- Suporta comunicação muitos-para-muitos.
|
||||
|
||||
A string de conexão/ponto de extremidade do service bus é:
|
||||
A string de conexão/ponto final do service bus é:
|
||||
```bash
|
||||
https://<namespace>.servicebus.windows.net:443/
|
||||
```
|
||||
@@ -55,8 +55,8 @@ As Políticas SAS definem as permissões de acesso para entidades do Azure Servi
|
||||
|
||||
O parâmetro --disable-local-auth é usado para controlar se a autenticação local (ou seja, usando chaves de Shared Access Signature (SAS)) está habilitada para seu namespace do Service Bus. Aqui está o que você precisa saber:
|
||||
|
||||
- Quando definido como true: A autenticação local usando chaves SAS é desativada e a autenticação do Azure Active Directory (Azure AD) é permitida.
|
||||
- Quando definido como false: Tanto a autenticação SAS (local) quanto a autenticação do Azure AD estão disponíveis e você pode usar strings de conexão com chaves SAS para acessar seus recursos do Service Bus.
|
||||
- Quando definido como verdadeiro: A autenticação local usando chaves SAS é desativada e a autenticação do Azure Active Directory (Azure AD) é permitida.
|
||||
- Quando definido como falso: Tanto a autenticação SAS (local) quanto a autenticação do Azure AD estão disponíveis e você pode usar strings de conexão com chaves SAS para acessar seus recursos do Service Bus.
|
||||
|
||||
### Enumeração
|
||||
|
||||
|
||||
@@ -10,7 +10,7 @@ Azure SQL consiste em quatro ofertas principais:
|
||||
|
||||
1. **Azure SQL Server**: Azure SQL Server é um serviço de banco de dados relacional gerenciado que simplifica a implantação e o gerenciamento de bancos de dados SQL Server, com recursos de segurança e desempenho integrados.
|
||||
2. **Azure SQL Database**: Este é um **serviço de banco de dados totalmente gerenciado**, que permite hospedar bancos de dados individuais na nuvem Azure. Oferece inteligência integrada que aprende seus padrões únicos de banco de dados e fornece recomendações personalizadas e ajuste automático.
|
||||
3. **Azure SQL Managed Instance**: Este é para implantações em maior escala, com toda a instância do SQL Server. Ele fornece quase 100% de compatibilidade com o mais recente motor de banco de dados SQL Server local (Edição Enterprise), que oferece uma implementação nativa de rede virtual (VNet) que aborda preocupações comuns de segurança, e um modelo de negócios favorável para clientes do SQL Server local.
|
||||
3. **Azure SQL Managed Instance**: Este é para implantações em maior escala, abrangendo toda a instância do SQL Server. Ele fornece quase 100% de compatibilidade com o mais recente motor de banco de dados SQL Server local (Edição Enterprise), que oferece uma implementação nativa de rede virtual (VNet) que aborda preocupações comuns de segurança, e um modelo de negócios favorável para clientes do SQL Server local.
|
||||
4. **Azure SQL Server em VMs Azure**: Este é Infraestrutura como Serviço (IaaS) e é melhor para migrações onde você deseja **controle sobre o sistema operacional e a instância do SQL Server**, como se fosse um servidor rodando localmente.
|
||||
|
||||
### Azure SQL Server
|
||||
@@ -19,13 +19,13 @@ Azure SQL Server é um sistema de gerenciamento de banco de dados relacional (RD
|
||||
|
||||
#### Rede
|
||||
|
||||
**Conectividade de Rede**: Escolha se deseja habilitar o acesso via ponto de extremidade público ou ponto de extremidade privado. Se você selecionar Sem acesso, nenhum ponto de extremidade é criado até que seja configurado manualmente:
|
||||
- Sem acesso: Nenhum ponto de extremidade é configurado, bloqueando conexões de entrada até que seja configurado manualmente.
|
||||
- Ponto de extremidade público: Permite conexões diretas pela internet pública, sujeitas a regras de firewall e outras configurações de segurança.
|
||||
- Ponto de extremidade privado: Restringe a conectividade a uma rede privada.
