gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-03-12 21:22:57 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/azure-security/az-services/vms/az-

Browse Source
This commit is contained in:
Translator
2026-01-21 21:45:26 +00:00
parent 88dcc46232
commit cf4024ee73
1 changed files with 173 additions and 92 deletions
Download Patch File Download Diff File Expand all files Collapse all files

265
src/pentesting-cloud/azure-security/az-services/vms/az-azure-network.md
View File

@@ -4,25 +4,25 @@
## Temel Bilgiler
Azure, kullanıcıların Azure bulutunda **izole** **ağlar** oluşturmasına olanak tanıyan **sanaldan ağlar (VNet)** sağlar. Bu VNets içinde, sanal makineler, uygulamalar, veritabanları gibi kaynaklar güvenli bir şekilde barındırılabilir ve yönetilebilir. Azure'daki ağ, hem bulut içindeki iletişimi (Azure hizmetleri arasında) hem de dış ağlar ve internetle bağlantıyı destekler.\
Ayrıca, VNets'in diğer VNets ve yerel ağlarla **bağlanması** mümkündür.
Azure, kullanıcıların Azure bulutu içinde **izole** **virtual networks (VNet)** oluşturmasına izin verir. Bu VNets içinde Virtual Machines, uygulamalar, veritabanları gibi kaynaklar güvenli bir şekilde barındırılabilir ve yönetilebilir. Azure'daki ağ yapılandırması hem bulut içi iletişimi (Azure servisleri arasındaki) hem de dış ağlara ve internete bağlantıyı destekler.\
Ayrıca VNet'ler diğer VNet'lerle ve on-premise ağlarla **bağlanabilir**.
## Sanal Ağ (VNET) ve Alt Ağlar
## Virtual Network (VNET) & Subnets
Azure Sanal Ağı (VNet), bulutta kendi ağınızın bir temsilidir ve aboneliğinize özel Azure ortamında **mantıksal izolasyon** sağlar. VNets, Azure'da sanal özel ağlar (VPN'ler) oluşturmanıza ve yönetmenize olanak tanır ve Sanal Makineler (VM'ler), veritabanları ve uygulama hizmetleri gibi kaynakları barındırır. **Ağ ayarları üzerinde tam kontrol** sunar; IP adresi aralıkları, alt ağ oluşturma, yönlendirme tabloları ve ağ geçitleri dahil.
Bir Azure Virtual Network (VNet), buluttaki kendi ağınızın temsili olup aboneliğinize ayrılmış Azure ortamında **mantıksal izolasyon** sağlar. VNets, Azure'da virtual private networks (VPNs) oluşturup yönetmenize, Virtual Machines (VMs), veritabanları ve uygulama servisleri gibi kaynakları barındırmanıza olanak tanır. Ayrıca IP address ranges, subnet creation, route tables ve network gateways dahil olmak üzere ağ ayarları üzerinde **tam kontrol** sağlarlar.
**Alt ağlar**, belirli **IP adresi aralıkları** ile tanımlanan bir VNet içindeki alt bölümlerdir. Bir VNet'i birden fazla alt ağa bölerek, kaynakları ağ mimarinize göre organize edebilir ve güvence altına alabilirsiniz.\
Varsayılan olarak, aynı Azure Sanal Ağı (VNet) içindeki tüm alt ağlar **birbirleriyle iletişim kurabilir** ve herhangi bir kısıtlama yoktur.
**Subnets** bir VNet içindeki alt bölümlerdir ve belirli **IP address ranges** ile tanımlanırlar. Bir VNet'i birden fazla subnet'e bölerek, ağ mimarinize göre kaynakları düzenleyebilir ve güvenliğini sağlayabilirsiniz.\
Varsayılan olarak aynı Azure Virtual Network (VNet) içindeki tüm subnet'ler **herhangi bir kısıtlama olmadan birbirleriyle iletişim kurabilir**.
**Örnek:**
- `MyVNet` IP adresi aralığı 10.0.0.0/16.
- **Alt Ağ-1:** 10.0.0.0/24 web sunucuları için.
- **Alt Ağ-2:** 10.0.1.0/24 veritabanı sunucuları için.
- `MyVNet` with an IP address range of 10.0.0.0/16.
- **Subnet-1:** 10.0.0.0/24 for web servers.
- **Subnet-2:** 10.0.1.0/24 for database servers.
### Sayım
### Keşif
Azure hesabındaki tüm VNets ve alt ağları listelemek için Azure Komut Satırı Arayüzü (CLI) kullanabilirsiniz. İşte adımlar:
Bir Azure hesabındaki tüm VNets ve subnets'i listelemek için Azure Command-Line Interface (CLI) kullanabilirsiniz. İşte adımlar:
{{#tabs }}
{{#tab name="az cli" }}
@@ -49,16 +49,16 @@ Select-Object Name, AddressPrefix
## Ağ Güvenlik Grupları (NSG)
Bir **Ağ Güvenlik Grubu (NSG)**, Azure Sanal Ağı (VNet) içindeki Azure kaynaklarına giden ve gelen ağ trafiğini filtreler. **Güvenlik kuralları** setini barındırır ve bu kurallar, kaynak portu, kaynak IP, port hedefi ile **gelen ve giden trafik için hangi portların açılacağını** belirtebilir ve bir öncelik atamak mümkündür (öncelik numarası ne kadar düşükse, öncelik o kadar yüksektir).
Bir **Network Security Group (NSG)**, Azure Virtual Network (VNet) içindeki Azure kaynaklarına gelen ve kaynaklardan giden ağ trafiğini filtreler. Kaynak portu, kaynak IP, hedef port gibi ölçütlere göre **gelen ve giden trafik için hangi portların açılacağını** belirleyebilen bir dizi **güvenlik kuralı** içerir ve öncelik atamak mümkündür (öncelik numarası küçükse, öncelik daha yüksektir).
