From 9792a7a989d071ae4e29326bd3753e2ae696f713 Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 17 Feb 2025 17:16:22 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza --- .../aws-services/aws-organizations-enum.md | 10 ++-- .../az-persistence/az-queue-persistance.md | 2 +- .../az-servicebus-post-exploitation.md | 8 ++-- .../az-sql-post-exploitation.md | 10 ++-- .../az-queue-privesc.md | 2 +- .../az-servicebus-privesc.md | 6 +-- .../az-privilege-escalation/az-sql-privesc.md | 6 +-- .../az-services/az-queue-enum.md | 2 +- .../az-services/az-servicebus-enum.md | 10 ++-- .../azure-security/az-services/az-sql.md | 48 +++++++++---------- .../gcp-compute-instance.md | 4 +- 11 files changed, 54 insertions(+), 54 deletions(-) diff --git a/src/pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md b/src/pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md index a550213ca..d34932cf6 100644 --- a/src/pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md +++ b/src/pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md @@ -4,14 +4,14 @@ ## Основна інформація -AWS Organizations полегшує створення нових AWS облікових записів без додаткових витрат. Ресурси можна легко виділяти, облікові записи можна ефективно групувати, а політики управління можна застосовувати до окремих облікових записів або груп, що покращує управління та контроль в організації. +AWS Organizations полегшує створення нових AWS-акаунтів без додаткових витрат. Ресурси можна легко виділяти, акаунти можна ефективно групувати, а політики управління можна застосовувати до окремих акаунтів або груп, що покращує управління та контроль в організації. Ключові моменти: -- **Створення нового облікового запису**: AWS Organizations дозволяє створювати нові AWS облікові записи без додаткових витрат. -- **Виділення ресурсів**: Це спрощує процес виділення ресурсів між обліковими записами. -- **Групування облікових записів**: Облікові записи можна групувати, що робить управління більш зручним. -- **Політики управління**: Політики можна застосовувати до облікових записів або груп облікових записів, забезпечуючи відповідність і управління в організації. +- **Створення нового акаунта**: AWS Organizations дозволяє створювати нові AWS-акаунти без додаткових витрат. +- **Виділення ресурсів**: Це спрощує процес виділення ресурсів між акаунтами. +- **Групування акаунтів**: Акаунти можна групувати разом, що робить управління більш зручним. +- **Політики управління**: Політики можна застосовувати до акаунтів або груп акаунтів, забезпечуючи відповідність і управління в організації. Ви можете знайти більше інформації в: diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md b/src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md index 3fbf7c22d..6264f3539 100644 --- a/src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md +++ b/src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md @@ -10,7 +10,7 @@ ../az-services/az-queue-enum.md {{#endref}} -### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/write` +### Дії: `Microsoft.Storage/storageAccounts/queueServices/queues/write` Ця дозволена дія дозволяє зловмиснику створювати або змінювати черги та їх властивості в межах облікового запису зберігання. Її можна використовувати для створення несанкціонованих черг, зміни метаданих або зміни списків контролю доступу (ACL), щоб надати або обмежити доступ. Ця можливість може порушити робочі процеси, ввести шкідливі дані, ексфільтрувати чутливу інформацію або маніпулювати налаштуваннями черги для подальших атак. ```bash diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md index feb367708..527995bd4 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md @@ -24,7 +24,7 @@ az servicebus topic delete --resource-group --namespace-name ``` ### Дії: `Microsoft.ServiceBus/namespaces/queues/Delete` -Зловмисник з цим дозволом може видалити чергу Azure Service Bus. Ця дія видаляє чергу та всі повідомлення в ній, що може призвести до втрати критично важливих даних і порушення роботи систем та робочих процесів, які залежать від черги. +Зловмисник з цим дозволом може видалити чергу Azure Service Bus. Ця дія видаляє чергу та всі повідомлення в ній, що може призвести до втрати критично важливих даних і порушення роботи систем та робочих процесів, що залежать від черги. ```bash az servicebus queue delete --resource-group --namespace-name --name ``` @@ -36,7 +36,7 @@ az servicebus topic subscription delete --resource-group --n ``` ### Дії: `Microsoft.ServiceBus/namespaces/queues/write` (`Microsoft.ServiceBus/namespaces/queues/read`) -Зловмисник з правами на створення або модифікацію черг Azure Service Bus (для модифікації черги вам також знадобляться права на дію: `Microsoft.ServiceBus/namespaces/queues/read`) може використати це для перехоплення даних, порушення робочих процесів або надання несанкціонованого доступу. Вони можуть змінювати критичні