From b6b525c404b5d178588bf6c64ae7ee77462d9990 Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 26 Feb 2025 01:02:14 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-services/az-sql.md'] --- .../azure-security/az-services/az-sql.md | 66 +++++++++++++------ 1 file changed, 46 insertions(+), 20 deletions(-) diff --git a/src/pentesting-cloud/azure-security/az-services/az-sql.md b/src/pentesting-cloud/azure-security/az-services/az-sql.md index 9a6062448..e830f1aad 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-sql.md +++ b/src/pentesting-cloud/azure-security/az-services/az-sql.md @@ -4,11 +4,11 @@ ## Azure SQL -Azure SQL is 'n familie van bestuurde, veilige en intelligente produkte wat die **SQL Server-databasisengine in die Azure-wolk** gebruik. Dit beteken jy hoef nie bekommerd te wees oor die fisiese administrasie van jou bedieners nie, en jy kan fokus op die bestuur van jou data. +Azure SQL is 'n familie van bestuurde, veilige en intelligente produkte wat die **SQL Server-databasis enjin in die Azure-wolk** gebruik. Dit beteken jy hoef nie bekommerd te wees oor die fisiese administrasie van jou bedieners nie, en jy kan fokus op die bestuur van jou data. Azure SQL bestaan uit vier hoofaanbiedinge: -1. **Azure SQL Server**: 'n Bediener is nodig vir die **ontplooiing en bestuur** van SQL Server-databasisse. +1. **Azure SQL Server**: 'n bediener is nodig vir die **ontplooiing en bestuur** van SQL Server-databasisse. 2. **Azure SQL Database**: Dit is 'n **volledig bestuurde databasisdiens**, wat jou toelaat om individuele databasisse in die Azure-wolk te huisves. 3. **Azure SQL Managed Instance**: Dit is vir groter skaal, hele SQL Server-instantie-geskepte ontplooiings. 4. **Azure SQL Server op Azure VMs**: Dit is die beste vir argitekture waar jy **beheer oor die bedryfstelsel** en SQL Server-instantie wil hê. @@ -36,34 +36,60 @@ Let daarop dat as enige SQL-verifikasie toegelaat word, 'n admin-gebruiker (gebr - Soos altyd, 'n Azure bestuurde sleutel word standaard gebruik, maar 'n kliënt bestuurde enkripsiesleutel (CMEK) kan ook gebruik word. **Bestuurde Identiteite:** -- Dit is moontlik om stelsels en gebruikers bestuurde MIs toe te ken. +- Dit is moontlik om stelsel- en gebruikersbestuurde MI's toe te ken. - Gebruik om toegang tot die enkripsiesleutel te verkry (as 'n CMEK gebruik word) en ander dienste van die databasisse. +- Vir sommige voorbeelde van die Azure-dienste wat vanaf die databasis toegang verkry kan word, kyk na [hierdie bladsy van die dokumentasie](https://learn.microsoft.com/en-us/sql/t-sql/statements/create-external-data-source-transact-sql) - As meer as een UMI toegeken word, is dit moontlik om die standaard een aan te dui wat gebruik moet word. - Dit is moontlik om 'n gefedereerde kliëntidentiteit vir kruis-huurder toegang te konfigureer. +Sommige opdragte om inligting binne 'n blob-stoor vanaf 'n SQL-databasis te bekom: +```sql +-- Create a credential for the managed identity +CREATE DATABASE SCOPED CREDENTIAL [ManagedIdentityCredential] +WITH IDENTITY = 'Managed Identity'; +GO + +-- Create an external data source pointing to the blob storage to access +CREATE EXTERNAL DATA SOURCE ManagedIdentity +WITH ( +TYPE = BLOB_STORAGE, +LOCATION = 'https://testsqlidentity.blob.core.windows.net/sqlcontainer', +CREDENTIAL = ManagedIdentityCredential +); +GO + +-- Read a file from ths storage and return it +SELECT * +FROM OPENROWSET( +BULK 'message.txt', +DATA_SOURCE = 'ManagedIdentity', +SINGLE_CLOB +) AS DataFile; +GO +``` **Microsoft Defender:** -- Nuttig vir "die versagting van potensiële databasis kwesbaarhede, en die opsporing van anomale aktiwiteite" -- Ons sal oor Defender in