NSG'ler **alt ağlara ve NIC'lere** atanabilir.
NSG'ler **subnets ve NICs** ile ilişkilendirilebilir.
**Kural örneği:**
**Kurallar örneği:**
- Herhangi bir kaynaktan web sunucularınıza HTTP trafiğine (port 80) izin veren bir gelen kural.
- Belirli bir hedef IP adresi aralığına yalnızca SQL trafiğine (port 1433) izin veren bir giden kural.
- Herhangi bir kaynaktan web sunucularınıza HTTP trafiğine (port 80) izin veren bir inbound kural.
- Belirli bir hedef IP adres aralığına yalnızca SQL trafiğine (port 1433) izin veren bir outbound kural.
### Sayım
### Keşif
{{#tabs }}
{{#tab name="az cli" }}
@@ -71,7 +71,7 @@ az network nsg show --name <nsg-name>
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table
# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"
az network nsg show --name <NSGName> --resource-group <ResourceGroupName> --query "{subnets: subnets, networkInterfaces: networkInterfaces}"
```
{{#endtab }}
{{#tab name="PowerShell" }}
@@ -81,32 +81,35 @@ Get-AzNetworkSecurityGroup | Select-Object Name, Location
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>
# Get NSG rules
(Get-AzNetworkSecurityGroup -ResourceGroupName <NSGName> -Name <ResourceGroupName>).SecurityRules
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName> |
Select-Object -ExpandProperty SecurityRules |
Select-Object Name, Priority, Direction, Access, Protocol, SourceAddressPrefix, DestinationAddressPrefix, SourcePortRange, DestinationPortRange
# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).NetworkInterfaces
```
{{#endtab }}
{{#endtabs }}
## Azure Firewall
Azure Firewall, Azure'da **yönetilen bir ağ güvenlik hizmeti** olup, bulut kaynaklarını trafiği denetleyerek korur. **Durum bilgisi olan bir güvenlik duvarı**dır ve 3. ile 7. katmanlar arasındaki kurallara göre trafiği filtreler, hem **Azure içinde** (doğu-batı trafiği) hem de **dış ağlara/ dış ağlardan** (kuzey-güney trafiği) iletişimi destekler. **Sanal Ağ (VNet) düzeyinde** dağıtılır ve VNet'teki tüm alt ağlar için merkezi koruma sağlar. Azure Firewall, trafik taleplerini karşılamak için otomatik olarak ölçeklenir ve manuel kurulum gerektirmeden yüksek kullanılabilirlik sağlar.
Azure Firewall, doğu-batı ve kuzey-güney akışları için trafiği (L3L7) filtreleyen **yönetilen, durum bilgili bir firewall**'dır. **VNet level**'inde dağıtılır; tüm alt ağlar için incelemeyi merkezileştirir ve kullanılabilirlik için otomatik ölçeklenir.
Üç SKU'da mevcuttur—**Temel**, **Standart** ve **Premium**, her biri belirli müşteri ihtiyaçlarına göre özelleştirilmiştir:
Mevcut SKU'lar: **Basic**, **Standard**, ve **Premium**:
| Kriter/Özellik | Seçenek 1 | Seçenek 2 | Seçenek 3 |
| Criteria/Feature | Option 1 | Option 2 | Option 3 |
| ------------------------------ | ------------------------------------------------- | ------------------------------------------- | --------------------------------------------------------- |
| **Tavsiye Edilen Kullanım Durumu** | Sınırlı ihtiyaçları olan Küçük/Orta Ölçekli İşletmeler (SMB'ler) | Genel kurumsal kullanım, 37. katman filtreleme | Son derece hassas ortamlar (örneğin, ödeme işleme) |
| **Performans** | 250 Mbps'ye kadar verim | 30 Gbps'ye kadar verim | 100 Gbps'ye kadar verim |
| **Tehdit İstihbaratı** | Sadece uyarılar | Uyarılar ve engelleme (kötü niyetli IP'ler/alan adları) | Uyarılar ve engelleme (gelişmiş tehdit istihbaratı) |
| **L3L7 Filtreleme** | Temel filtreleme | Protokoller arasında durum bilgisi olan filtreleme | Gelişmiş denetim ile durum bilgisi olan filtreleme |
| **Gelişmiş Tehdit Koruması** | Mevcut değil | Tehdit istihbaratına dayalı filtreleme | Saldırı Tespit ve Önleme Sistemi (IDPS) içerir |
| **TLS Denetimi** | Mevcut değil | Mevcut değil | Gelen/giden TLS sonlandırmasını destekler |
| **Kullanılabilirlik** | Sabit arka uç (2 VM) | Otomatik ölçeklendirme | Otomatik ölçeklendirme |
| **Yönetim Kolaylığı** | Temel kontroller | Güvenlik Duvarı Yöneticisi aracılığıyla yönetilir | Güvenlik Duvarı Yöneticisi aracılığıyla yönetilir |
| **Recommended Use Case** | Küçük/Orta Ölçekli İşletmeler (KOBİ'ler) ile sınırlı ihtiyaçlar | Genel kurumsal kullanım, Layer 37 filtreleme | Yüksek hassasiyetli ortamlar (ör. ödeme işleme) |
| **Performance** | 250 Mbps'e kadar aktarım hızı | 30 Gbps'e kadar aktarım hızı | 100 Gbps'e kadar aktarım hızı |
| **Threat Intelligence** | Yalnızca uyarılar | Uyarılar ve engelleme (malicious IPs/domains) | Uyarılar ve engelleme (advanced threat intelligence) |
| **L3L7 Filtering** | Temel filtreleme | Protokoller arası durum bilgili filtreleme | Gelişmiş inceleme ile durum bilgili filtreleme |
| **Advanced Threat Protection** | Mevcut değil | Tehdit istihbaratına dayalı filtreleme | Saldırı Tespit ve Önleme Sistemi (IDPS) içerir |
| **TLS Inspection** | Mevcut değil | Mevcut değil | Gelen/giden TLS sonlandırmayı destekler |
| **Availability** | Sabit backend (2 VMs) | Autoscaling | Autoscaling |
| **Ease of Management** | Temel kontroller | Managed via Firewall Manager | Managed via Firewall Manager |
### Enumeration
### Keşif
{{#tabs }}
{{#tab name="az cli" }}
@@ -143,9 +146,14 @@ Get-AzFirewall
## Azure Route Tables
Azure **Route Tables**, bir alt ağ içindeki ağ trafiğinin yönlendirilmesini kontrol etmek için kullanılır. Paketlerin nasıl yönlendirilmesi gerektiğini belirten kuralları tanımlar; bu, Azure kaynaklarına, internete veya bir Sanal Cihaz veya Azure Firewall gibi belirli bir sonraki geçiş noktasına olabilir. Bir yönlendirme tablosunu bir **alt ağa** ilişkilendirebilir ve o alt ağ içindeki tüm kaynaklar tablodaki yönlendirmeleri takip eder.