конфігурації, такі як пересилання повідомлень на шкідливі кінцеві точки, налаштування TTL повідомлень для неналежного збереження або видалення даних, або активація механізму "мертвих листів" для втручання в обробку помилок. Крім того, вони можуть маніпулювати розмірами черг, тривалістю блокування або статусами, щоб порушити функціональність служби або уникнути виявлення, що робить це значним ризиком після експлуатації. +Зловмисник з правами на створення або модифікацію черг Azure Service Bus (для модифікації черги вам також знадобиться дія: `Microsoft.ServiceBus/namespaces/queues/read`) може використати це для перехоплення даних, порушення робочих процесів або надання несанкціонованого доступу. Вони можуть змінювати критичні конфігурації, такі як пересилання повідомлень на шкідливі кінцеві точки, налаштування TTL повідомлень для неналежного збереження або видалення даних, або активація механізму "мертвих листів" для втручання в обробку помилок. Крім того, вони можуть маніпулювати розмірами черг, тривалістю блокувань або статусами, щоб порушити функціональність служби або уникнути виявлення, що робить це значним ризиком після експлуатації. ```bash az servicebus queue create --resource-group --namespace-name --name az servicebus queue update --resource-group --namespace-name --name @@ -50,12 +50,12 @@ az servicebus topic update --resource-group --namespace-name ``` ### Дії: `Microsoft.ServiceBus/namespaces/topics/subscriptions/write` (`Microsoft.ServiceBus/namespaces/topics/subscriptions/read`) -Зловмисник з правами на створення або модифікацію підписок (для модифікації підписки вам також знадобиться дія: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read`) в межах теми Azure Service Bus може використати це для перехоплення, перенаправлення або порушення робочих процесів повідомлень. Використовуючи команди, такі як az servicebus topic subscription update, вони можуть маніпулювати конфігураціями, такими як увімкнення мертвого листування для відволікання повідомлень, пересилання повідомлень на несанкціоновані кінцеві точки або модифікація TTL і тривалості блокування для збереження або перешкоджання доставці повідомлень. Крім того, вони можуть змінювати налаштування статусу або максимальну кількість доставок, щоб порушити операції або уникнути виявлення, що робить контроль підписок критично важливим аспектом сценаріїв після експлуатації. +Зловмисник з правами на створення або модифікацію підписок (для модифікації підписки вам також знадобиться дія: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read`) в рамках теми Azure Service Bus може використати це для перехоплення, перенаправлення або порушення робочих процесів повідомлень. Використовуючи команди, такі як az servicebus topic subscription update, вони можуть маніпулювати конфігураціями, такими як увімкнення мертвого листування для відволікання повідомлень, пересилання повідомлень на несанкціоновані кінцеві точки або модифікація TTL і тривалості блокування для збереження або втручання в доставку повідомлень. Крім того, вони можуть змінювати налаштування статусу або максимального ліміту доставки, щоб порушити операції або уникнути виявлення, що робить контроль підписок критично важливим аспектом сценаріїв після експлуатації. ```bash az servicebus topic subscription create --resource-group --namespace-name --topic-name --name az servicebus topic subscription update --resource-group --namespace-name --topic-name --name ``` -### Дії: `AuthorizationRules` Відправка та отримання повідомлень +### Дії: `AuthorizationRules` Надсилання та Отримання Повідомлень Подивіться сюди: diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md index 4465be6d0..603ca7db7 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md @@ -4,7 +4,7 @@ ## SQL Database Post Exploitation -Для отримання додаткової інформації про SQL Database перегляньте: +Для отримання додаткової інформації про SQL Database дивіться: {{#ref}} ../az-services/az-sql.md @@ -52,7 +52,7 @@ az sql elastic-pool update \ ``` ### `Microsoft.Sql/servers/auditingSettings/read` && `Microsoft.Sql/servers/auditingSettings/write` -З цією дозволом ви можете змінювати або активувати налаштування аудиту на Azure SQL Server. Це може дозволити зловмиснику або авторизованому користувачу маніпулювати конфігураціями аудиту, потенційно приховуючи сліди або перенаправляючи журнали аудиту в місце, що знаходиться під їх контролем. Це може ускладнити моніторинг безпеки або дозволити йому відстежувати дії. ПРИМІТКА: Щоб активувати аудит для Azure SQL Server, використовуючи Blob Storage, ви повинні підключити обліковий запис зберігання, куди можуть зберігатися журнали аудиту. +З цією дозволом ви можете змінювати або активувати налаштування аудиту на Azure SQL Server. Це може дозволити зловмиснику або авторизованому користувачу маніпулювати конфігураціями аудиту, потенційно приховуючи сліди або перенаправляючи журнали