sy eie les praat (dit kan in verskeie ander Azure-dienste geaktiveer word) +- Nuttig vir “die versagting van potensiële databasis kwesbaarhede, en die opsporing van anomale aktiwiteite” +- Ons sal oor Defender in sy eie les praat (dit kan in verskeie ander Azure dienste geaktiveer word) -**Rugsteun:** -- Rugsteunfrekwensie word in die retensiebeleide bestuur. +**Backups:** +- Die frekwensie van rugsteun word in die retensiebeleide bestuur. **Verwyderde databasisse:** - Dit is moontlik om DB's wat uit bestaande rugsteun verwyder is, te herstel. ## Azure SQL Database -**Azure SQL Database** is 'n **volledig bestuurde databasisplatform as 'n diens (PaaS)** wat skaalbare en veilige relationele databasisoplossings bied. Dit is gebou op die nuutste SQL Server-tegnologieë en elimineer die behoefte aan infrastruktuur bestuur, wat dit 'n gewilde keuse maak vir wolk-gebaseerde toepassings. +**Azure SQL Database** is 'n **volledig bestuurde databasisplatform as 'n diens (PaaS)** wat skaalbare en veilige relationele databasisoplossings bied. Dit is gebou op die nuutste SQL Server tegnologieë en elimineer die behoefte aan infrastruktuurbestuur, wat dit 'n gewilde keuse maak vir wolk-gebaseerde toepassings. -Om 'n SQL-databasis te skep, is dit nodig om die SQL-server aan te dui waar dit gehuisves sal word. +Om 'n SQL-databasis te skep, is dit nodig om die SQL-server aan te dui waar dit gehoste sal word. ### SQL Database Sekuriteitskenmerke - **Altijd Opdaterend**: Loop op die nuutste stabiele weergawe van SQL Server en ontvang nuwe kenmerke en patches outomaties. - **Geërfde SQL Server sekuriteitskenmerke:** - Verifikasie (SQL en/of Entra ID) -- Toegekende Bestuurde Identiteite +- Toegewyde Bestuurde Identiteite - Netwerkbeperkings - Enkripsie - Rugsteun @@ -71,27 +97,27 @@ Om 'n SQL-databasis te skep, is dit nodig om die SQL-server aan te dui waar dit - **Data redundansie:** Opsies is plaaslik, sone, Geo of Geo-Zone redundante. - **Ledger:** Dit verifieer die integriteit van data cryptografies, wat verseker dat enige vervalsing opgespoor word. Nuttig vir finansiële, mediese en enige organisasie wat sensitiewe data bestuur. -'n SQL-databasis kan deel wees van 'n **elastiese Pool**. Elastiese poele is 'n kostedoeltreffende oplossing vir die bestuur van verskeie databasisse deur konfigureerbare rekenaar (eDTUs) en stoorhulpbronne onder hulle te deel, met prysstelling wat slegs op die toegepaste hulpbronne gebaseer is eerder as die aantal databasisse. +'n SQL-databasis kan deel wees van 'n **elastiese Poel**. Elastiese poele is 'n kostedoeltreffende oplossing vir die bestuur van verskeie databasisse deur konfigureerbare rekenaar (eDTUs) en stoorhulpbronne onder hulle te deel, met prysbepaling wat slegs gebaseer is op die hulpbronne wat toegeken is eerder as die aantal databasisse. #### Azure SQL Kolomvlak Sekuriteit (Maskering) & Ryvlak Sekuriteit -**Azure SQL se dinamiese** datamaskering is 'n kenmerk wat help om **sensitiewe inligting te beskerm deur dit** van ongemagtigde gebruikers te verberg. In plaas daarvan om die werklike data te verander, maskering dit dinamies die vertoonde data, wat verseker dat sensitiewe besonderhede soos kredietkaartnommers verborge is. +**Azure SQL se dinamiese** datamaskering is 'n kenmerk wat help om **sensitiewe inligting te beskerm deur dit** van ongemagtigde gebruikers te verberg. In plaas daarvan om die werklike data te verander, maskere dit dinamies die vertoonde data, wat verseker dat sensitiewe besonderhede soos kredietkaartnommers verborge is. Die **Dinamiese Data Maskering** geld vir alle gebruikers behalwe diegene wat nie gemasker is nie (hierdie gebruikers moet aangedui word) en