Azure **Route Tables (UDR)**, hedef ön ekleri (ör. `10.0.0.0/16` veya `0.0.0.0/0`) ve bir next hop (Virtual Network, Internet, Virtual Network Gateway veya Virtual Appliance) tanımlayarak varsayılan yönlendirmeyi geçersiz kılmanızı sağlar.
**Örnek:** Eğer bir alt ağ, dışa doğru trafiği inceleme için bir Ağ Sanal Cihazı (NVA) üzerinden yönlendirmesi gereken kaynakları barındırıyorsa, tüm trafiği (örneğin, `0.0.0.0/0`) NVA'nın özel IP adresine yönlendirmek için bir yönlendirme tablosunda bir **yönlendirme** oluşturabilirsiniz.
> Rotalar subnet düzeyinde uygulanır; o subnet'teki tüm VMs tabloyu takip eder.
**Örnek:**
- Internet'e yönlenen trafik için varsayılan `0.0.0.0/0`'ı **Internet** olarak next hop ile kullanın.
- Giden trafiği incelemek için `0.0.0.0/0`'ı bir Network Virtual Appliance (NVA) IP'sine yönlendirin.
### **Enumeration**
@@ -155,8 +163,11 @@ Azure **Route Tables**, bir alt ağ içindeki ağ trafiğinin yönlendirilmesini
# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table
# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table
# List routes for a table (summary)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table
# List routes for a table (full)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName>
```
{{#endtab }}
{{#tab name="PowerShell" }}
@@ -170,20 +181,20 @@ Get-AzRouteTable
{{#endtab }}
{{#endtabs }}
## Azure Özel Bağlantı
## Azure Private Link
Azure Özel Bağlantı, **Azure hizmetlerine özel erişim sağlamayı** mümkün kılan bir hizmettir ve **Azure sanal ağınız (VNet) ile hizmet arasındaki trafiğin tamamen Microsoft'un Azure omurga ağı içinde seyahat etmesini sağlar**. Bu, hizmeti VNet'inize etkili bir şekilde getirir. Bu yapılandırma, verileri genel internete maruz bırakmadığı için güvenliği artırır.
Azure Private Link, Azure içinde bir hizmettir ve **Azure hizmetlerine özel erişim sağlar**; bunun için **Azure virtual network (VNet) ile hizmet arasındaki trafiğin tamamen Microsoft'un Azure omurga ağı içinde seyahat etmesini** garanti eder. Bu, hizmeti etkili şekilde VNet'inize getirir. Bu yapı, veriyi genel internete maruz bırakmayarak güvenliği artırır.
Özel Bağlantı, Azure Depolama, Azure SQL Veritabanı ve Özel Bağlantı aracılığıyla paylaşılan özel hizmetler gibi çeşitli Azure hizmetleri ile kullanılabilir. Kendi VNet'inizden veya farklı Azure aboneliklerinden hizmetleri güvenli bir şekilde tüketmenin bir yolunu sunar.
Private Link, Azure Storage, Azure SQL Database gibi çeşitli Azure hizmetleriyle ve Private Link aracılığıyla paylaşılan özel hizmetlerle kullanılabilir. Kendi VNet'iniz içinden veya farklı Azure aboneliklerinden bile hizmet tüketmek için güvenli bir yol sağlar.
> [!CAUTION]
> NSG'ler özel uç noktalar için geçerli değildir, bu da bir Özel Bağlantı içeren bir alt ağ ile bir NSG'yi ilişkilendirmenin hiçbir etkisi olmayacağı anlamına gelir.
> NSGs private endpoints için uygulanmaz; bu da Private Link içeren bir subnet'e NSG ilişkilendirmenin hiçbir etki yaratmayacağı anlamına gelir.
**Örnek:**
VNet'inizden güvenli bir şekilde erişmek istediğiniz bir **Azure SQL Veritabanı** senaryosunu düşünün. Normalde, bu genel internet üzerinden geçiş yapmayı gerektirebilir. Özel Bağlantı ile, Azure SQL Veritabanı hizmetine doğrudan bağlanan **VNet'inizde bir özel uç nokta oluşturabilirsiniz**. Bu uç nokta, veritabanını kendi VNet'inizin bir parçasıymış gibi gösterir ve özel bir IP adresi aracılığıyla erişilebilir hale getirir, böylece güvenli ve özel erişim sağlanır.