аудиту в місце, що знаходиться під їх контролем. Це може ускладнити моніторинг безпеки або дозволити йому відстежувати дії. ЗАУВАЖЕННЯ: Щоб активувати аудит для Azure SQL Server, використовуючи Blob Storage, ви повинні підключити обліковий запис сховища, куди можуть зберігатися журнали аудиту. ```bash az sql server audit-policy update \ --server \ @@ -86,7 +86,7 @@ az sql db export \ ``` ### `Microsoft.Sql/servers/databases/import/action` -З цією дозволом ви можете імпортувати базу даних у Azure SQL Server. Зловмисник або авторизований користувач з цим дозволом може потенційно завантажити шкідливі або маніпульовані бази даних. Це може призвести до отримання контролю над чутливими даними або шляхом вбудовування шкідливих скриптів або тригерів у імпортовану базу даних. Додатково ви можете імпортувати її на свій власний сервер в Azure. Примітка: Сервер повинен дозволяти доступ Azure-сервісів і ресурсів до сервера. +З цією дозволом ви можете імпортувати базу даних у Azure SQL Server. Зловмисник або авторизований користувач з цим дозволом може потенційно завантажити шкідливі або маніпульовані бази даних. Це може призвести до отримання контролю над чутливими даними або шляхом вбудовування шкідливих скриптів або тригерів у імпортовану базу даних. Додатково ви можете імпортувати її на свій власний сервер в Azure. Примітка: Сервер повинен дозволяти доступ Azure-сервісів та ресурсів до сервера. ```bash az sql db import --admin-user \ --admin-password \ @@ -117,7 +117,7 @@ az sql server key create \ ``` ### `Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action`, `Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read`, `Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read` -Ця дозволена дія дозволяє вимкнути Ledger Digest для Azure SQL Database, що зупиняє періодичне завантаження криптографічних дайджестів до Azure Blob Storage, які перевіряють цілісність даних. +Ця дозволена дія дозволяє вимкнути Ledger Digest для Azure SQL Database, що зупиняє періодичне завантаження криптографічних записів дайджесту в Azure Blob Storage, які перевіряють цілісність даних. ```bash az sql db ledger-digest-uploads disable \ --name ledgerDB \ @@ -126,7 +126,7 @@ az sql db ledger-digest-uploads disable \ ``` ### `Microsoft.Sql/servers/databases/transparentDataEncryption/write`, `Microsoft.Sql/locations/transparentDataEncryptionAzureAsyncOperation/read`, `Microsoft.Sql/servers/databases/transparentDataEncryption/read` -Цей дозвіл дозволяє авторизованому користувачу або зловмиснику увімкнути, вимкнути або змінити налаштування Transparent Data Encryption (TDE) на базі даних Azure SQL, що може вплинути на безпеку даних шляхом зміни конфігурацій шифрування. +Ця дозволяє авторизованому користувачу або зловмиснику увімкнути, вимкнути або змінити налаштування Transparent Data Encryption (TDE) на базі даних Azure SQL, що може вплинути на безпеку даних шляхом зміни конфігурацій шифрування. ```bash az sql db tde set \ --database \ diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md index 76d93af64..e3e04516b 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md @@ -26,7 +26,7 @@ az storage message get --queue-name --account-name --content "Injected malicious message" --account-name ``` diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md index 612688b4b..6e57e68de 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md @@ -24,7 +24,7 @@ az servicebus namespace authorization-rule keys renew --key [PrimaryKey|Secondar ``` ### Microsoft.ServiceBus/namespaces/AuthorizationRules/write -З цим дозволом можливо **створити нове правило авторизації** з усіма дозволами та власними ключами за допомогою: +З цією дозволом можливо **створити нове правило авторизації** з усіма дозволами та власними ключами з: ```bash az servicebus namespace authorization-rule create --authorization-rule-name "myRule" --namespace-name mynamespacespdemo --resource-group Resource_Group_1 --rights Manage Listen Send ``` @@ -39,7 +39,7 @@ az servicebus namespace authorization-rule update \ --name RootManageSharedAccessKey \ --rights Manage Listen Send ``` -### Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/ListKeys/action OR Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/regenerateKeys/action +### Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/ListKeys/action АБО Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/regenerateKeys/action Конкретні теми та черги всередині простору імен Service Bus можуть мати свої власні правила авторизації, які можна використовувати для контролю доступу до сутності. Маючи ці дозволи, ви можете **отримати або відновити ключі для цих локальних правил авторизації**, що дозволяє вам аутентифікуватися як сутність і потенційно надсилати або отримувати повідомлення, керувати підписками або взаємодіяти з системою способами, які можуть порушити роботу, видавати себе за дійсних користувачів або