|
||||
**Conectividade de Rede**: Escolha se deseja habilitar o acesso via endpoint público ou endpoint privado. Se você selecionar Sem acesso, nenhum endpoint é criado até que seja configurado manualmente:
|
||||
- Sem acesso: Nenhum endpoint é configurado, bloqueando conexões de entrada até que seja configurado manualmente.
|
||||
- Endpoint público: Permite conexões diretas pela internet pública, sujeitas a regras de firewall e outras configurações de segurança.
|
||||
- Endpoint privado: Restringe a conectividade a uma rede privada.
|
||||
|
||||
**Política de Conexão**: Defina como os clientes se comunicam com o servidor de banco de dados SQL:
|
||||
- Padrão: Usa uma política de Redirecionamento para todas as conexões de clientes de dentro do Azure (exceto aquelas usando Pontos de Extremidade Privados) e uma política de Proxy para conexões de fora do Azure.
|
||||
- Padrão: Usa uma política de Redirecionamento para todas as conexões de clientes de dentro do Azure (exceto aquelas usando Endpoints Privados) e uma política de Proxy para conexões de fora do Azure.
|
||||
- Proxy: Roteia todas as conexões de clientes através do gateway do Azure SQL Database.
|
||||
- Redirecionar: Os clientes se conectam diretamente ao nó que hospeda o banco de dados.
|
||||
|
||||
@@ -42,7 +42,7 @@ Os servidores SQL têm **Identidades Gerenciadas**. As identidades gerenciadas p
|
||||
|
||||
Outros recursos de segurança que o servidor SQL possui são:
|
||||
|
||||
- **Regras de Firewall**: As regras de firewall controlam o acesso ao seu servidor restringindo ou permitindo tráfego. Este é um recurso dos próprios bancos de dados também.
|
||||
- **Regras de Firewall**: As regras de firewall controlam o acesso ao seu servidor restringindo ou permitindo tráfego. Este é um recurso do próprio banco de dados também.
|
||||
- **Criptografia de Dados Transparente (TDE)**: TDE criptografa seus bancos de dados, backups e logs em repouso para proteger seus dados mesmo que o armazenamento seja comprometido. Pode ser feito com uma chave gerenciada pelo serviço ou uma chave gerenciada pelo cliente.
|
||||
- **Microsoft Defender para SQL**: O Microsoft Defender para SQL pode ser habilitado oferecendo avaliações de vulnerabilidade e proteção avançada contra ameaças para um servidor.
|
||||
|
||||
@@ -69,13 +69,13 @@ O Azure SQL Database suporta opções de implantação flexíveis para atender a
|
||||
|
||||
#### Rede
|
||||
|
||||
**Conectividade de Rede**: Escolha se deseja habilitar o acesso via ponto de extremidade público ou ponto de extremidade privado. Se você selecionar Sem acesso, nenhum ponto de extremidade é criado até que seja configurado manualmente:
|
||||
- Sem acesso: Nenhum ponto de extremidade é configurado, bloqueando conexões de entrada até que seja configurado manualmente.
|
||||
- Ponto de extremidade público: Permite conexões diretas pela internet pública, sujeitas a regras de firewall e outras configurações de segurança.
|
||||
- Ponto de extremidade privado: Restringe a conectividade a uma rede privada.
|
||||
**Conectividade de Rede**: Escolha se deseja habilitar o acesso via endpoint público ou endpoint privado. Se você selecionar Sem acesso, nenhum endpoint é criado até que seja configurado manualmente:
|
||||
- Sem acesso: Nenhum endpoint é configurado, bloqueando conexões de entrada até que seja configurado manualmente.
|
||||
- Endpoint público: Permite conexões diretas pela internet pública, sujeitas a regras de firewall e outras configurações de segurança.
|
||||
- Endpoint privado: Restringe a conectividade a uma rede privada.
|
||||
|
||||
**Política de Conexão**: Defina como os clientes se comunicam com o servidor de banco de dados SQL:
|
||||
- Padrão: Usa uma política de Redirecionamento para todas as conexões de clientes de dentro do Azure (exceto aquelas usando Pontos de Extremidade Privados) e uma política de Proxy para conexões de fora do Azure.
|
||||
- Padrão: Usa uma política de Redirecionamento para todas as conexões de clientes de dentro do Azure (exceto aquelas usando Endpoints Privados) e uma política de Proxy para conexões de fora do Azure.