VNet'inizden güvenli şekilde erişmek istediğiniz bir **Azure SQL Database** olduğunu varsayın. Normalde bu, genel interneti kullanmayı gerektirebilir. Private Link ile **VNet'inizde bir private endpoint** oluşturarak Azure SQL Database hizmetine doğrudan bağlanabilirsiniz. Bu endpoint, veritabanını kendi VNet'inizin bir parçasıymış gibi, özel bir IP adresi üzerinden erişilebilir hale getirir ve böylece güvenli ve özel erişim sağlar.
### **Sıralama**
### **Keşif**
{{#tabs }}
{{#tab name="az cli" }}
@@ -206,15 +217,62 @@ Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, Private
{{#endtab }}
{{#endtabs }}
## Azure Servis Uç Noktaları
### service Private DNS zone bağlantıları aracılığıyla DNS OverDoS
Azure Servis Uç Noktaları, sanal ağınızın özel adres alanını ve VNet'inizin kimliğini doğrudan bir bağlantı üzerinden Azure hizmetlerine genişletir. Servis uç noktalarını etkinleştirerek, **VNet'inizdeki kaynaklar Azure hizmetlerine güvenli bir şekilde bağlanabilir**, örneğin Azure Storage ve Azure SQL Database, Azure'un omurga ağı kullanılarak. Bu, **VNet'ten Azure hizmetine giden trafiğin Azure ağı içinde kalmasını sağlar**, daha güvenli ve güvenilir bir yol sunar.
Bir VNet'in bir **Virtual Network Link** ile bir **service Private DNS zone**'a (ör. `privatelink.blob.core.windows.net`) bağlı olması durumunda, Azure o hizmet türüne ait Private Link ile kayıtlı kaynakların hostname çözümlemesini zona üzerinden **zorunlu kılar**. Eğer zona, iş yüklerinin hâlâ genel uç noktası üzerinden eriştiği bir kaynak için gerekli `A` kaydını **içermiyorsa**, DNS çözümlemesi **NXDOMAIN** döner ve istemciler genel IP'ye asla ulaşamaz; bu da kaynağa dokunmadan bir **availability DoS**'a yol ar.
**Kötüye kullanım akışı (control-plane DoS):**
1. **Private Endpoints** oluşturmayı veya **Private DNS zone links** değiştirmeyi sağlayan RBAC yetkisi elde edin.
2. Aynı hizmet türü için başka bir VNet'te bir Private Endpoint oluşturun (Azure, service Private DNS zone'u otomatik olarak oluşturur ve onu o VNet'e bağlar).
3. O **service Private DNS zone**'u hedef VNet'e bağlayın.
4. Çünkü hedef VNet artık çözümlemeyi **Private DNS zone üzerinden zorunlu kılıyor** ve o zonada hedef kaynak için bir `A` kaydı yoksa, isim çözümlemesi başarısız olur ve iş yükü hala genel uç noktaya ulaşamaz. Bu, Private Link tarafından desteklenen herhangi bir hizmet için geçerlidir (storage, Key Vault, ACR, Cosmos DB, Function Apps, OpenAI, vb.).
**Büyük ölçekte keşif (Azure Resource Graph):**
- blob Private DNS zone'a bağlı VNET'ler (PL-registered blob endpoints için zorunlu çözümleme):
```kusto
resources
| where type == "microsoft.network/privatednszones/virtualnetworklinks"
| extend
zone = tostring(split(id, "/virtualNetworkLinks")[0]),
vnetId = tostring(properties.virtualNetwork.id)
| join kind=inner (
resources
| where type == "microsoft.network/privatednszones"
| where name == "privatelink.blob.core.windows.net"
| project zoneId = id
) on $left.zone == $right.zoneId
| project vnetId
```
- Storage accounts public endpoint üzerinden erişilebilir ancak **Private Endpoint connections** olmadan (yukarıdaki link eklenirse muhtemelen bozulur):
```kusto
Resources
| where type == "microsoft.storage/storageaccounts"
| extend publicNetworkAccess = properties.publicNetworkAccess
| extend defaultAction = properties.networkAcls.defaultAction
| extend vnetRules = properties.networkAcls.virtualNetworkRules
| extend ipRules = properties.networkAcls.ipRules
| extend privateEndpoints = properties.privateEndpointConnections
| where publicNetworkAccess == "Enabled"
| where defaultAction == "Deny"
| where (isnull(privateEndpoints) or array_length(privateEndpoints) == 0)
| extend allowedVnets = iif(isnull(vnetRules), 0, array_length(vnetRules))
| extend allowedIps = iif(isnull(ipRules), 0, array_length(ipRules))
| where allowedVnets > 0 or allowedIps > 0
| project id, name, vnetRules, ipRules
```
## Azure Service Endpoints
Azure Service Endpoints, sanal ağınızın (VNet) özel adres alanını ve VNet kimliğini doğrudan bir bağlantı üzerinden Azure hizmetlerine genişletir. Service endpoint'leri etkinleştirildiğinde, **VNet'inizdeki kaynaklar Azure hizmetlerine**, örneğin Azure Storage ve Azure SQL Database, Azure omurga ağı üzerinden güvenli bir şekilde bağlanabilir. Bu, Network Security Groups (NSGs) ile birleştirildiğinde ayrıntılı trafik kontrolü için özellikle kullanışlıdır.
**Örnek:**
Örneğin, bir **Azure Storage** hesabı varsayılan olarak genel internet üzerinden erişilebilir. **VNet'iniz içinde Azure Storage için bir servis uç noktası etkinleştirerek**, yalnızca VNet'inizden gelen trafiğin depolama hesabına erişmesini sağlayabilirsiniz. Depolama hesabı güvenlik duvarı, yalnızca VNet'inizden gelen trafiği kabul edecek şekilde yapılandırılabilir.
