gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 22:50:43 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE

Browse Source
This commit is contained in:
Translator
2025-02-08 18:58:47 +00:00
parent c928dbe59b
commit edf5f7942e
1 changed files with 38 additions and 45 deletions
Download Patch File Download Diff File Expand all files Collapse all files

83
src/pentesting-cloud/azure-security/az-basic-information/README.md
View File

@@ -9,7 +9,7 @@
### Gruppi di Gestione
- Può contenere **altri gruppi di gestione o sottoscrizioni**.
- Questo consente di **applicare controlli di governance** come RBAC e Azure Policy una sola volta a livello di gruppo di gestione e farli **ereditar** da tutte le sottoscrizioni nel gruppo.
- Questo consente di **applicare controlli di governance** come RBAC e Azure Policy una sola volta a livello di gruppo di gestione e di farli **ereditar** da tutte le sottoscrizioni nel gruppo.
- Possono essere supportati **10.000 gruppi di gestione** in una singola directory.
- Un albero di gruppi di gestione può supportare **fino a sei livelli di profondità**. Questo limite non include il livello radice o il livello di sottoscrizione.
- Ogni gruppo di gestione e sottoscrizione può supportare **solo un genitore**.
@@ -113,7 +113,7 @@ Puoi controllarli in [https://learn.microsoft.com/en-us/entra/fundamentals/users
- **Solo gli utenti assegnati a ruoli amministrativi specifici possono invitare utenti ospiti**
- **Nessuno nell'organizzazione può invitare utenti ospiti, inclusi gli amministratori (la più restrittiva)**
- **Uscita degli utenti esterni**: Predefinito **Vero**
- Consentire agli utenti esterni di lasciare l'organizzazione
- Consenti agli utenti esterni di lasciare l'organizzazione
> [!TIP]
> Anche se limitati per impostazione predefinita, gli utenti (membri e ospiti) con permessi concessi potrebbero eseguire le azioni precedenti.
@@ -152,7 +152,7 @@ Una **Registrazione App** è una configurazione che consente a un'applicazione d
1. Se viene generato un **certificato** o un **segreto**, è possibile che una persona **acceda come il principio di servizio** con strumenti CLI conoscendo l'**ID applicazione**, il **segreto** o il **certificato** e il **tenant** (dominio o ID).
4. **Permessi API:** Specifica quali risorse o API l'app può accedere.
5. **Impostazioni di Autenticazione:** Definisce i flussi di autenticazione supportati dall'app (ad es., OAuth2, OpenID Connect).
6. **Principio di Servizio**: Un principio di servizio viene creato quando viene creata un'App (se fatto dalla console web) o quando viene installata in un nuovo tenant.
6. **Principio di Servizio**: Un principio di servizio viene creato quando viene creata un'App (se è fatto dalla console web) o quando viene installata in un nuovo tenant.
1. Il **principio di servizio** otterrà tutti i permessi richiesti con cui è stato configurato.
### Permessi di Consenso Predefiniti
@@ -191,7 +191,7 @@ Le Identità Gestite **non generano credenziali eterne** (come password o certif
### Applicazioni Aziendali
È solo una **tabella in Azure per filtrare i principi di servizio** e controllare le applicazioni che sono state assegnate.
È solo un **tabella in Azure per filtrare i principi di servizio** e controllare le applicazioni che sono state assegnate.
**Non è un altro tipo di “applicazione”,** non c'è alcun oggetto in Azure che sia un “Applicazione Aziendale”, è solo un'astrazione per controllare i Principi di servizio, le Registrazioni App e le identità gestite.
@@ -229,11 +229,11 @@ A seconda dell'ambito a cui è stato assegnato il ruolo, il **ruolo** potrebbe e
### Ruoli Classici
| **Proprietario** | <ul><li>Accesso completo a tutte le risorse</li><li>Può gestire l'accesso per altri utenti</li></ul> | Tutti i tipi di risorse |
| **Proprietario** | <ul><li>Accesso completo a tutte le risorse</li><li>Può gestire l'accesso per altri utenti</li></ul> | Tutti i tipi di risorsa |
| ----------------------------- | ---------------------------------------------------------------------------------------- | ------------------ |
| **Collaboratore** | <ul><li>Accesso completo a tutte le risorse</li><li>Non può gestire l'accesso</li></ul> | Tutti i tipi di risorse |
| **Lettore** | • Visualizza tutte le risorse | Tutti i tipi di risorse |
| **Amministratore Accesso Utente** | <ul><li>Visualizza tutte le risorse</li><li>Può gestire l'accesso per altri utenti</li></ul> | Tutti i tipi di risorse |
| **Collaboratore** | <ul><li>Accesso completo a tutte le risorse</li><li>Non può gestire l'accesso</li></ul> | Tutti i tipi di risorsa |
| **Lettore** | • Visualizza tutte le risorse | Tutti i tipi di risorsa |
| **Amministratore Accesso Utente** | <ul><li>Visualizza tutte le risorse</li><li>Può gestire l'accesso per altri utenti</li></ul> | Tutti i tipi di risorsa |
### Ruoli Predefiniti
@@ -243,7 +243,7 @@ I ruoli **predefiniti** si applicano solo alle **risorse** per cui sono **destin
| [Lettore Backup Disco](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Fornisce permesso al vault di backup per eseguire il backup del disco. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ |
| [Login Utente Macchina Virtuale](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Visualizza le Macchine Virtuali nel portale e accede come utente normale. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| [Accesso Utente Macchina Virtuale](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Visualizza le Macchine Virtuali nel portale e accede come utente normale. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Questi ruoli possono **essere assegnati anche su contenitori logici** (come gruppi di gestione, sottoscrizioni e gruppi di risorse) e i principi interessati li avranno **sulle risorse all'interno di quei contenitori**.