|
||||
- Proxy: Roteia todas as conexões de clientes através do gateway do Azure SQL Database.
|
||||
- Redirecionar: Os clientes se conectam diretamente ao nó que hospeda o banco de dados.
|
||||
|
||||
@@ -89,7 +89,7 @@ O Azure SQL Database suporta opções de implantação flexíveis para atender a
|
||||
|
||||
#### Modelos de Compra / Níveis de Serviço
|
||||
|
||||
- **Baseado em vCore**: Escolha computação, memória e armazenamento de forma independente. Para Uso Geral, Crítico para Negócios (com alta resiliência e desempenho para aplicativos OLTP) e escala até 128 TB de armazenamento.
|
||||
- **Baseado em vCore**: Escolha computação, memória e armazenamento de forma independente. Para Uso Geral, Crítico para Negócios (com alta resiliência e desempenho para aplicativos OLTP), e escala até 128 TB de armazenamento.
|
||||
- **Baseado em DTU**: Agrupa computação, memória e I/O em níveis fixos. Recursos equilibrados para tarefas comuns.
|
||||
- Padrão: Recursos equilibrados para tarefas comuns.
|
||||
- Premium: Alto desempenho para cargas de trabalho exigentes.
|
||||
@@ -98,8 +98,8 @@ O Azure SQL Database suporta opções de implantação flexíveis para atender a
|
||||
|
||||
- **Bancos de Dados Únicos**: Cada banco de dados é isolado e possui seus próprios recursos dedicados de computação, memória e armazenamento. Os recursos podem ser escalados dinamicamente (para cima ou para baixo) sem tempo de inatividade (1–128 vCores, 32 GB–4 TB de armazenamento e até 128 TB).
|
||||
- **Pools Elásticos**: Compartilham recursos entre vários bancos de dados em um pool para maximizar a eficiência e economizar custos. Os recursos também podem ser escalados dinamicamente para todo o pool.
|
||||
- **Flexibilidade de Nível de Serviço**: Comece pequeno com um único banco de dados no nível de Uso Geral. Faça upgrade para níveis Críticos para Negócios ou Hiperscale à medida que as necessidades crescem.
|
||||
- **Opções de Escalonamento**: Escalonamento Dinâmico ou Alternativas de Autoscaling.
|
||||
- **Flexibilidade de Nível de Serviço**: Comece pequeno com um único banco de dados no nível de Uso Geral. Faça upgrade para os níveis Crítico para Negócios ou Hiperscale à medida que as necessidades crescem.
|
||||
- **Opções de Escalonamento**: Escalonamento Dinâmico ou Alternativas de Autoscalonamento.
|
||||
|
||||
#### Monitoramento e Otimização Integrados
|
||||
|
||||
@@ -116,7 +116,7 @@ O Azure SQL Database suporta opções de implantação flexíveis para atender a
|
||||
|
||||
### Azure SQL Managed Instance
|
||||
|
||||
**Azure SQL Managed Instance** é um motor de banco de dados como serviço (PaaS) que oferece quase 100% de compatibilidade com o SQL Server e lida automaticamente com a maioria das tarefas de gerenciamento (por exemplo, atualização, correção, backups, monitoramento). Ele fornece uma solução em nuvem para migrar bancos de dados SQL Server locais com mínimas alterações.
|
||||
**Azure SQL Managed Instance** é um motor de banco de dados como Serviço (PaaS) que oferece quase 100% de compatibilidade com o SQL Server e lida automaticamente com a maioria das tarefas de gerenciamento (por exemplo, atualização, correção, backups, monitoramento). Ele fornece uma solução em nuvem para migrar bancos de dados SQL Server locais com mínimas alterações.
|
||||
|
||||
#### Níveis de Serviço
|
||||
|
||||
@@ -126,7 +126,7 @@ O Azure SQL Database suporta opções de implantação flexíveis para atender a
|
||||
#### Recursos Avançados de Segurança
|
||||
|
||||
* **Proteção contra Ameaças**: Alertas de Proteção Avançada contra Ameaças para atividades suspeitas e ataques de injeção SQL. Auditoria para rastrear e registrar eventos de banco de dados para conformidade.