впроваджувати шкідливі дані в робочий процес обміну повідомленнями. ```bash @@ -274,7 +274,7 @@ await credential.close() asyncio.run(run()) print("Done receiving messages") ``` -## Посилання +## References - [https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues](https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues) - [https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api](https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api) diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md index 09108b735..63a4a1432 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md @@ -28,7 +28,7 @@ az sql server create \ --admin-user \ --admin-password ``` -Крім того, необхідно увімкнути публічний доступ, якщо ви хочете отримати доступ з непри приватного кінцевого пункту, щоб увімкнути це: +Додатково необхідно увімкнути публічний доступ, якщо ви хочете отримати доступ з непри приватного кінцевого пункту, щоб увімкнути це: ```bash az sql server update \ --name \ @@ -85,7 +85,7 @@ az sql server firewall-rule update \ ### `Microsoft.Sql/servers/ipv6FirewallRules/write` -З цим дозволом ви можете створювати, змінювати або видаляти правила брандмауера IPv6 на Azure SQL Server. Це може дозволити зловмиснику або авторизованому користувачу обійти існуючі конфігурації мережевої безпеки та отримати несанкціонований доступ до сервера. Додавши правило, яке дозволяє трафік з будь-якої IPv6 адреси, зловмисник може відкрити сервер для зовнішнього доступу. +З цим дозволом ви можете створювати, змінювати або видаляти правила брандмауера IPv6 на Azure SQL Server. Це може дозволити зловмиснику або уповноваженому користувачу обійти існуючі конфігурації мережевої безпеки та отримати несанкціонований доступ до сервера. Додавши правило, яке дозволяє трафік з будь-якої IPv6 адреси, зловмисник може відкрити сервер для зовнішнього доступу. ```bash az sql server firewall-rule create \ --server \ @@ -109,7 +109,7 @@ az sql server ad-admin create \ ``` ### `Microsoft.Sql/servers/azureADOnlyAuthentications/write` && `Microsoft.Sql/servers/azureADOnlyAuthentications/read` -З цими дозволами ви можете налаштувати та забезпечити "Тільки аутентифікацію Microsoft Entra" на Azure SQL Server, що може сприяти ескалації привілеїв у певних сценаріях. Зловмисник або авторизований користувач з цими дозволами може увімкнути або вимкнути аутентифікацію лише для Azure AD. +З цими дозволами ви можете налаштувати та забезпечити "Тільки автентифікацію Microsoft Entra" на Azure SQL Server, що може сприяти ескалації привілеїв у певних сценаріях. Зловмисник або авторизований користувач з цими дозволами можуть увімкнути або вимкнути автентифікацію лише для Azure AD. ```bash #Enable az sql server azure-ad-only-auth enable \ diff --git a/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md b/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md index 45021ef50..073000c43 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md +++ b/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md @@ -4,7 +4,7 @@ ## Основна інформація -Azure Queue Storage - це сервіс у хмарній платформі Microsoft Azure, призначений для чергування повідомлень між компонентами додатка, **дозволяючи асинхронну комунікацію та розділення**. Він дозволяє зберігати необмежену кількість повідомлень, кожне з яких має розмір до 64 КБ, і підтримує операції, такі як створення та видалення черг, додавання, отримання, оновлення та видалення повідомлень, а також управління метаданими та політиками доступу. Хоча зазвичай він обробляє повідомлення в порядку надходження (FIFO), строгий FIFO не гарантується. +Azure Queue Storage - це сервіс у хмарній платформі Microsoft Azure, призначений для чергування повідомлень між компонентами додатка, **що дозволяє асинхронну комунікацію та розділення**. Він дозволяє зберігати необмежену кількість повідомлень, кожне з яких має розмір до 64 КБ, і підтримує операції, такі як створення та видалення черг, додавання, отримання, оновлення та видалення повідомлень, а також управління метаданими та політиками доступу. Хоча зазвичай він обробляє повідомлення в порядку надходження (FIFO), строгий FIFO не гарантується. ### Перерахування diff --git a/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md b/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md index 0a6345078..bda3e03c5 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md +++ b/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md @@ -4,7 +4,7 @@ ## Service Bus -Azure Service Bus - це хмарна **служба обміну повідомленнями**, призначена для забезпечення надійної **комунікації між різними частинами програми або окремими програмами**. Вона діє як безпечний посередник, забезпечуючи безпечну доставку повідомлень, навіть якщо відправник і отримувач не працюють одночасно. Відокремлюючи системи, вона дозволяє програмам працювати незалежно, при цьому обмінюючись даними або