gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-sql.md']

Browse Source
This commit is contained in:
Translator
2025-03-21 09:02:21 +00:00
parent 748b9a0e7b
commit b2427b7a0b
1 changed files with 9 additions and 9 deletions
Download Patch File Download Diff File Expand all files Collapse all files

18
src/pentesting-cloud/azure-security/az-services/az-sql.md
View File

@@ -10,7 +10,7 @@ Azure SQL se compose de quatre principales offres :
1. **Azure SQL Server** : Un serveur est nécessaire pour le **déploiement et la gestion** des bases de données SQL Server.
2. **Azure SQL Database** : Il s'agit d'un **service de base de données entièrement géré**, qui vous permet d'héberger des bases de données individuelles dans le cloud Azure.
3. **Azure SQL Managed Instance** : C'est pour des déploiements à plus grande échelle, à l'échelle de l'instance SQL Server entière.
3. **Azure SQL Managed Instance** : C'est pour des déploiements à plus grande échelle, à l'échelle de l'ensemble de l'instance SQL Server.
4. **Azure SQL Server sur des machines virtuelles Azure** : C'est le meilleur pour les architectures où vous souhaitez **contrôler le système d'exploitation** et l'instance SQL Server.
### Fonctionnalités de sécurité de SQL Server
@@ -24,15 +24,15 @@ Azure SQL se compose de quatre principales offres :
**Méthodes d'authentification :**
- Authentification **Entra uniquement** : Vous devez indiquer les principaux Entra qui auront accès au service.
- Authentification **à la fois SQL et Microsoft Entra** : Authentification SQL traditionnelle avec nom d'utilisateur et mot de passe aux côtés de Microsoft Entra.
- Authentification **Entra uniquement** de Microsoft : Vous devez indiquer les principaux Entra qui auront accès au service.
- Authentification **à la fois SQL et Microsoft Entra** : Authentification SQL traditionnelle avec nom d'utilisateur et mot de passe, en plus de Microsoft Entra.
- Authentification **uniquement SQL** : Autoriser l'accès uniquement via des utilisateurs de base de données.
Notez que si une authentification SQL est autorisée, un utilisateur administrateur (nom d'utilisateur + mot de passe) doit être indiqué et si l'authentification Entra ID est sélectionnée, il est également nécessaire d'indiquer au moins un principal avec un accès administrateur.
**Chiffrement :**
- Cela s'appelle "Chiffrement des données transparent" et cela chiffre les bases de données, les sauvegardes et les journaux au repos.
- Cela s'appelle "Chiffrement des données transparent" et il chiffre les bases de données, les sauvegardes et les journaux au repos.
- Comme toujours, une clé gérée par Azure est utilisée par défaut, mais une clé de chiffrement gérée par le client (CMEK) peut également être utilisée.
**Identités gérées :**
@@ -69,7 +69,7 @@ GO
```
**Microsoft Defender :**
- Utile pour « atténuer les vulnérabilités potentielles de la base de données et détecter les activités anormales »
- Utile pour « atténuer les vulnérabilités potentielles de la base de données et détecter des activités anormales »
- Nous parlerons de Defender dans sa propre leçon (il peut être activé dans plusieurs autres services Azure)
**Sauvegardes :**
@@ -94,7 +94,7 @@ Pour créer une base de données SQL, il est nécessaire d'indiquer le serveur S
- Chiffrement
- Sauvegardes
-
- **Redondance des données :** Les options sont locales, zone, Geo ou Geo-Zone redondantes.
- **Redondance des données :** Les options sont locales, zone, o ou o-zone redondantes.
- **Registre :** Il vérifie cryptographiquement l'intégrité des données, garantissant que toute falsification est détectée. Utile pour les organisations financières, médicales et toute organisation gérant des données sensibles.
Une base de données SQL pourrait faire partie d'un **pool élastique**. Les pools élastiques sont une solution rentable pour gérer plusieurs bases de données en partageant des ressources de calcul (eDTUs) et de stockage configurables entre elles, avec une tarification basée uniquement sur les ressources allouées plutôt que sur le nombre de bases de données.
@@ -103,7 +103,7 @@ Une base de données SQL pourrait faire partie d'un **pool élastique**. Les poo
Le **masquage dynamique des données** d'Azure SQL est une fonctionnalité qui aide à **protéger les informations sensibles en les cachant** des utilisateurs non autorisés. Au lieu de modifier les données réelles, il masque dynamiquement les données affichées, garantissant que des détails sensibles comme les numéros de carte de crédit sont obscurcis.
Le **masquage dynamique des données** s'applique à tous les utilisateurs sauf à ceux qui sont non masqués (ces utilisateurs doivent être indiqués) et aux administrateurs. Il dispose de l'option de configuration qui spécifie quels utilisateurs SQL sont exemptés du masquage dynamique des données, avec **les administrateurs toujours exclus**.
Le **masquage dynamique des données** s'applique à tous les utilisateurs sauf à ceux qui ne sont pas masqués (ces utilisateurs doivent être indiqués) et aux administrateurs. Il dispose de l'option de configuration qui spécifie quels utilisateurs SQL sont exemptés du masquage dynamique des données, avec **les administrateurs toujours exclus**.
La **sécurité au niveau des lignes d'Azure SQL (RLS)** est une fonctionnalité qui **contrôle quelles lignes un utilisateur peut voir ou modifier**, garantissant que chaque utilisateur ne voit que les données qui le concernent. En créant des politiques de sécurité avec des filtres ou des prédicats de blocage, les organisations peuvent appliquer un accès granulaire au niveau de la base de données.
@@ -209,7 +209,7 @@ az rest --method get \
# Get DataMaskingPolicies of a database
az rest --method get \
--uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Sql/servers/getstorageserver/databases/masktest/dataMaskingPolicies/Default?api-version=2021-11-01"
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/dataMaskingPolicies/Default?api-version=2021-11-01"
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/dataMaskingPolicies/Default/rules?api-version=2021-11-01"
@@ -258,7 +258,7 @@ Get-AzSqlVM
{{#endtab}}
{{#endtabs}}
De plus, si vous souhaitez énumérer le masquage dynamique des données et les politiques de niveau de ligne, au sein de la base de données, vous pouvez interroger :
De plus, si vous souhaitez énumérer le Dynamic Data Masking et les politiques de niveau de ligne dans la base de données, vous pouvez interroger :
```sql
--Enumerates the masked columns
SELECT