@@ -253,7 +253,7 @@ Questi ruoli possono **essere assegnati anche su contenitori logici** (come grup
### Ruoli Personalizzati
- È anche possibile creare [**ruoli personalizzati**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)
- Vengono creati all'interno di un ambito, anche se un ruolo può essere in più ambiti (gruppi di gestione, sottoscrizione e gruppi di risorse)
- Vengono creati all'interno di un ambito, anche se un ruolo può essere in più ambiti (gruppi di gestione, sottoscrizioni e gruppi di risorse)
- È possibile configurare tutti i permessi granulari che il ruolo personalizzato avrà
- È possibile escludere permessi
- Un principio con un permesso escluso non sarà in grado di utilizzarlo anche se il permesso viene concesso altrove
@@ -294,64 +294,57 @@ Esempio di JSON di permessi per un ruolo personalizzato:
}
}
```
### Ordine delle autorizzazioni
### Permessi ordine
- Affinché un **principale abbia accesso a una risorsa**, deve ricevere un ruolo esplicito che gli venga concesso (in qualsiasi modo) **concedendogli quella autorizzazione**.
- Un'esplicita **assegnazione di negazione ha la precedenza** sul ruolo che concede l'autorizzazione.
- Affinché un **principale abbia accesso a una risorsa**, deve avere un ruolo esplicito assegnato (in qualche modo) **che gli conceda quel permesso**.
- Un'esplicita **assegnazione di negazione ha la precedenza** sul ruolo che concede il permesso.
<figure><img src="../../../images/image (191).png" alt=""><figcaption><p><a href="https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10">https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10</a></p></figcaption></figure>
### Amministratore Globale
L'Amministratore Globale è un ruolo di Entra ID che concede **controllo completo sul tenant di Entra ID**. Tuttavia, di default non concede alcuna autorizzazione sulle risorse di Azure.
L'Amministratore Globale è un ruolo di Entra ID che concede **controllo completo sul tenant di Entra ID**. Tuttavia, di default non concede alcun permesso sulle risorse di Azure.
Gli utenti con il ruolo di Amministratore Globale hanno la possibilità di '**elevare' il ruolo di Amministratore dell'accesso utente di Azure nel Gruppo di gestione principale**. Quindi, gli Amministratori Globali possono gestire l'accesso in **tutte le sottoscrizioni e i gruppi di gestione di Azure.**\
Gli utenti con il ruolo di Amministratore Globale hanno la possibilità di '**elevare' al ruolo di Amministratore Accesso Utente di Azure nel Gruppo di Gestione Radice**. Quindi, gli Amministratori Globali possono gestire l'accesso in **tutte le sottoscrizioni e i gruppi di gestione di Azure.**\
Questa elevazione può essere effettuata alla fine della pagina: [https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/\~/Properties](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties)
<figure><img src="../../../images/image (349).png" alt=""><figcaption></figcaption></figure>
### Condizioni di Assegnazione & MFA
### Condizioni delle Assegnazioni & MFA
È possibile **stabilire alcune condizioni quando un ruolo è assegnato** a un principale. Una condizione comune da aggiungere è richiedere MFA per accedere ad alcune autorizzazioni di ruolo:
```bash
az role assignment create \
--assignee <user-or-service-principal-id> \
--role <custom-role-id-or-name> \
--scope "/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f" \
--condition "PrincipalClaims['amr'] contains 'mfa'" \
--condition-version 2.0
```
### Deny Assignments
Secondo **[la documentazione](https://learn.microsoft.com/en-us/azure/role-based-access-control/conditions-role-assignments-portal)**: Attualmente, le condizioni possono essere aggiunte alle assegnazioni di ruolo integrate o personalizzate che hanno **azioni sui dati di archiviazione blob o azioni sui dati di archiviazione delle code**.