інструкціями. Це особливо корисно для сценаріїв, що вимагають балансування навантаження між кількома працівниками, надійної доставки повідомлень або складної координації, такої як обробка завдань у порядку або безпечне управління доступом. +Azure Service Bus - це хмарна **служба обміну повідомленнями**, призначена для забезпечення надійної **комунікації між різними частинами програми або окремими програмами**. Вона діє як безпечний посередник, гарантуючи, що повідомлення доставляються безпечно, навіть якщо відправник і отримувач не працюють одночасно. Відокремлюючи системи, вона дозволяє програмам працювати незалежно, при цьому обмінюючись даними або інструкціями. Це особливо корисно для сценаріїв, які вимагають балансування навантаження між кількома працівниками, надійної доставки повідомлень або складної координації, такої як обробка завдань у порядку або безпечне управління доступом. ### Key Concepts @@ -45,7 +45,7 @@ SAS Policies визначають дозволи доступу для сутн - Manage: Надає повний контроль над сутністю, включаючи управління конфігурацією та дозволами. - Send: Дозволяє надсилати повідомлення до сутності. - Listen: Дозволяє отримувати повідомлення з сутності. -- **Primary and Secondary Keys**: Це криптографічні ключі, які використовуються для генерації безпечних токенів для автентифікації доступу. +- **Primary and Secondary Keys**: Це криптографічні ключі, які використовуються для генерації безпечних токенів для аутентифікації доступу. - **Primary and Secondary Connection Strings**: Попередньо налаштовані рядки підключення, які включають кінцеву точку та ключ для зручного використання в додатках. - **SAS Policy ARM ID**: Шлях Azure Resource Manager (ARM) до політики для програмної ідентифікації. @@ -53,10 +53,10 @@ SAS Policies визначають дозволи доступу для сутн ### "--disable-local-auth" -Параметр --disable-local-auth використовується для контролю того, чи увімкнено локальну автентифікацію (тобто використання ключів Shared Access Signature (SAS)) для вашого простору імен Service Bus. Ось що вам потрібно знати: +Параметр --disable-local-auth використовується для контролю того, чи дозволена локальна аутентифікація (тобто використання ключів Shared Access Signature (SAS)) для вашого простору імен Service Bus. Ось що вам потрібно знати: -- Коли встановлено в true: Локальна автентифікація за допомогою ключів SAS вимкнена, і дозволена автентифікація через Azure Active Directory (Azure AD). -- Коли встановлено в false: Доступні як SAS (локальна) автентифікація, так і автентифікація Azure AD, і ви можете використовувати рядки підключення з ключами SAS для доступу до ресурсів Service Bus. +- Коли встановлено в true: Локальна аутентифікація за допомогою ключів SAS вимкнена, а аутентифікація через Azure Active Directory (Azure AD) дозволена. +- Коли встановлено в false: Доступні як локальна аутентифікація SAS, так і аутентифікація Azure AD, і ви можете використовувати рядки підключення з ключами SAS для доступу до ресурсів Service Bus. ### Enumeration diff --git a/src/pentesting-cloud/azure-security/az-services/az-sql.md b/src/pentesting-cloud/azure-security/az-services/az-sql.md index db91455fd..cfae56c36 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-sql.md +++ b/src/pentesting-cloud/azure-security/az-services/az-sql.md @@ -4,22 +4,22 @@ ## Azure SQL -Azure SQL - це сімейство керованих, безпечних та інтелектуальних продуктів, які використовують **SQL Server database engine в хмарі Azure**. Це означає, що вам не потрібно турбуватися про фізичне адміністрування ваших серверів, і ви можете зосередитися на управлінні вашими даними. +Azure SQL - це сімейство керованих, безпечних та інтелектуальних продуктів, які використовують **движок бази даних SQL Server в хмарі Azure**. Це означає, що вам не потрібно турбуватися про фізичне адміністрування ваших серверів, і ви можете зосередитися на управлінні вашими даними. Azure SQL складається з чотирьох основних пропозицій: -1. **Azure SQL Server**: Azure SQL Server - це керована реляційна база даних, яка спрощує розгортання та управління базами даних SQL Server, з вбудованими функціями безпеки та продуктивності. -2. **Azure SQL Database**: Це **повністю керована служба бази даних**, яка дозволяє вам розміщувати окремі бази даних у хмарі Azure. Вона пропонує вбудовану інтелектуальність, яка вивчає ваші унікальні шаблони бази даних і надає індивідуальні рекомендації та автоматичне налаштування. +1. **Azure SQL Server**: Azure SQL Server - це керована служба реляційних баз даних, яка спрощує розгортання та управління базами даних SQL Server, з вбудованими функціями безпеки та продуктивності. +2. **Azure SQL Database**: Це **повністю керована служба бази даних**, яка дозволяє вам розміщувати окремі бази даних в хмарі Azure. Вона пропонує вбудовану інтелектуальність, яка вивчає ваші унікальні шаблони бази даних і надає індивідуальні рекомендації та автоматичну оптимізацію. 