gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 19:32:24 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 18:56:17 +00:00
parent 7770a50092
commit ea97a1362c
244 changed files with 8836 additions and 11682 deletions
Download Patch File Download Diff File Expand all files Collapse all files

26
src/pentesting-cloud/ibm-cloud-pentesting/README.md
View File

@@ -4,20 +4,20 @@
{{#include ../../banners/hacktricks-training.md}}
### What is IBM cloud? (By chatGPT)
### O que é IBM Cloud? (Por chatGPT)
IBM Cloud, a cloud computing platform by IBM, offers a variety of cloud services such as infrastructure as a service (IaaS), platform as a service (PaaS), and software as a service (SaaS). It enables clients to deploy and manage applications, handle data storage and analysis, and operate virtual machines in the cloud.
IBM Cloud, uma plataforma de computação em nuvem da IBM, oferece uma variedade de serviços em nuvem, como infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e software como serviço (SaaS). Permite que os clientes implantem e gerenciem aplicativos, lidem com armazenamento e análise de dados, e operem máquinas virtuais na nuvem.
When compared with Amazon Web Services (AWS), IBM Cloud showcases certain distinct features and approaches:
Quando comparado com Amazon Web Services (AWS), o IBM Cloud apresenta certas características e abordagens distintas:
1. **Focus**: IBM Cloud primarily caters to enterprise clients, providing a suite of services designed for their specific needs, including enhanced security and compliance measures. In contrast, AWS presents a broad spectrum of cloud services for a diverse clientele.
2. **Hybrid Cloud Solutions**: Both IBM Cloud and AWS offer hybrid cloud services, allowing integration of on-premises infrastructure with their cloud services. However, the methodology and services provided by each differ.
3. **Artificial Intelligence and Machine Learning (AI & ML)**: IBM Cloud is particularly noted for its extensive and integrated services in AI and ML. AWS also offers AI and ML services, but IBM's solutions are considered more comprehensive and deeply embedded within its cloud platform.
4. **Industry-Specific Solutions**: IBM Cloud is recognized for its focus on particular industries like financial services, healthcare, and government, offering bespoke solutions. AWS caters to a wide array of industries but might not have the same depth in industry-specific solutions as IBM Cloud.
1. **Foco**: O IBM Cloud atende principalmente clientes empresariais, oferecendo um conjunto de serviços projetados para suas necessidades específicas, incluindo medidas de segurança e conformidade aprimoradas. Em contraste, o AWS apresenta um amplo espectro de serviços em nuvem para uma clientela diversificada.
2. **Soluções de Nuvem Híbrida**: Tanto o IBM Cloud quanto o AWS oferecem serviços de nuvem híbrida, permitindo a integração da infraestrutura local com seus serviços em nuvem. No entanto, a metodologia e os serviços fornecidos por cada um diferem.
3. **Inteligência Artificial e Aprendizado de Máquina (IA & AM)**: O IBM Cloud é particularmente conhecido por seus serviços extensivos e integrados em IA e AM. O AWS também oferece serviços de IA e AM, mas as soluções da IBM são consideradas mais abrangentes e profundamente integradas em sua plataforma de nuvem.
4. **Soluções Específicas para Indústrias**: O IBM Cloud é reconhecido por seu foco em indústrias específicas, como serviços financeiros, saúde e governo, oferecendo soluções sob medida. O AWS atende a uma ampla gama de indústrias, mas pode não ter a mesma profundidade em soluções específicas para indústrias como o IBM Cloud.