administrateurs. Dit het die konfigurasieopsie wat spesifiseer watter SQL-gebruikers vrygestel is van dinamiese datamaskering, met **administrateurs altyd uitgesluit**. **Azure SQL Ryvlak Sekuriteit (RLS)** is 'n kenmerk wat **beheer watter rye 'n gebruiker kan sien of wysig**, wat verseker dat elke gebruiker slegs die data sien wat relevant is vir hulle. Deur sekuriteitsbeleide met filter of blokpredikate te skep, kan organisasies fyngegradeerde toegang op databasisvlak afdwing. -### Azure SQL Managed Instance +### Azure SQL Bestuurde Instansie -**Azure SQL Managed Instances** is vir groter skaal, hele SQL Server-instantie-geskepte ontplooiings. Dit bied byna 100% kompatibiliteit met die nuutste SQL Server op-premises (Enterprise Edition) Databasis Engine, wat 'n inheemse virtuele netwerk (VNet) implementering bied wat algemene sekuriteitskwessies aanspreek, en 'n besigheidsmodel wat gunstig is vir op-premises SQL Server-klante. +**Azure SQL Bestuurde Instansies** is vir groter skaal, hele SQL Server instansie-geskepte ontplooiings. Dit bied byna 100% kompatibiliteit met die nuutste SQL Server op-premises (Enterprise Edition) Databasis-enjin, wat 'n inheemse virtuele netwerk (VNet) implementering bied wat algemene sekuriteitskwessies aanspreek, en 'n besigheidsmodel wat gunstig is vir op-premises SQL Server kliënte. ### Azure SQL Virtuele Masjiene -**Azure SQL Virtuele Masjiene** laat jou toe om **die bedryfstelsel** en die SQL Server-instantie te **beheer**, aangesien 'n VM in die VM-diens wat die SQL-server draai, geskep sal word. +**Azure SQL Virtuele Masjiene** laat jou toe om die **bedryfstelsel** en die SQL Server instansie te **beheer**, aangesien 'n VM in die VM-diens wat die SQL-server draai, geskep sal word. Wanneer 'n SQL Virtuele Masjien geskep word, is dit moontlik om **alle instellings van die VM te kies** (soos in die VM-les gewys) wat die SQL-server sal huisves. -- Dit beteken dat die VM toegang tot sommige VNet(s) sal hê, moontlik **Bestuurde Identiteite aan dit geheg** kan wees, kan lêergedeeltes gemonteer hê… wat 'n **pivoting van die SQL** na die VM super interessant maak. -- Boonop is dit moontlik om 'n app-id en geheim te konfigureer om **die SQL toegang tot 'n spesifieke sleutelkluis** toe te laat, wat sensitiewe inligting kan bevat. +- Dit beteken dat die VM toegang tot sommige VNet(te) sal hê, mag **Bestuurde Identiteite aan dit geheg wees**, en kan lêerdeelings gemonteer hê… wat 'n **pivoting van die SQL** na die VM baie interessant maak. +- Boonop is dit moontlik om 'n app-id en geheim te konfigureer om **die SQL toegang tot 'n spesifieke sleutelkluis te laat hê**, wat sensitiewe inligting kan bevat. Dit is ook moontlik om dinge soos **outomatiese SQL-opdaterings**, **outomatiese rugsteun**, **Entra ID-verifikasie** en die meeste van die kenmerke van die ander SQL-dienste te konfigureer. @@ -232,7 +258,7 @@ Get-AzSqlVM {{#endtab}} {{#endtabs}} -Boonop, as jy die Dynamiese Gegevensmaskering en Ryvlakbeleide binne die databasis wil opnoem, kan jy die volgende navraag doen: +Boonop, as jy die Dinamiese Gegevensmaskering en Ryvlakbeleide binne die databasis wil opnoem, kan jy die volgende navraag doen: ```sql --Enumerates the masked columns SELECT @@ -259,7 +285,7 @@ ON sp.object_id = sp2.object_id; ``` ### Verbind en voer SQL-navrae uit -Jy kan 'n verbindsstring (wat akrediteerbesonderhede bevat) vind van voorbeeld [opnoem van 'n Az WebApp](az-app-services.md): +Jy kan 'n verbindsstring (wat geloofsbriewe bevat) vind uit voorbeeld [opnoem van 'n Az WebApp](az-app-services.md): ```bash function invoke-sql{ param($query) @@ -304,7 +330,7 @@ sqlcmd -S .database.windows.net -U -P