- VNET içinde **Storage** Account ve Service Endpoint **etkinleştirildiğinde**, depolama hesabı güvenlik duvarında **sadece bir VNet'ten gelen gelen trafiğe** izin vermek mümkün olur; bu da depolama hizmeti için public IP erişimine gerek kalmadan **güvenli bir bağlantı** sağlar.
### **Numaralandırma**
Service Endpoints, hizmetler için **özel IP adresleri gerektirmez** ve güvenli bağlantı için Azure omurgasına dayanır. Kurulumu Private Links'e kıyasla **daha kolaydır**, ancak Private Links'in sağladığı aynı düzeyde izolasyon ve ayrıntılı kontrolü sunmaz.
### **Enumeration**
{{#tabs }}
{{#tab name="az cli" }}
@@ -223,7 +281,10 @@ Azure Servis Uç Noktaları, sanal ağınızın özel adres alanını ve VNet'in
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table
# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}"
# List Service Endpoints for a Subnet
az network vnet subnet show --resource-group <ResourceGroupName> --vnet-name <VNetName> --name <SubnetName> --query "serviceEndpoints"
```
{{#endtab }}
{{#tab name="PowerShell" }}
@@ -237,73 +298,87 @@ Get-AzVirtualNetwork
{{#endtab }}
{{#endtabs }}
### Service Endpoint'leri ve Özel Bağlantılar Arasındaki Farklar
### Service Endpoints ve Private Links Arasındaki Farklar
Microsoft, [**docs**](https://learn.microsoft.com/en-us/azure/virtual-network/vnet-integration-for-azure-services#compare-private-endpoints-and-service-endpoints) sayfasında Özel Bağlantıların kullanılmasını önermektedir:
Microsoft, Private Links kullanımını [**docs**](https://learn.microsoft.com/en-us/azure/virtual-network/vnet-integration-for-azure-services#compare-private-endpoints-and-service-endpoints) bölümünde önerir:
<figure><img src="../../../../images/image (25).png" alt=""><figcaption></figcaption></figure>
**Service Endpoint'leri:**
**Service Endpoints:**
- VNet'inizden Azure hizmetine giden trafik, kamu internetini atlayarak Microsoft Azure omurga ağı üzerinden ger.
- Endpoint, Azure hizmetine doğrudan bir bağlantıdır ve VNet içinde hizmet için özel bir IP sağlamaz.
- Hizmet, VNet'iniz dışından kamu endpoint'i aracılığıyla hala erişilebilir, aksi takdirde hizmet güvenlik duvarını bu tür trafiği engelleyecek şekilde yapılandırmadığınız sürece.
- Alt ağ ile Azure hizmeti arasında bire bir ilişki vardır.
- Özel Bağlantılardan daha az maliyetlidir.
- VNet'inizden Azure servisine giden trafik, genel interneti atlayarak Microsoft Azure omurga ağı üzerinden gider.
- Endpoint, Azure servisine doğrudan bir bağlantıdır ve VNet içinde servis için özel bir IP sağlamaz.
- Servis, hizmetin firewall'ını bu trafiği engelleyecek şekilde yapılandırmadığınız sürece VNet'iniz dışından public endpoint aracılığıyla erişilebilir olmaya devam eder.
- Subnet ile Azure servisi arasında bire bir ilişki vardır.
- Private Links'e göre daha az maliyetlidir.
**Özel Bağlantılar:**
**Private Links:**
- Özel Bağlantı, Azure hizmetlerini VNet'inize özel bir endpoint aracılığıyla haritalar; bu, VNet'iniz içinde özel bir IP adresine sahip bir ağ arayüzür.
- Azure hizmetine bu özel IP adresi kullanılarak erişilir, bu da onuınızın bir parçası gibi gösterir.
- Özel Bağlantı aracılığıyla bağlanan hizmetlere yalnızca VNet'inizden veya bağlı ağlardan erişilebilir; hizmete kamu internet erişimi yoktur.
- Azure hizmetlerine veya Azure'da barındırılan kendi hizmetlerinize güvenli bir bağlantı sağlar ve başkaları tarafından paylaşılan hizmetlere de bağlantı sunar.
- VNet'inizde özel bir endpoint aracılığıyla daha ayrıntılı erişim kontrolü sağlar; bu, hizmet endpoint'leri ile alt ağ düzeyinde daha geniş erişim kontrolüne kıyasla.
- Private Link, Azure hizmetlerini VNet'inize, VNet içinde özel bir IP adresine sahip bir ağ arayüzü olan private endpoint aracılığıyla haritalar.
- Azure hizmetine bu özel IP adresi kullanılarak erişilir; bu, hizmetinınızın bir parçasıymış gibi görünmesini sağlar.
- Private Link aracılığıyla bağlanan hizmetlere yalnızca VNet'inizden veya bağlı ağlardan erişilebilir; hizmete genel internet erişimi yoktur.
- Azure hizmetlerine veya Azure'da barındırılan kendi hizmetlerinize güvenli bir bağlantı sağlar; ayrıca başkaları tarafından paylaşılan hizmetlere de bağlantı imkanı sunar.
- Service endpoints ile alt ağ düzeyindeki daha geniş erişim kontrolünün aksine, VNet'inizdeki private endpoint aracılığıyla daha ayrıntılı erişim kontrolü sağlar.
Özetle, hem Service Endpoint'leri hem de Özel Bağlantılar Azure hizmetlerine güvenli bağlantı sağlarken, **Özel Bağlantılar, hizmetlerin kamu internetine maruz kalmadan özel olarak erişilmesini sağlayarak daha yüksek bir izolasyon ve güvenlik seviyesi sunar**. Öte yandan, Service Endpoint'leri, VNet içinde özel bir IP gerektirmeden Azure hizmetlerine basit ve güvenli erişim gereken genel durumlar için daha kolay bir şekilde kurulabilir.
Özetle, Service Endpoints ve Private Links her ikisi de Azure hizmetlerine güvenli bağlantı sağlasa da, **Private Links, hizmetlerin genel internete açılmadan özel olarak erişilmesini sağlayarak daha yüksek düzeyde izolasyon ve güvenlik sunar**. Service Endpoints ise, VNet içinde özel bir IP'ye ihtiyaç olmadan Azure hizmetlerine basit, güvenli erişim gerektiği genel durumlar için kurulum açısından daha kolaydır.
## Azure Front Door (AFD) & AFD WAF
**Azure Front Door**, **küresel web uygulamalarınızın hızlı teslimatı** için ölçeklenebilir ve güvenli bir giriş noktasıdır. **Küresel yük dengeleme, site hızlandırma, SSL yük dengelemesi ve Web Uygulama Güvenlik Duvarı (WAF)** yetenekleri gibi çeşitli hizmetleri tek bir hizmette **birleştirir**. Azure Front Door, **kullanıcıya en yakın kenar konumuna** dayalı akıllı yönlendirme sağlar, böylece optimal performans ve güvenilirlik sunar. Ayrıca, URL tabanlı yönlendirme, çoklu site barındırma, oturum bağlılığı ve uygulama katmanı güvenliği sunar.
**Azure Front Door**, küresel web uygulamalarınızın **hızlı teslimatı** için ölçeklenebilir ve güvenli bir giriş noktasıdır. Uygulama hızlandırma, **SSL offloading** ve uygulama katmanı güvenliği gibi çeşitli hizmetleri **birleştirir** (Web Application Firewall - WAF aracılığıyla). Dünya çapındaki edge POP (Point of Presence) konumları konsepti üzerine inşa edilmiştir; bu sayede uygulamalarınızı kullanıcılarınıza daha yakın hale getirir.
**Azure Front Door WAF**, **web tabanlı saldırılardan web uygulamalarını korumak** için tasarlanmıştır ve arka uç kodunda değişiklik gerektirmez. SQL enjeksiyonu, çapraz site betikleme ve diğer yaygın saldırılara karşı koruma sağlamak için özel kurallar ve yönetilen kural setleri içerir.
> Azure Front Door, gelen trafiği web uygulamalarınıza (Azure'da veya başka yerde) **yönlendirmek ve hızlandırmak**, performansı iyileştirmek ve güvenliği artırmak için küresel olarak dağıtılmış bir edge konumlarıı sağlar.
**Örnek:**
Dünyanın dört bir yanında kullanıcıları olan küresel bir dağıtım uygulamanız olduğunu hayal edin. Azure Front Door'u kullanarak **kullanıcı isteklerini uygulamanızı barındıran en yakın bölgesel veri merkezine yönlendirebilirsiniz**, böylece gecikmeyi azaltır, kullanıcı deneyimini iyileştirir ve **WAF yetenekleri ile web saldırılarına karşı savunursunuz**. Belirli bir bölge kesinti yaşarsa, Azure Front Door otomatik olarak trafiği bir sonraki en iyi konuma yönlendirebilir, böylece yüksek kullanılabilirlik sağlar.
- Dünya çapında kullanıcıları olan bir e-ticaret platformu için, **Azure Front Door edge konumlarında statik içeriği önbelleğe alabilir** ve **SSL offloading** sunarak gecikmeyi azaltır ve daha duyarlı bir kullanıcı deneyimi sağlar. Ayrıca, uygulamalarınızı SQL injection veya XSS gibi yaygın web açıklarına karşı korumak için **WAF** sağlar.
### Enumeration
Azure Front Door ayrıca health probe'ları ve gecikmeye göre trafiği en yakın kullanılabilir backend'e yönlendirerek **akıllı yük dengeleme** sunar; bu, tutarlı performans ve kullanılabilirlik sağlar. **WAF**'ı entegre ederek yaygın web tehditlerine karşı koruma sağlar.
### **Keşif**
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List Azure Front Door Instances
# List Azure Front Door profiles
az afd profile list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table
# List AFD endpoints
az afd endpoint list --profile-name <ProfileName> --resource-group <ResourceGroupName> --query "[].{name:name, hostName:hostName, state:resourceState}" -o table
# Classic Azure Front Door (v1) profiles
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table
# List Front Door WAF Policies
# Classic Azure Front Door WAF policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```bash
# List Azure Front Door Instances
# List Azure Front Door profiles
Get-AzFrontDoorCdnProfile | Select-Object Name, Location, ResourceGroupName
# List AFD endpoints
Get-AzFrontDoorCdnEndpoint -ProfileName <ProfileName> -ResourceGroupName <ResourceGroupName> | Select-Object Name, HostName, ResourceState
# Classic Azure Front Door (v1) profiles
Get-AzFrontDoor
# List Front Door WAF Policies
# Classic Azure Front Door WAF policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>
```
{{#endtab }}
{{#endtabs }}
## Azure Uygulama Geçidi ve Azure Uygulama Geçidi WAF
## Azure Application Gateway ve Azure Application Gateway WAF
Azure Uygulama Geçidi, **web trafiği yük dengeleyici** olup, **web** uygulamalarınıza trafik yönetimi sağlar. **Katman 7 yük dengeleme, SSL sonlandırma ve web uygulama güvenlik duvarı (WAF) yetenekleri** sunar ve Uygulama Dağıtım Kontrolörü (ADC) olarak hizmet verir. Ana özellikler arasında URL tabanlı yönlendirme, çerez tabanlı oturum bağlılığı ve güvenli soket katmanı (SSL) yük dengelemesi bulunur; bu özellikler, küresel yönlendirme ve yol tabanlı yönlendirme gibi karmaşık yük dengeleme yetenekleri gerektiren uygulamalar için kritik öneme sahiptir.
Azure Application Gateway, web uygulamalarınıza gelen trafiği yönetmenizi sağlayan bir **web trafiği yük dengeleyicisidir**. Uygulama Delivery Controller (ADC) olarak servis halinde **Layer 7 load balancing, SSL termination ve web application firewall (WAF) yetenekleri** sunar. Temel özellikler arasında URL tabanlı yönlendirme, çerez tabanlı oturum bağlılığı ve secure sockets layer (SSL) offloading yer alır; bunlar global yönlendirme ve yol tabanlı yönlendirme gibi karmaşık yük dengeleme gereksinimi olan uygulamalar için kritik öneme sahiptir.
**Örnek:**
Bir e-ticaret web siteniz olduğunu ve bu sitenin kullanıcı hesapları ve ödeme işlemleri gibi farklı işlevler için birden fazla alt alan adı içerdiğini düşünün. Azure Uygulama Geçidi, **URL yoluna göre trafiği uygun web sunucularına yönlendirebilir**. Örneğin, `example.com/accounts` adresine gelen trafik kullanıcı hesapları hizmetine, `example.com/pay` adresine gelen trafik ise ödeme işleme hizmetine yönlendirilebilir.\
Ve **WAF yeteneklerini kullanarak web sitenizi saldırılardan koruyun.**
Farklı işlevler için birden fazla alt alan adı içeren bir e-ticaret siteniz olduğunu düşünün; örneğin kullanıcı hesapları ve ödeme işleme için ayrı alt alan adları. Azure Application Gateway, URL yoluna göre trafiği uygun web sunucularına yönlendirebilir. Örneğin, `example.com/accounts` adresine gelen trafik kullanıcı hesapları servisine, `example.com/pay` adresine gelen trafik ise ödeme işleme servisine yönlendirilebilir.\
Ayrıca WAF yetenekleriyle sitenizi saldırılardan koruyabilirsiniz.
### **Numaralandırma**
### **Keşif**
{{#tabs }}
{{#tab name="az cli" }}
@@ -320,20 +395,20 @@ az network application-gateway waf-config list --gateway-name <AppGatewayName> -
{{#endtab }}
{{#endtabs }}
## Azure Hub, Spoke & VNet Peering
## VNet Peering & HUB and Spoke topologies
**VNet Peering**, Azure'da **farklı Sanal Ağların (VNet'lerin) doğrudan ve kesintisiz bir şekilde bağlanmasını sağlayan** bir ağ özelliğidir. VNet peering aracılığıyla, bir VNet'teki kaynaklar, **sanki aynı ağdaymış gibi** başka bir VNet'teki kaynaklarla özel IP adresleri kullanarak iletişim kurabilir.\
**VNet Peering, yerel ağlarla da kullanılabilir**; bir site-to-site VPN veya Azure ExpressRoute kurarak.
### VNet Peering
**Azure Hub ve Spoke**, Azure'da ağ trafiğini yönetmek ve organize etmek için kullanılan bir ağ topolojisidir. **"Hub", farklı "spokelar" arasındaki trafiği kontrol eden ve yönlendiren merkezi bir noktadır**. Hub genellikle ağ sanal cihazları (NVA'lar), Azure VPN Gateway, Azure Firewall veya Azure Bastion gibi paylaşılan hizmetleri içerir. **"Spokelar", iş yüklerini barındıran ve VNet peering kullanarak huba bağlanan VNNet'lerdir**, bu da onların hub içindeki paylaşılan hizmetlerden yararlanmalarını sağlar. Bu model, farklı VNNet'ler arasında birden fazla iş yükünün kullanabileceği ortak hizmetleri merkezileştirerek karmaşıklığı azaltarak temiz bir ağ düzenini teşvik eder.
**VNet Peering** is a feature in Azure that **allows different Virtual Networks (VNets) to be connected directly and seamlessly**. Through VNet peering, resources in one VNet can communicate with resources in another VNet using private IP addresses, **as if they were in the same network**.\
**VNet Peering can also used with a on-prem networks** by setting up a site-to-site VPN or Azure ExpressRoute.
> [!CAUTION] > **VNET eşleştirmesi Azure'da geçişli değildir**, bu da demektir ki eğer spoke 1, spoke 2'ye bağlıysa ve spoke 2, spoke 3'e bağlıysa, spoke 1 doğrudan spoke 3 ile iletişim kuramaz.
**Azure Hub and Spoke** is a network architecture that leverages VNet peering to create a central **Hub VNet** which connects to multiple **Spoke VNets**. The hub typically contains shared services (such as firewalls, DNS, or Active Directory) while spokes host application workloads. This design simplifies management, enhances security through centralized controls, and reduces redundancy.
**Örnek:**
**Example:**
Satış, İK ve Geliştirme gibi ayrı departmanlara sahip bir şirketi hayal edin, **her birinin kendi VNet'i (spokelar)** vardır. Bu VNNet'ler, **merkezi bir veritabanı, bir güvenlik duvarı ve bir internet geçidi gibi paylaşılan kaynaklara erişim gerektirir**, bunların hepsi **başka bir VNet'te (hub)** bulunmaktadır. Hub ve Spoke modelini kullanarak, her departman **bu paylaşılan kaynaklara, o kaynakları kamu internetine maruz bırakmadan veya çok sayıda bağlantı ile karmaşık bir ağ yapısı oluşturmadan hub VNet aracılığıyla güvenli bir şekilde bağlanabilir**.
Büyük bir kuruluş, Finans, İK, IT gibi birden çok departmana sahip bir yapı için firewall'lar ve DNS sunucuları gibi paylaşılan servisleri barındıran bir **Hub VNet** oluşturabilir. Her departmanın, peering aracılığıyla Hub'a bağlanan kendi **Spoke VNet**'i olabilir. Bu, departmanların kaynaklarını genel internete açmadan güvenli bir şekilde iletişim kurmasına ve paylaşılan servisleri kullanmasına olanak tanır.
### Enumeration
### **Enumeration**
{{#tabs }}
{{#tab name="az cli" }}
@@ -341,8 +416,8 @@ Satış, İK ve Geliştirme gibi ayrı departmanlara sahip bir şirketi hayal ed
# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table
# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table
# List VNet Peerings
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, remoteVnetId:remoteVirtualNetwork.id, allowForwardedTraffic:allowForwardedTraffic, allowGatewayTransit:allowGatewayTransit}"
# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table
@@ -353,8 +428,8 @@ az network firewall list --query "[].{name:name, location:location, resourceGrou
# List all VNets in your subscription
Get-AzVirtualNetwork
# List VNet peering connections for a given VNet
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).VirtualNetworkPeerings
# List VNet Peerings
Get-AzVirtualNetworkPeering -ResourceGroupName <ResourceGroupName> -VirtualNetworkName <VNetName>
# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall
@@ -364,13 +439,13 @@ Get-AzFirewall
## Site-to-Site VPN
Azure'daki Site-to-Site VPN, **yerelınızı Azure Sanal Ağı (VNet) ile bağlamanıza** olanak tanır ve Azure içindeki VM'ler gibi kaynakların yerel ağınızda varmış gibi görünmesini sağlar. Bu bağlantı, iki ağ arasındaki trafiği **şifreleyen bir VPN geçidi aracılığıyla** kurulur.
Azure'da bir Site-to-Site VPN, şirket içiınız ile Azure Virtual Network (VNet) arasında güvenli ve kalıcı bir bağlantı kurarak, Azure içindeki VMs gibi kaynakların yerel ağınızdaymış gibi görünmesini sağlar. Bu bağlantı, iki ağ arasındaki trafiği şifreleyen bir VPN gateway üzerinden kurulur.
**Örnek:**
Ana ofisi New York'ta bulunan bir işletmenin, Azure'daki VNet'ine güvenli bir şekilde bağlanması gereken yerel bir veri merkezi vardır; bu VNet, sanallaştırılmış iş yüklerini barındırmaktadır. **Site-to-Site VPN kurarak, şirket yerel sunucular ile Azure VM'leri arasında şifreli bir bağlantı sağlayabilir**, böylece kaynaklar her iki ortamda da sanki aynı yerel ağdaymış gibi güvenli bir şekilde erişilebilir.
New York'ta ana ofisi bulunan bir işletmenin, sanallaştırılmış iş yüklerini barındıran VNet'ine güvenli şekilde bağlanması gereken şirket içi bir veri merkezi vardır. Bir Site-to-Site VPN kurarak, şirket şirket içi sunucular ile Azure VMs arasındaki bağlantının şifrelenmesini sağlayabilir; böylece kaynaklar her iki ortam arasında aynı yerel ağdaymış gibi güvenli şekilde erişilebilir olur.
### **Enumeration**
### **Keşif**
{{#tabs }}
{{#tab name="az cli" }}
@@ -395,13 +470,13 @@ Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>
## Azure ExpressRoute
Azure ExpressRoute, **yerel altyapınız ile Azure veri merkezleri arasında özel, ayrılmış, yüksek hızlı bir bağlantı sağlayan bir hizmettir**. Bu bağlantı, kamu internetini atlayarak bir bağlantı sağlayıcısı aracılığıyla yapılır ve tipik internet bağlantılarından daha fazla güvenilirlik, daha hızlı hızlar, daha düşük gecikmeler ve daha yüksek güvenlik sunar.
Azure ExpressRoute, **şirket içi altyapınız ile Azure veri merkezleri arasında özel, ayrılmış, yüksek hızlı bir bağlantı** sağlayan bir hizmettir. Bu bağlantı bir bağlantı sağlayıcısı aracılığıyla kurulmakta; genel interneti atlayarak tipik internet bağlantılarına göre daha fazla güvenilirlik, daha yüksek hızlar, daha düşük gecikme ve daha yüksek güvenlik sunar.
**Örnek:**
Bir çok uluslu şirket, **yüksek veri hacmi ve yüksek veri akışı ihtiyacı nedeniyle Azure hizmetlerine sürekli ve güvenilir bir bağlantı gerektirir**. Şirket, yerel veri merkezini doğrudan Azure'a bağlamak için Azure ExpressRoute'u tercih eder, böylece günlük yedeklemeler ve gerçek zamanlı veri analitiği gibi büyük ölçekli veri transferlerini artırılmış gizlilik ve hız ile kolaylaştırır.
Çok uluslu bir şirket, **yüksek veri hacmi ve yüksek aktarım kapasitesi ihtiyacı nedeniyle Azure hizmetlerine tutarlı ve güvenilir bir bağlantı** gerektirmektedir. Şirket, şirket içi veri merkezini doğrudan Azure'a bağlamak için Azure ExpressRoute'u tercih eder; bu, günlük yedeklemeler ve gerçek zamanlı veri analitiği gibi büyük ölçekli veri transferlerini artırılmış gizlilik ve hızla kolaylaştırır.
### **Enumeration**
### **Keşif**
{{#tabs }}
{{#tab name="az cli" }}
@@ -418,4 +493,10 @@ Get-AzExpressRouteCircuit
{{#endtab }}
{{#endtabs }}
## Referanslar
- [DNS OverDoS: Are Private Endpoints Too Private?](https://unit42.paloaltonetworks.com/dos-attacks-and-azure-private-endpoint/)
- [Azure Private Endpoint DNS configuration](https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns)
- [Private DNS fallback to internet](https://learn.microsoft.com/en-us/azure/dns/private-dns-fallback)
{{#include ../../../../banners/hacktricks-training.md}}