#### Basic Information
#### Informações Básicas
For some basic information about IAM and hierarchi check:
Para algumas informações básicas sobre IAM e hierarquia, verifique:
{{#ref}}
ibm-basic-information.md
@@ -25,18 +25,14 @@ ibm-basic-information.md
### SSRF
Learn how you can access the medata endpoint of IBM in the following page:
Saiba como você pode acessar o endpoint de medata do IBM na página a seguir:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#2af0
{{#endref}}
## References
## Referências
- [https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/#:\~:text=IBM%20Cloud%20is%3A,%2C%20networking%2C%20and%20database%20management.](https://redresscompliance.com/navigating-the-ibm-cloud-a-comprehensive-overview/)
{{#include ../../banners/hacktricks-training.md}}

70
src/pentesting-cloud/ibm-cloud-pentesting/ibm-basic-information.md
View File

@@ -1,14 +1,14 @@
# IBM - Basic Information
# IBM - Informações Básicas
{{#include ../../banners/hacktricks-training.md}}
## Hierarchy
## Hierarquia
IBM Cloud resource model ([from the docs](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
Modelo de recursos do IBM Cloud ([dos docs](https://www.ibm.com/blog/announcement/introducing-ibm-cloud-enterprises/)):
<figure><img src="../../images/image (225).png" alt=""><figcaption></figcaption></figure>
Recommended way to divide projects:
Forma recomendada de dividir projetos:
<figure><img src="../../images/image (239).png" alt=""><figcaption></figcaption></figure>
@@ -16,61 +16,57 @@ Recommended way to divide projects:
<figure><img src="../../images/image (266).png" alt=""><figcaption></figcaption></figure>
### Users
### Usuários
Users have an **email** assigned to them. They can access the **IBM console** and also **generate API keys** to use their permissions programatically.\
**Permissions** can be granted **directly** to the user with an access policy or via an **access group**.
Os usuários têm um **email** atribuído a eles. Eles podem acessar a **console do IBM** e também **gerar chaves de API** para usar suas permissões programaticamente.\
**Permissões** podem ser concedidas **diretamente** ao usuário com uma política de acesso ou via um **grupo de acesso**.
### Trusted Profiles
### Perfis Confiáveis
These are **like the Roles of AWS** or service accounts from GCP. It's possible to **assign them to VM** instances and access their **credentials via metadata**, or even **allow Identity Providers** to use them in order to authenticate users from external platforms.\
**Permissions** can be granted **directly** to the trusted profile with an access policy or via an **access group**.
Estes são **como os Papéis do AWS** ou contas de serviço do GCP. É possível **atribui-los a instâncias de VM** e acessar suas **credenciais via metadados**, ou até mesmo **permitir que Provedores de Identidade** os utilizem para autenticar usuários de plataformas externas.\
**Permissões** podem ser concedidas **diretamente** ao perfil confiável com uma política de acesso ou via um **grupo de acesso**.
### Service IDs
### IDs de Serviço
This is another option to allow applications to **interact with IBM cloud** and perform actions. In this case, instead of assign it to a VM or Identity Provider an **API Key can be used** to interact with IBM in a **programatic** way.\
**Permissions** can be granted **directly** to the service id with an access policy or via an **access group**.
Esta é outra opção para permitir que aplicativos **interajam com o IBM Cloud** e realizem ações. Neste caso, em vez de atribuí-lo a uma VM ou Provedor de Identidade, uma **Chave de API pode ser usada** para interagir com o IBM de forma **programática**.\
**Permissões** podem ser concedidas **diretamente** ao id de serviço com uma política de acesso ou via um **grupo de acesso**.
### Identity Providers
### Provedores de Identidade
External **Identity Providers** can be configured to **access IBM cloud** resources from external platforms by accessing **trusting Trusted Profiles**.
Provedores de **Identidade Externos** podem ser configurados para **acessar recursos do IBM Cloud** de plataformas externas acessando **Perfis Confiáveis**.
### Access Groups
### Grupos de Acesso
In the same access group **several users, trusted profiles & service ids** can be present. Each principal in the access group will **inherit the access group permissions**.\
**Permissions** can be granted **directly** to the trusted profile with an access policy.\
An **access group cannot be a member** of another access group.
No mesmo grupo de acesso **vários usuários, perfis confiáveis e ids de serviço** podem estar presentes. Cada principal no grupo de acesso irá **herdar as permissões do grupo de acesso**.\
**Permissões** podem ser concedidas **diretamente** ao perfil confiável com uma política de acesso.\
Um **grupo de acesso não pode ser membro** de outro grupo de acesso.