|
||||
* **Controle de Acesso**: Autenticação Microsoft Entra para gerenciamento centralizado de identidade. Segurança em Nível de Linha e Máscara de Dados Dinâmica para controle de acesso granular.
|
||||
* **Controle de Acesso**: Autenticação Microsoft Entra para gerenciamento centralizado de identidade. Segurança em Nível de Linha e Mascaramento Dinâmico de Dados para controle de acesso granular.
|
||||
* **Backups**: Backups automatizados e manuais com capacidade de restauração em um ponto no tempo.
|
||||
|
||||
### Azure SQL Virtual Machines
|
||||
@@ -135,16 +135,16 @@ O Azure SQL Database suporta opções de implantação flexíveis para atender a
|
||||
|
||||
#### Recursos Principais
|
||||
|
||||
**Backup Automatizado**: Agende backups para bancos de dados SQL.
|
||||
**Correção Automática**: Automatiza a instalação de atualizações do Windows e do SQL Server durante uma janela de manutenção.
|
||||
**Integração com Azure Key Vault**: Configura automaticamente o Key Vault para VMs do SQL Server.
|
||||
**Integração com Defender for Cloud**: Visualize as recomendações do Defender para SQL no portal.
|
||||
**Flexibilidade de Versão/Edição**: Altere a versão ou edição do SQL Server sem redistribuir a VM.
|
||||
**Backup Automatizado**: Agende backups para bancos de dados SQL.
|
||||
**Correção Automática**: Automatiza a instalação de atualizações do Windows e do SQL Server durante uma janela de manutenção.
|
||||
**Integração com Azure Key Vault**: Configura automaticamente o Key Vault para VMs do SQL Server.
|
||||
**Integração com Defender for Cloud**: Visualize as recomendações do Defender para SQL no portal.
|
||||
**Flexibilidade de Versão/Edição**: Altere os metadados da versão ou edição do SQL Server sem redistribuir a VM.
|
||||
|
||||
#### Recursos de Segurança
|
||||
|
||||
**Microsoft Defender para SQL**: Insights e alertas de segurança.
|
||||
**Integração com Azure Key Vault**: Armazenamento seguro de credenciais e chaves de criptografia.
|
||||
**Microsoft Defender para SQL**: Insights e alertas de segurança.
|
||||
**Integração com Azure Key Vault**: Armazenamento seguro de credenciais e chaves de criptografia.
|
||||
**Microsoft Entra (Azure AD)**: Autenticação e controle de acesso.
|
||||
|
||||
## Enumeração
|
||||
|
||||
@@ -74,7 +74,7 @@ Quando este **serviço** está **habilitado**, o acesso via **chaves SSH é desa
|
||||
|
||||
### Metadados
|
||||
|
||||
É possível definir **automação** (userdata no AWS) que são **comandos de shell** que serão executados toda vez que a máquina for ligada ou reiniciada.
|
||||
É possível definir **automação** (userdata no AWS) que são **comandos de shell** que serão executados toda vez que a máquina ligar ou reiniciar.
|
||||
|
||||
É também possível **adicionar valores de chave-valor de metadados extras** que estarão acessíveis a partir do endpoint de metadados. Essas informações são comumente usadas para variáveis de ambiente e scripts de inicialização/desligamento. Isso pode ser obtido usando o **método `describe`** de um comando na seção de enumeração, mas também pode ser recuperado de dentro da instância acessando o endpoint de metadados.
|
||||
```bash
|
||||
@@ -94,7 +94,7 @@ https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/
|
||||
|
||||
### Criptografia
|
||||
|
||||
Uma chave de criptografia gerenciada pelo Google é usada por padrão, mas uma chave de criptografia gerenciada pelo cliente (CMEK) pode ser configurada. Você também pode configurar o que fazer quando a CMEK utilizada for revogada: Notificar ou desligar a VM.
|
||||
Uma chave de criptografia gerenciada pelo Google é usada por padrão, mas uma chave de criptografia gerenciada pelo cliente (CMEK) pode ser configurada. Você também pode configurar o que fazer quando o CMEK utilizado for revogado: Notificar ou desligar a VM.
|
||||
|
||||
<figure><img src="../../../../images/image (329).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
|
||||
Reference in New Issue
Block a user