3. **Azure SQL Managed Instance**: Це для масштабних, повних розгортань SQL Server. Вона забезпечує майже 100% сумісність з останнім SQL Server на місцях (Enterprise Edition) Database Engine, що забезпечує рідну реалізацію віртуальної мережі (VNet), яка вирішує загальні проблеми безпеки, і бізнес-модель, вигідну для клієнтів SQL Server на місцях. -4. **Azure SQL Server на Azure VMs**: Це Інфраструктура як Служба (IaaS) і найкраще підходить для міграцій, де ви хочете **контролювати операційну систему та екземпляр SQL Server**, як це було б на сервері, що працює на місцях. +4. **Azure SQL Server на Azure VMs**: Це Інфраструктура як Служба (IaaS) і найкраще підходить для міграцій, де ви хочете **контролювати операційну систему та екземпляр SQL Server**, як це було на сервері, що працює на місцях. ### Azure SQL Server -Azure SQL Server - це система управління реляційними базами даних (RDBMS), яка використовує Transact-SQL для операцій з даними і створена для обробки систем рівня підприємства. Вона пропонує потужні функції для продуктивності, безпеки, масштабованості та інтеграції з різними додатками Microsoft. Бази даних Azure SQL покладаються на цей сервер, оскільки вони побудовані на цих серверах, і це точка входу для користувачів для доступу до баз даних. +Azure SQL Server - це система управління реляційними базами даних (RDBMS), яка використовує Transact-SQL для операцій з даними і побудована для обробки систем рівня підприємства. Вона пропонує потужні функції для продуктивності, безпеки, масштабованості та інтеграції з різними додатками Microsoft. Бази даних Azure SQL покладаються на цей сервер, оскільки вони побудовані на цих серверах, і це точка входу для користувачів для доступу до баз даних. #### Мережа -**Мережева підключеність**: Виберіть, чи дозволити доступ через публічний або приватний кінець. Якщо ви виберете Немає доступу, жодні кінцеві точки не створюються, поки не буде налаштовано вручну: +**Мережева підключеність**: Виберіть, чи дозволити доступ через публічний кінець або приватний кінець. Якщо ви виберете Немає доступу, жодні кінцеві точки не створюються, поки не буде налаштовано вручну: - Немає доступу: Жодні кінцеві точки не налаштовані, блокуючи вхідні з'єднання, поки не буде налаштовано вручну. - Публічний кінець: Дозволяє прямі з'єднання через публічний інтернет, підлягаючи правилам брандмауера та іншим конфігураціям безпеки. - Приватний кінець: Обмежує підключення до приватної мережі. @@ -38,13 +38,13 @@ Azure SQL підтримує різні методи аутентифікаці #### Функції безпеки -SQL сервери мають **Керовані Ідентичності**. Керовані ідентичності дозволяють вашому серверу безпечно аутентифікуватися з іншими службами Azure без зберігання облікових даних. Це дозволяє отримувати доступ до інших служб, які будуть системно призначеними керованими ідентичностями, і бути доступними іншими службами з іншими ідентичностями, які є користувацькими призначеними керованими ідентичностями. Деякі з служб, до яких SQL може отримати доступ, включають Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB або Cosmos DB API для MongoDB, Generic ODBC, Bulk Operations та S3-сумісне об'єктне сховище. +SQL сервери мають **Керовані Ідентичності**. Керовані ідентичності дозволяють вашому серверу безпечно аутентифікуватися з іншими службами Azure без зберігання облікових даних. Це дозволяє отримувати доступ до інших служб, які будуть системно призначеними керованими ідентичностями, і бути доступними іншими службами з іншими ідентичностями, які є користувацькими призначеними керованими ідентичностями. Деякі з служб, до яких SQL може отримати доступ, це Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB або Cosmos DB API для MongoDB, Generic ODBC, Bulk Operations та S3-сумісне об'єктне сховище. -Інші функції безпеки, які має SQL сервер: +Інші функції безпеки, які має SQL сервер, це: - **Правила брандмауера**: Правила брандмауера контролюють доступ до вашого сервера, обмежуючи або дозволяючи трафік. Це також є функцією самих баз даних. - **Прозоре шифрування даних (TDE)**: TDE шифрує ваші бази даних, резервні копії та журнали в спокої, щоб захистити ваші дані, навіть якщо сховище скомпрометоване. Це може бути зроблено за допомогою ключа, керованого службою, або ключа, керованого клієнтом. -- **Microsoft Defender для SQL**: Microsoft Defender для SQL може бути активований, пропонуючи оцінки вразливості та розширений захист від загроз для сервера. +- **Microsoft Defender для SQL**: Microsoft Defender для SQL може бути активований, пропонуючи оцінки вразливостей та розширений захист від загроз для сервера. #### Моделі розгортання @@ -54,12 +54,12 @@ Azure SQL Database підтримує гнучкі варіанти розгор - Повністю ізольована база даних з власними виділеними ресурсами. - Чудово підходить для мікросервісів або додатків, які потребують єдиного джерела даних. - **Еластичний пул**: -- Дозволяє кільком