### Roles
### Papéis
A role is a **set of granular permissions**. **A role** is dedicated to **a service**, meaning that it will only contain permissions of that service.\
**Each service** of IAM will already have some **possible roles** to choose from to **grant a principal access to that service**: **Viewer, Operator, Editor, Administrator** (although there could be more).
Um papel é um **conjunto de permissões granulares**. **Um papel** é dedicado a **um serviço**, significando que conterá apenas permissões desse serviço.\
**Cada serviço** de IAM já terá alguns **papéis possíveis** para escolher para **conceder acesso a um principal a esse serviço**: **Visualizador, Operador, Editor, Administrador** (embora possa haver mais).
Role permissions are given via access policies to principals, so if you need to give for example a **combination of permissions** of a service of **Viewer** and **Administrator**, instead of giving those 2 (and overprivilege a principal), you can **create a new role** for the service and give that new role the **granular permissions you need**.
As permissões de papel são concedidas via políticas de acesso a principais, então se você precisar conceder, por exemplo, uma **combinação de permissões** de um serviço de **Visualizador** e **Administrador**, em vez de conceder esses 2 (e sobrecarregar um principal), você pode **criar um novo papel** para o serviço e dar a esse novo papel as **permissões granulares que você precisa**.
### Access Policies
### Políticas de Acesso
Access policies allows to **attach 1 or more roles of 1 service to 1 principal**.\
When creating the policy you need to choose:
As políticas de acesso permitem **anexar 1 ou mais papéis de 1 serviço a 1 principal**.\
Ao criar a política, você precisa escolher:
- The **service** where permissions will be granted
- **Affected resources**
- Service & Platform **access** that will be granted
- These indicate the **permissions** that will be given to the principal to perform actions. If any **custom role** is created in the service you will also be able to choose it here.
- **Conditions** (if any) to grant the permissions
- O **serviço** onde as permissões serão concedidas
- **Recursos afetados**
- Acesso ao Serviço & Plataforma **que será concedido**
- Estes indicam as **permissões** que serão dadas ao principal para realizar ações. Se algum **papel personalizado** for criado no serviço, você também poderá escolhê-lo aqui.
- **Condições** (se houver) para conceder as permissões
> [!NOTE]
> To grant access to several services to a user, you can generate several access policies
> Para conceder acesso a vários serviços a um usuário, você pode gerar várias políticas de acesso
<figure><img src="../../images/image (248).png" alt=""><figcaption></figcaption></figure>
## References
## Referências
- [https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises](https://www.ibm.com/cloud/blog/announcements/introducing-ibm-cloud-enterprises)
- [https://cloud.ibm.com/docs/account?topic=account-iamoverview](https://cloud.ibm.com/docs/account?topic=account-iamoverview)
{{#include ../../banners/hacktricks-training.md}}

32
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-crypto-services.md
View File

@@ -2,32 +2,28 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Informações Básicas
IBM Hyper Protect Crypto Services is a cloud service that provides **highly secure and tamper-resistant cryptographic key management and encryption capabilities**. It is designed to help organizations protect their sensitive data and comply with security and privacy regulations such as GDPR, HIPAA, and PCI DSS.
IBM Hyper Protect Crypto Services é um serviço em nuvem que fornece **gerenciamento de chaves criptográficas e capacidades de criptografia altamente seguras e resistentes a adulterações**. Ele é projetado para ajudar organizações a proteger seus dados sensíveis e cumprir com regulamentos de segurança e privacidade, como GDPR, HIPAA e PCI DSS.
Hyper Protect Crypto Services uses **FIPS 140-2 Level 4 certified hardware security modules** (HSMs) to store and protect cryptographic keys. These HSMs are designed to r**esist physical tampering** and provide high levels of **security against cyber attacks**.