Proprio come le assegnazioni di ruolo, **deny assignments** vengono utilizzati per **controllare l'accesso alle risorse di Azure**. Tuttavia, **deny assignments** vengono utilizzati per **negare esplicitamente l'accesso** a una risorsa, anche se a un utente è stato concesso l'accesso tramite un'assegnazione di ruolo. **Deny assignments** hanno la precedenza sulle **role assignments**, il che significa che se a un utente viene concesso l'accesso tramite un'assegnazione di ruolo ma viene anche negato esplicitamente l'accesso tramite un deny assignment, il deny assignment avrà la precedenza.
### Assegnazioni di Negazione
Proprio come le assegnazioni di ruolo, **deny assignments** vengono applicati su un certo ambito che indica i principi interessati e i permessi che vengono negati. Inoltre, nel caso dei deny assignments, è possibile **prevenire che il diniego venga ereditato** dalle risorse figlie.
Proprio come le assegnazioni di ruolo, le **assegnazioni di negazione** vengono utilizzate per **controllare l'accesso alle risorse di Azure**. Tuttavia, le **assegnazioni di negazione** vengono utilizzate per **negare esplicitamente l'accesso** a una risorsa, anche se a un utente è stato concesso l'accesso tramite un'assegnazione di ruolo. Le **assegnazioni di negazione** hanno la precedenza sulle **assegnazioni di ruolo**, il che significa che se a un utente è concesso l'accesso tramite un'assegnazione di ruolo ma viene anche esplicitamente negato l'accesso tramite un'assegnazione di negazione, l'assegnazione di negazione avrà la precedenza.
### Azure Policies
Proprio come le assegnazioni di ruolo, le **assegnazioni di negazione** vengono applicate su un certo ambito che indica i principali interessati e i permessi che vengono negati. Inoltre, nel caso delle assegnazioni di negazione, è possibile **prevenire che la negazione venga ereditata** dalle risorse figlie.
**Azure Policies** sono regole che aiutano le organizzazioni a garantire che le loro risorse soddisfino standard specifici e requisiti di conformità. Consentono di **applicare o auditare le impostazioni sulle risorse in Azure**. Ad esempio, puoi impedire la creazione di macchine virtuali in una regione non autorizzata o garantire che tutte le risorse abbiano tag specifici per il tracciamento.
### Politiche di Azure
Le Azure Policies sono **proattive**: possono impedire la creazione o la modifica di risorse non conformi. Sono anche **reattive**, consentendo di trovare e correggere risorse non conformi esistenti.
Le **Politiche di Azure** sono regole che aiutano le organizzazioni a garantire che le loro risorse soddisfino standard specifici e requisiti di conformità. Consentono di **applicare o auditare impostazioni sulle risorse in Azure**. Ad esempio, puoi impedire la creazione di macchine virtuali in una regione non autorizzata o garantire che tutte le risorse abbiano tag specifici per il tracciamento.
#### **Key Concepts**
Le Politiche di Azure sono **proattive**: possono impedire la creazione o la modifica di risorse non conformi. Sono anche **reattive**, consentendo di trovare e correggere risorse non conformi esistenti.
1. **Policy Definition**: Una regola, scritta in JSON, che specifica cosa è consentito o richiesto.
2. **Policy Assignment**: L'applicazione di una policy a un ambito specifico (ad es., sottoscrizione, gruppo di risorse).
3. **Initiatives**: Una raccolta di policy raggruppate insieme per un'applicazione più ampia.
4. **Effect**: Specifica cosa succede quando la policy viene attivata (ad es., "Deny," "Audit," o "Append").
#### **Concetti Chiave**
1. **Definizione della Politica**: Una regola, scritta in JSON, che specifica cosa è consentito o richiesto.
2. **Assegnazione della Politica**: L'applicazione di una politica a un ambito specifico (ad es., sottoscrizione, gruppo di risorse).
3. **Iniziative**: Una raccolta di politiche raggruppate per un'applicazione più ampia.
4. **Effetto**: Specifica cosa succede quando la politica viene attivata (ad es., "Negare", "Audit" o "Aggiungi").
**Alcuni esempi:**
1. **Garantire la Conformità con Regioni Azure Specifiche**: Questa policy garantisce che tutte le risorse siano distribuite in regioni Azure specifiche. Ad esempio, un'azienda potrebbe voler garantire che tutti i suoi dati siano archiviati in Europa per la conformità al GDPR.
2. **Applicare Standard di Nominazione**: Le policy possono applicare convenzioni di denominazione per le risorse Azure. Questo aiuta a organizzare e identificare facilmente le risorse in base ai loro nomi, il che è utile in ambienti grandi.
3. **Limitare Certi Tipi di Risorse**: Questa policy può limitare la creazione di certi tipi di risorse. Ad esempio, una policy potrebbe essere impostata per impedire la creazione di tipi di risorse costosi, come alcune dimensioni di VM, per controllare i costi.
4. **Applicare Policy di Tagging**: I tag sono coppie chiave-valore associate alle risorse Azure utilizzate per la gestione delle risorse. Le policy possono imporre che determinati tag debbano essere presenti o avere valori specifici per tutte le risorse. Questo è utile per il tracciamento dei costi, la proprietà o la categorizzazione delle risorse.
5. **Limitare l'Accesso Pubblico alle Risorse**: Le policy possono imporre che determinate risorse, come account di archiviazione o database, non abbiano endpoint pubblici, garantendo che siano accessibili solo all'interno della rete dell'organizzazione.
6. **Applicare Automaticamente Impostazioni di Sicurezza**: Le policy possono essere utilizzate per applicare automaticamente impostazioni di sicurezza alle risorse, come applicare un gruppo di sicurezza di rete specifico a tutte le VM o garantire che tutti gli account di archiviazione utilizzino la crittografia.
1. **Garantire la Conformità con Regioni Azure Specifiche**: Questa politica garantisce che tutte le risorse siano distribuite in regioni Azure specifiche. Ad esempio, un'azienda potrebbe voler garantire che tutti i suoi dati siano archiviati in Europa per la conformità al GDPR.
2. **Applicare Standard di Nominazione**: Le politiche possono applicare convenzioni di denominazione per le risorse di Azure. Questo aiuta a organizzare e identificare facilmente le risorse in base ai loro nomi, il che è utile in ambienti grandi.
3. **Limitare Certi Tipi di Risorse**: Questa politica può limitare la creazione di certi tipi di risorse. Ad esempio, una politica potrebbe essere impostata per impedire la creazione di tipi di risorse costosi, come alcune dimensioni di VM, per controllare i costi.
4. **Applicare Politiche di Tagging**: I tag sono coppie chiave-valore associate alle risorse di Azure utilizzate per la gestione delle risorse. Le politiche possono imporre che determinati tag debbano essere presenti o avere valori specifici per tutte le risorse. Questo è utile per il tracciamento dei costi, la proprietà o la categorizzazione delle risorse.
5. **Limitare l'Accesso Pubblico alle Risorse**: Le politiche possono imporre che determinate risorse, come account di archiviazione o database, non abbiano endpoint pubblici, garantendo che siano accessibili solo all'interno della rete dell'organizzazione.
6. **Applicare Automaticamente Impostazioni di Sicurezza**: Le politiche possono essere utilizzate per applicare automaticamente impostazioni di sicurezza alle risorse, come applicare un gruppo di sicurezza di rete specifico a tutte le VM o garantire che tutti gli account di archiviazione utilizzino la crittografia.
Nota che le Azure Policies possono essere collegate a qualsiasi livello della gerarchia di Azure, ma sono **comunemente utilizzate nel gruppo di gestione principale** o in altri gruppi di gestione.
Nota che le Politiche di Azure possono essere collegate a qualsiasi livello della gerarchia di Azure, ma sono **comunemente utilizzate nel gruppo di gestione radice** o in altri gruppi di gestione.
Esempio di policy Azure json:
Esempio di json di politica di Azure:
```json
{
"policyRule": {
@@ -383,7 +376,7 @@ Questa struttura gerarchica consente una gestione efficiente e scalabile delle a
Tuttavia, in alcuni casi potresti voler fornire una **gestione degli accessi più dettagliata** o **semplificare** la gestione di **centinaia** di **assegnazioni** di ruolo.
Azure **ABAC** (controllo degli accessi basato sugli attributi) si basa su Azure RBAC aggiungendo **condizioni di assegnazione del ruolo basate su attributi** nel contesto di azioni specifiche. Una _condizione di assegnazione del ruolo_ è un **controllo aggiuntivo che puoi opzionalmente aggiungere alla tua assegnazione di ruolo** per fornire un controllo degli accessi più dettagliato. Una condizione filtra le autorizzazioni concesse come parte della definizione del ruolo e dell'assegnazione del ruolo. Ad esempio, puoi **aggiungere una condizione che richiede a un oggetto di avere un tag specifico per leggere l'oggetto**.\
Non **puoi** esplicitamente **negare** l'**accesso** a risorse specifiche **utilizzando condizioni**.
Non **puoi** esplicitamente **negare** **l'accesso** a risorse specifiche **utilizzando condizioni**.
## Riferimenti