gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-28 21:53:15 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-keyvault

Browse Source
This commit is contained in:
Translator
2025-07-12 14:23:56 +00:00
parent 2413b93aa9
commit 8c87701984
1 changed files with 5 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files

9
src/pentesting-cloud/azure-security/az-services/az-keyvault.md
View File

@@ -4,11 +4,11 @@
## Grundinformationen
**Azure Key Vault** ist ein Cloud-Dienst von Microsoft Azure zum sicheren Speichern und Verwalten sensibler Informationen wie **Geheimnisse, Schlüssel, Zertifikate und Passwörter**. Es fungiert als zentrales Repository, das sicheren Zugriff und feingranulare Kontrolle über Azure Active Directory (Azure AD) bietet. Aus sicherheitstechnischer Sicht bietet Key Vault **Hardware-Sicherheitsmodul (HSM)-Schutz** für kryptografische Schlüssel, stellt sicher, dass Geheimnisse sowohl im Ruhezustand als auch während der Übertragung verschlüsselt sind, und bietet robustes Zugriffsmanagement durch **rollenbasierte Zugriffskontrolle (RBAC)** und Richtlinien. Es verfügt auch über **Audit-Protokollierung**, Integration mit Azure Monitor zur Verfolgung des Zugriffs und automatisierte Schlüsselrotation zur Reduzierung des Risikos durch längere Schlüsselexposition.
**Azure Key Vault** ist ein Cloud-Dienst von Microsoft Azure zum sicheren Speichern und Verwalten sensibler Informationen wie **Geheimnisse, Schlüssel, Zertifikate und Passwörter**. Es fungiert als zentrales Repository, das sicheren Zugriff und feingranulare Kontrolle über Azure Active Directory (Azure AD) bietet. Aus sicherheitstechnischer Sicht bietet Key Vault **Schutz durch Hardware-Sicherheitsmodule (HSM)** für kryptografische Schlüssel, stellt sicher, dass Geheimnisse sowohl im Ruhezustand als auch während der Übertragung verschlüsselt sind, und bietet robustes Zugriffsmanagement durch **rollenbasierte Zugriffskontrolle (RBAC)** und Richtlinien. Es verfügt auch über **Audit-Logging**, eine Integration mit Azure Monitor zur Verfolgung des Zugriffs und automatisierte Schlüsselrotation zur Reduzierung des Risikos durch längere Schlüsselexposition.
Siehe [Azure Key Vault REST API-Übersicht](https://learn.microsoft.com/en-us/azure/key-vault/general/about-keys-secrets-certificates) für vollständige Details.
Laut den [**Docs**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts) unterstützen Tresore das Speichern von Software- und HSM-unterstützten Schlüsseln, Geheimnissen und Zertifikaten. Verwaltete HSM-Pools unterstützen nur HSM-unterstützte Schlüssel.
Laut den [**Docs**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts) unterstützen Tresore das Speichern von Software- und HSM-gestützten Schlüsseln, Geheimnissen und Zertifikaten. Verwaltete HSM-Pools unterstützen nur HSM-gestützte Schlüssel.
Das **URL-Format** für **Tresore** ist `https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}` und für verwaltete HSM-Pools ist es: `https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}`
@@ -42,7 +42,7 @@ Eine Rolle wie **Contributor**, die Berechtigungen in der Management-Ebene hat,
### Netzwerkzugang
Im Azure Key Vault können **Firewall**-Regeln eingerichtet werden, um **Datenebenenoperationen nur von bestimmten virtuellen Netzwerken oder IPv4-Adressbereichen zuzulassen**. Diese Einschränkung wirkt sich auch auf den Zugriff über das Azure-Verwaltungsportal aus; Benutzer können keine Schlüssel, Geheimnisse oder Zertifikate in einem Key Vault auflisten, wenn ihre Anmelde-IP-Adresse nicht im autorisierten Bereich liegt.
In Azure Key Vault können **Firewall**-Regeln eingerichtet werden, um **Datenebenenoperationen nur von bestimmten virtuellen Netzwerken oder IPv4-Adressbereichen zuzulassen**. Diese Einschränkung wirkt sich auch auf den Zugriff über das Azure-Verwaltungsportal aus; Benutzer können keine Schlüssel, Geheimnisse oder Zertifikate in einem Key Vault auflisten, wenn ihre Anmelde-IP-Adresse nicht im autorisierten Bereich liegt.
Zur Analyse und Verwaltung dieser Einstellungen können Sie die **Azure CLI** verwenden:
```bash
@@ -58,7 +58,7 @@ Wenn ein Schlüssel-Tresor erstellt wird, beträgt die Mindestanzahl an Tagen, d
Es ist jedoch möglich, einen Tresor mit **deaktiviertem Löschschutz** zu erstellen, der es ermöglicht, den Schlüssel-Tresor und Objekte während der Aufbewahrungsfrist zu löschen. Sobald dieser Schutz jedoch für einen Tresor aktiviert ist, kann er nicht mehr deaktiviert werden.
## Aufzählung
## Enumeration
{{#tabs }}
{{#tab name="az" }}
@@ -67,6 +67,7 @@ Es ist jedoch möglich, einen Tresor mit **deaktiviertem Löschschutz** zu erste
az keyvault list
# List Key Vaults in a specific Resource Group
az keyvault list --resource-group <ResourceGroupName>
az keyvault list --query '[].{name:name}' -o tsv # Get just the names
# Show details of a specific Key Vault
az keyvault show --name <KeyVaultName> # If accessPolicies, you can see them here
# List all keys in a Key Vault