базам даних ділити ресурси в межах пулу. -- Економічно вигідно для додатків з коливаннями в патернах використання між кількома базами даних. +- Дозволяє кільком базам даних ділитися ресурсами в межах пулу. +- Економічно вигідно для додатків з коливаннями в патернах використання серед кількох баз даних. ### Azure SQL Database -**Azure SQL Database** - це **повністю керована платформа бази даних як служба (PaaS)**, яка надає масштабовані та безпечні реляційні рішення для бази даних. Вона побудована на останніх технологіях SQL Server і усуває потребу в управлінні інфраструктурою, що робить її популярним вибором для хмарних додатків. +**Azure SQL Database** - це **повністю керована платформа бази даних як служба (PaaS)**, яка надає масштабовані та безпечні рішення реляційних баз даних. Вона побудована на останніх технологіях SQL Server і усуває потребу в управлінні інфраструктурою, що робить її популярним вибором для хмарних додатків. #### Ключові функції @@ -69,7 +69,7 @@ Azure SQL Database підтримує гнучкі варіанти розгор #### Мережа -**Мережева підключеність**: Виберіть, чи дозволити доступ через публічний або приватний кінець. Якщо ви виберете Немає доступу, жодні кінцеві точки не створюються, поки не буде налаштовано вручну: +**Мережева підключеність**: Виберіть, чи дозволити доступ через публічний кінець або приватний кінець. Якщо ви виберете Немає доступу, жодні кінцеві точки не створюються, поки не буде налаштовано вручну: - Немає доступу: Жодні кінцеві точки не налаштовані, блокуючи вхідні з'єднання, поки не буде налаштовано вручну. - Публічний кінець: Дозволяє прямі з'єднання через публічний інтернет, підлягаючи правилам брандмауера та іншим конфігураціям безпеки. - Приватний кінець: Обмежує підключення до приватної мережі. @@ -81,24 +81,24 @@ Azure SQL Database підтримує гнучкі варіанти розгор #### Функції безпеки -- **Microsoft Defender для SQL**: може бути активований, пропонуючи оцінки вразливості та розширений захист від загроз. -- **Ledger**: криптографічно перевіряє цілісність даних, забезпечуючи виявлення будь-якого підроблення. +- **Microsoft Defender для SQL**: може бути активований, пропонуючи оцінки вразливостей та розширений захист від загроз. +- **Леджер**: криптографічно перевіряє цілісність даних, забезпечуючи виявлення будь-якого підроблення. - **Ідентичність сервера**: використовує системно призначені та користувацькі призначені керовані ідентичності для забезпечення централізованого доступу. -- **Управління ключами прозорого шифрування даних**: шифрує бази даних, резервні копії та журнали в спокої без необхідності вносити зміни до програми. Шифрування може бути активоване для кожної бази даних, і якщо налаштовано на рівні бази даних, ці налаштування переважають конфігурацію на рівні сервера. -- **Завжди зашифровано**: це набір розширених функцій захисту даних, які відокремлюють право власності на дані від управління даними. Це забезпечує, що адміністратори або оператори з високими привілеями не можуть отримати доступ до чутливих даних. +- **Управління ключами прозорого шифрування даних**: шифрує бази даних, резервні копії та журнали в спокої без необхідності вносити зміни до програми. Шифрування може бути активоване на кожній базі даних, і якщо налаштовано на рівні бази даних, ці налаштування переважають конфігурацію на рівні сервера. +- **Завжди зашифровано**: це набір розширених функцій захисту даних, які відокремлюють володіння даними від управління даними. Це забезпечує, що адміністратори або оператори з високими привілеями не можуть отримати доступ до чутливих даних. #### Моделі покупки / Тарифи на послуги -- **На основі vCore**: Виберіть обчислення, пам'ять і зберігання незалежно. Для загального призначення, бізнес-критичного (з високою стійкістю та продуктивністю для OLTP додатків) і масштабується до 128 ТБ зберігання. +- **На основі vCore**: Виберіть обчислення, пам'ять і зберігання незалежно. Для загального призначення, бізнес-критичних (з високою стійкістю та продуктивністю для OLTP додатків) і масштабується до 128 ТБ зберігання. - **На основі DTU**: Об'єднує обчислення, пам'ять і I/O в фіксовані тарифи. Збалансовані ресурси для загальних завдань. - Стандартний: Збалансовані ресурси для загальних завдань. - Преміум: Висока продуктивність для вимогливих навантажень. #### Масштабована продуктивність і пули -- **Одинокі бази даних**: Кожна база даних ізольована і має свої власні виділені ресурси обчислення, пам'яті та зберігання. Ресурси можуть бути масштабовані динамічно (вгору або вниз) без простою (1–128 vCores, 32 ГБ–4 ТБ зберігання та до 128 ТБ). +- **Одині бази даних**: Кожна база даних ізольована і має свої власні виділені ресурси обчислення, пам'яті та зберігання. Ресурси можуть бути масштабовані динамічно (вгору або вниз) без простою (1–128 vCores, 32 ГБ–4 ТБ зберігання та до 128 ТБ). - **Еластичні пули**: Ділять ресурси між кількома базами даних