gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 11:26:11 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-keyvault

Browse Source
This commit is contained in:
Translator
2025-08-04 09:31:49 +00:00
parent 38cbd88d24
commit de7528dfb3
1 changed files with 7 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files

11
src/pentesting-cloud/azure-security/az-services/az-keyvault.md
View File

@@ -4,11 +4,11 @@
## Informações Básicas
**Azure Key Vault** é um serviço de nuvem fornecido pela Microsoft Azure para armazenar e gerenciar informações sensíveis de forma segura, como **segredos, chaves, certificados e senhas**. Ele atua como um repositório centralizado, oferecendo acesso seguro e controle detalhado usando o Azure Active Directory (Azure AD). Do ponto de vista de segurança, o Key Vault fornece **proteção de módulo de segurança de hardware (HSM)** para chaves criptográficas, garante que os segredos sejam criptografados tanto em repouso quanto em trânsito, e oferece gerenciamento de acesso robusto por meio de **controle de acesso baseado em função (RBAC)** e políticas. Ele também possui **registro de auditoria**, integração com o Azure Monitor para rastreamento de acesso e rotação automática de chaves para reduzir o risco de exposição prolongada de chaves.
**Azure Key Vault** é um serviço de nuvem fornecido pela Microsoft Azure para armazenar e gerenciar informações sensíveis de forma segura, como **segredos, chaves, certificados e senhas**. Ele atua como um repositório centralizado, oferecendo acesso seguro e controle detalhado usando o Azure Active Directory (Azure AD). Do ponto de vista de segurança, o Key Vault fornece **proteção de módulo de segurança de hardware (HSM)** para chaves criptográficas, garante que os segredos sejam criptografados tanto em repouso quanto em trânsito, e oferece gerenciamento de acesso robusto por meio de **controle de acesso baseado em função (RBAC)** e políticas. Também possui **registro de auditoria**, integração com o Azure Monitor para rastreamento de acesso e rotação automática de chaves para reduzir o risco de exposição prolongada de chaves.
Veja a [visão geral da API REST do Azure Key Vault](https://learn.microsoft.com/en-us/azure/key-vault/general/about-keys-secrets-certificates) para detalhes completos.
De acordo com a [**documentação**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts), os Vaults suportam o armazenamento de chaves de software e chaves suportadas por HSM, segredos e certificados. Os pools de HSM gerenciados suportam apenas chaves suportadas por HSM.
De acordo com a [**documentação**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts), os Vaults suportam o armazenamento de chaves, segredos e certificados de software e com suporte a HSM. Os pools de HSM gerenciados suportam apenas chaves com suporte a HSM.
O **formato de URL** para **vaults** é `https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}` e para pools de HSM gerenciados é: `https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}`
@@ -48,7 +48,7 @@ Para analisar e gerenciar essas configurações, você pode usar o **Azure CLI**
```bash
az keyvault show --name name-vault --query networkAcls
```
O comando anterior exibirá as configurações do f**irewall de `name-vault`**, incluindo intervalos de IP habilitados e políticas para tráfego negado.
O comando anterior exibirá as configurações de f**irewall de `name-vault`**, incluindo intervalos de IP habilitados e políticas para tráfego negado.
Além disso, é possível criar um **endpoint privado** para permitir uma conexão privada a um cofre.
@@ -56,7 +56,7 @@ Além disso, é possível criar um **endpoint privado** para permitir uma conex
Quando um cofre de chaves é criado, o número mínimo de dias para permitir a exclusão é 7. O que significa que sempre que você tentar excluir esse cofre de chaves, ele precisará **de pelo menos 7 dias para ser excluído**.
No entanto, é possível criar um cofre com **proteção contra purga desativada**, o que permite que o cofre de chaves e os objetos sejam purgados durante o período de retenção. Embora, uma vez que essa proteção esteja habilitada para um cofre, não pode ser desativada.
No entanto, é possível criar um cofre com **proteção contra purgação desativada**, o que permite que o cofre de chaves e os objetos sejam purgados durante o período de retenção. Embora, uma vez que essa proteção esteja habilitada para um cofre, não pode ser desativada.
## Enumeração
@@ -89,6 +89,9 @@ az role assignment list --include-inherited --scope "/subscriptions/<subscriptio
az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>
# List deleted key vaults
az keyvault secret list-deleted --vault-name <vault-name>
```
{{#endtab }}