Hyper Protect Crypto Services utiliza **módulos de segurança de hardware (HSMs) certificados FIPS 140-2 Nível 4** para armazenar e proteger chaves criptográficas. Esses HSMs são projetados para **resistir a adulterações físicas** e fornecer altos níveis de **segurança contra ataques cibernéticos**.
The service provides a range of cryptographic services, including key generation, key management, digital signature, encryption, and decryption. It supports industry-standard cryptographic algorithms such as AES, RSA, and ECC, and can be integrated with a variety of applications and services.
O serviço oferece uma gama de serviços criptográficos, incluindo geração de chaves, gerenciamento de chaves, assinatura digital, criptografia e descriptografia. Ele suporta algoritmos criptográficos padrão da indústria, como AES, RSA e ECC, e pode ser integrado a uma variedade de aplicações e serviços.
### What is a Hardware Security Module
### O que é um Módulo de Segurança de Hardware
A hardware security module (HSM) is a dedicated cryptographic device that is used to generate, store, and manage cryptographic keys and protect sensitive data. It is designed to provide a high level of security by physically and electronically isolating the cryptographic functions from the rest of the system.
Um módulo de segurança de hardware (HSM) é um dispositivo criptográfico dedicado que é usado para gerar, armazenar e gerenciar chaves criptográficas e proteger dados sensíveis. Ele é projetado para fornecer um alto nível de segurança, isolando fisicamente e eletronicamente as funções criptográficas do restante do sistema.
The way an HSM works can vary depending on the specific model and manufacturer, but generally, the following steps occur:
A forma como um HSM funciona pode variar dependendo do modelo e fabricante específicos, mas, geralmente, os seguintes passos ocorrem:
1. **Key generation**: The HSM generates a random cryptographic key using a secure random number generator.
2. **Key storage**: The key is **stored securely within the HSM, where it can only be accessed by authorized users or processes**.
3. **Key management**: The HSM provides a range of key management functions, including key rotation, backup, and revocation.
4. **Cryptographic operations**: The HSM performs a range of cryptographic operations, including encryption, decryption, digital signature, and key exchange. These operations are **performed within the secure environment of the HSM**, which protects against unauthorized access and tampering.
5. **Audit logging**: The HSM logs all cryptographic operations and access attempts, which can be used for compliance and security auditing purposes.
1. **Geração de chaves**: O HSM gera uma chave criptográfica aleatória usando um gerador de números aleatórios seguro.
2. **Armazenamento de chaves**: A chave é **armazenada com segurança dentro do HSM, onde só pode ser acessada por usuários ou processos autorizados**.
3. **Gerenciamento de chaves**: O HSM fornece uma gama de funções de gerenciamento de chaves, incluindo rotação de chaves, backup e revogação.
4. **Operações criptográficas**: O HSM realiza uma gama de operações criptográficas, incluindo criptografia, descriptografia, assinatura digital e troca de chaves. Essas operações são **realizadas dentro do ambiente seguro do HSM**, que protege contra acesso não autorizado e adulterações.
5. **Registro de auditoria**: O HSM registra todas as operações criptográficas e tentativas de acesso, que podem ser usadas para fins de conformidade e auditoria de segurança.
HSMs can be used for a wide range of applications, including secure online transactions, digital certificates, secure communications, and data encryption. They are often used in industries that require a high level of security, such as finance, healthcare, and government.
Os HSMs podem ser usados para uma ampla gama de aplicações, incluindo transações online seguras, certificados digitais, comunicações seguras e criptografia de dados. Eles são frequentemente usados em indústrias que exigem um alto nível de segurança, como finanças, saúde e governo.
Overall, the high level of security provided by HSMs makes it **very difficult to extract raw keys from them, and attempting to do so is often considered a breach of security**. However, there may be **certain scenarios** where a **raw key could be extracted** by authorized personnel for specific purposes, such as in the case of a key recovery procedure.
No geral, o alto nível de segurança fornecido pelos HSMs torna **muito difícil extrair chaves brutas deles, e tentar fazê-lo é frequentemente considerado uma violação de segurança**. No entanto, pode haver **certos cenários** onde uma **chave bruta poderia ser extraída** por pessoal autorizado para fins específicos, como no caso de um procedimento de recuperação de chaves.
{{#include ../../banners/hacktricks-training.md}}

42
src/pentesting-cloud/ibm-cloud-pentesting/ibm-hyper-protect-virtual-server.md
View File

@@ -2,45 +2,41 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Informações Básicas
Hyper Protect Virtual Server is a **virtual server** offering from IBM that is designed to provide a **high level of security and compliance** for sensitive workloads. It runs on **IBM Z and LinuxONE hardware**, which are designed for high levels of security and scalability.
Hyper Protect Virtual Server é uma **oferta de servidor virtual** da IBM que é projetada para fornecer um **alto nível de segurança e conformidade** para cargas de trabalho sensíveis. Ele opera em **hardware IBM Z e LinuxONE**, que são projetados para altos níveis de segurança e escalabilidade.
Hyper Protect Virtual Server uses **advanced security features** such as secure boot, encrypted memory, and tamper-proof virtualization to protect sensitive data and applications. It also provides a **secure execution environment that isolates each workload from other workloads** running on the same system.
Hyper Protect Virtual Server utiliza **recursos de segurança avançados** como inicialização segura, memória criptografada e virtualização à prova de violação para proteger dados e aplicações sensíveis. Ele também fornece um **ambiente de execução seguro que isola cada carga de trabalho de outras cargas de trabalho** que estão sendo executadas no mesmo sistema.
This virtual server offering is designed for workloads that require the highest levels of security and compliance, such as financial services, healthcare, and government. It allows organizations to run their sensitive workloads in a virtual environment while still meeting strict security and compliance requirements.
Esta oferta de servidor virtual é projetada para cargas de trabalho que requerem os mais altos níveis de segurança e conformidade, como serviços financeiros, saúde e governo. Ela permite que as organizações executem suas cargas de trabalho sensíveis em um ambiente virtual enquanto ainda atendem a requisitos rigorosos de segurança e conformidade.
### Metadata & VPC
### Metadados e VPC
When you run a server like this one from the IBM service called "Hyper Protect Virtual Server" it **won't** allow you to configure **access to metadata,** link any **trusted profile**, use **user data**, or even a **VPC** to place the server in.
Quando você executa um servidor como este a partir do serviço da IBM chamado "Hyper Protect Virtual Server", ele **não** permitirá que você configure **acesso a metadados**, vincule qualquer **perfil confiável**, use **dados do usuário** ou até mesmo uma **VPC** para colocar o servidor.
However, it's possible to **run a VM in a IBM Z linuxONE hardware** from the service "**Virtual server for VPC**" which will allow you to **set those configs** (metadata, trusted profiles, VPC...).
No entanto, é possível **executar uma VM em um hardware IBM Z linuxONE** a partir do serviço "**Servidor virtual para VPC**", que permitirá que você **defina essas configurações** (metadados, perfis confiáveis, VPC...).
### IBM Z and LinuxONE
### IBM Z e LinuxONE
If you don't understand this terms chatGPT can help you understanding them.
Se você não entender esses termos, o chatGPT pode ajudá-lo a compreendê-los.
**IBM Z is a family of mainframe computers** developed by IBM. These systems are designed for **high-performance, high-availability, and high-security** enterprise computing. IBM Z is known for its ability to handle large-scale transactions and data processing workloads.
**IBM Z é uma família de computadores mainframe** desenvolvidos pela IBM. Esses sistemas são projetados para **computação empresarial de alto desempenho, alta disponibilidade e alta segurança**. O IBM Z é conhecido por sua capacidade de lidar com transações em larga escala e cargas de trabalho de processamento de dados.
**LinuxONE is a line of IBM Z** mainframes that are optimized for **running Linux** workloads. LinuxONE systems support a wide range of open-source software, tools, and applications. They provide a highly secure and scalable platform for running mission-critical workloads such as databases, analytics, and machine learning.
**LinuxONE é uma linha de mainframes IBM Z** que são otimizados para **executar cargas de trabalho Linux**. Os sistemas LinuxONE suportam uma ampla gama de software, ferramentas e aplicações de código aberto. Eles fornecem uma plataforma altamente segura e escalável para executar cargas de trabalho críticas, como bancos de dados, análises e aprendizado de máquina.
**LinuxONE** is built on the **same hardware** platform as **IBM Z**, but it is **optimized** for **Linux** workloads. LinuxONE systems support multiple virtual servers, each of which can run its own instance of Linux. These virtual servers are isolated from each other to ensure maximum security and reliability.
**LinuxONE** é construído na **mesma plataforma de hardware** que o **IBM Z**, mas é **otimizado** para cargas de trabalho **Linux**. Os sistemas LinuxONE suportam múltiplos servidores virtuais, cada um dos quais pode executar sua própria instância do Linux. Esses servidores virtuais são isolados uns dos outros para garantir máxima segurança e confiabilidade.
### LinuxONE vs x64
LinuxONE is a family of mainframe computers developed by IBM that are optimized for running Linux workloads. These systems are designed for high levels of security, reliability, scalability, and performance.
LinuxONE é uma família de computadores mainframe desenvolvidos pela IBM que são otimizados para executar cargas de trabalho Linux. Esses sistemas são projetados para altos níveis de segurança, confiabilidade, escalabilidade e desempenho.
Compared to x64 architecture, which is the most common architecture used in servers and personal computers, LinuxONE has some unique advantages. Some of the key differences are:
Comparado à arquitetura x64, que é a arquitetura mais comum usada em servidores e computadores pessoais, o LinuxONE tem algumas vantagens únicas. Algumas das principais diferenças são:
1. **Scalability**: LinuxONE can support massive amounts of processing power and memory, which makes it ideal for large-scale workloads.
2. **Security**: LinuxONE has built-in security features that are designed to protect against cyber threats and data breaches. These features include hardware encryption, secure boot, and tamper-proof virtualization.
3. **Reliability**: LinuxONE has built-in redundancy and failover capabilities that help ensure high availability and minimize downtime.
4. **Performance**: LinuxONE can deliver high levels of performance for workloads that require large amounts of processing power, such as big data analytics, machine learning, and AI.
1. **Escalabilidade**: LinuxONE pode suportar enormes quantidades de poder de processamento e memória, o que o torna ideal para cargas de trabalho em larga escala.
2. **Segurança**: LinuxONE possui recursos de segurança integrados que são projetados para proteger contra ameaças cibernéticas e vazamentos de dados. Esses recursos incluem criptografia de hardware, inicialização segura e virtualização à prova de violação.
3. **Confiabilidade**: LinuxONE possui redundância e capacidades de failover integradas que ajudam a garantir alta disponibilidade e minimizar o tempo de inatividade.
4. **Desempenho**: LinuxONE pode oferecer altos níveis de desempenho para cargas de trabalho que requerem grandes quantidades de poder de processamento, como análises de big data, aprendizado de máquina e IA.
Overall, LinuxONE is a powerful and secure platform that is well-suited for running large-scale, mission-critical workloads that require high levels of performance and reliability. While x64 architecture has its own advantages, it may not be able to provide the same level of scalability, security, and reliability as LinuxONE for certain workloads.\\
No geral, o LinuxONE é uma plataforma poderosa e segura que é bem adequada para executar cargas de trabalho críticas em larga escala que requerem altos níveis de desempenho e confiabilidade. Embora a arquitetura x64 tenha suas próprias vantagens, pode não ser capaz de fornecer o mesmo nível de escalabilidade, segurança e confiabilidade que o LinuxONE para certas cargas de trabalho.\\
{{#include ../../banners/hacktricks-training.md}}