у пулі для максимізації ефективності та економії витрат. Ресурси також можуть бути масштабовані динамічно для всього пулу. -- **Гнучкість тарифного плану**: Почніть з маленької бази даних у тарифному плані загального призначення. Оновіть до бізнес-критичного або гіпермасштабного тарифних планів, коли потреби зростають. +- **Гнучкість тарифного плану**: Почніть з невеликої бази даних у тарифному плані загального призначення. Оновіть до бізнес-критичних або гіпермасштабних тарифів, коли потреби зростають. - **Варіанти масштабування**: Динамічне масштабування або альтернативи автоматичного масштабування. #### Вбудоване моніторинг та оптимізація @@ -110,7 +110,7 @@ Azure SQL Database підтримує гнучкі варіанти розгор #### Відновлення після катастроф та доступність - **Автоматичні резервні копії**: SQL Database автоматично виконує повні, диференційні та журнали транзакцій резервних копій баз даних. -- **Відновлення в точці часу**: Відновлює бази даних до будь-якого минулого стану в межах періоду зберігання резервних копій. +- **Відновлення до певного моменту**: Відновлює бази даних до будь-якого минулого стану в межах періоду зберігання резервних копій. - **Гео-резервування** - **Групи відмови**: Спрощує відновлення після катастроф, групуючи бази даних для автоматичного переключення між регіонами. @@ -127,15 +127,15 @@ Azure SQL Database підтримує гнучкі варіанти розгор * **Захист від загроз**: Розширений захист від загроз сповіщає про підозрілі дії та атаки SQL-ін'єкцій. Аудит для відстеження та реєстрації подій бази даних для відповідності. * **Контроль доступу**: Аутентифікація Microsoft Entra для централізованого управління ідентичністю. Безпека на рівні рядків та динамічне маскування даних для детального контролю доступу. -* **Резервні копії**: Автоматизовані та ручні резервні копії з можливістю відновлення в точці часу. +* **Резервні копії**: Автоматизовані та ручні резервні копії з можливістю відновлення до певного моменту. ### Azure SQL Virtual Machines -**Azure SQL Virtual Machines** найкраще підходять для міграцій, де ви хочете **контролювати операційну систему та екземпляр SQL Server**, як це було б на сервері, що працює на місцях. Вони можуть мати різні розміри машин і широкий вибір версій та редакцій SQL Server. +**Azure SQL Virtual Machines** найкраще підходять для міграцій, де ви хочете **контролювати операційну систему та екземпляр SQL Server**, як це було на сервері, що працює на місцях. Вони можуть мати різні розміри машин і широкий вибір версій та редакцій SQL Server. #### Ключові функції -**Автоматизоване резервне копіювання**: Заплануйте резервні копії для баз даних SQL. +**Автоматизоване резервне копіювання**: Заплануйте резервні копії для SQL баз даних. **Автоматичне патчування**: Автоматизує установку оновлень Windows та SQL Server під час вікна обслуговування. **Інтеграція з Azure Key Vault**: Автоматично налаштовує Key Vault для SQL Server VMs. **Інтеграція з Defender for Cloud**: Переглядайте рекомендації Defender для SQL у порталі. diff --git a/src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md b/src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md index 9244fd4b4..9cbf01d7a 100644 --- a/src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md +++ b/src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md @@ -40,7 +40,7 @@ Confidential VMs використовують **апаратні засоби б - [https://www.googleapis.com/auth/service.management.readonly](https://www.googleapis.com/auth/service.management.readonly) - [https://www.googleapis.com/auth/trace.append](https://www.googleapis.com/auth/trace.append) -Однак, можливо **надати `cloud-platform` одним клацанням** або вказати **кастомні**. +Однак, можливо **надати йому `cloud-platform` одним кліком** або вказати **кастомні**.
@@ -76,7 +76,7 @@ Confidential VMs використовують **апаратні засоби б Можливо визначити **автоматизацію** (userdata в AWS), яка є **командами оболонки**, що виконуватимуться щоразу, коли машина вмикається або перезавантажується. -Також можливо **додати додаткові метадані у форматі ключ-значення**, які будуть доступні з кінцевої точки метаданих. Ця інформація зазвичай використовується для змінних середовища та скриптів запуску/вимкнення. Це можна отримати, використовуючи **метод `describe`** з команди в розділі перерахування, але також можна отримати зсередини екземпляра, отримуючи доступ до кінцевої точки метаданих. +Також можливо **додати додаткові метадані у форматі ключ-значення**, які будуть доступні з кінцевої точки метаданих. Ця інформація зазвичай використовується для змінних середовища та скриптів запуску/вимкнення. Це можна отримати, використовуючи **метод `describe`** з команди в розділі перерахування, але також може бути отримано зсередини екземпляра, отримуючи доступ до кінцевої точки метаданих. ```bash # view project metadata curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \