Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza

2026-01-08 19:30:51 -08:00 · 2025-02-17 12:02:19 +00:00
parent 8eeb9a9415
commit fa19168b43
16 changed files with 411 additions and 317 deletions
--- a/src/pentesting-cloud/azure-security/az-services/az-container-instances.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-container-instances.md
@@ -1,45 +0,0 @@
-# Az - Container Instances
-
-{{#include ../../../banners/hacktricks-training.md}}
-
-## Grundinformationen
-
-Azure Container Instances (ACI) bieten eine **serverlose, bedarfsorientierte Möglichkeit**, **Container** in der Azure-Cloud auszuführen. Sie können **einzelne oder mehrere Container** in einer Gruppe mit **skalierbarer Rechenleistung**, **Netzwerkoptionen** und der Flexibilität, sich mit **anderen Azure-Diensten** (wie Storage, Virtuellen Netzwerken oder Container-Registrierungen) zu verbinden, **bereitstellen**.
-
-Da es sich um **ephemere** Workloads handelt, müssen Sie die zugrunde liegende VM-Infrastruktur nicht verwalten — Azure kümmert sich darum für Sie. Aus einer **offensiven Sicherheits-Perspektive** ist es jedoch entscheidend zu verstehen, wie **Berechtigungen**, **Identitäten**, **Netzwerkkonfigurationen** und **Protokolle** Angriffsflächen und potenzielle Fehlkonfigurationen offenbaren können.
-
-### Konfigurationen
-
- Um einen Container zu erstellen, ist es möglich, ein öffentliches Image, ein Container-Image aus einem Azure Container Registry oder einem externen Repository zu verwenden, was möglicherweise **erfordert, ein Passwort zu konfigurieren**, um darauf zuzugreifen.
- In Bezug auf das Netzwerk kann es auch eine **öffentliche IP** haben oder **private Endpunkte** sein.
- Es ist auch möglich, gängige Docker-Einstellungen wie zu konfigurieren:
- **Umgebungsvariablen**
- **Volumes** (sogar von Azure Files)
- **Ports**
- **CPU- und Speicherkapazitätsgrenzen**
- **Neustartpolitik**
- **Als privilegiert ausführen**
- **Befehlszeile zum Ausführen**
- ...
-
-## Enumeration
-
-> [!WARNING]
-> Bei der Enumeration von ACI können Sie sensible Konfigurationen wie **Umgebungsvariablen**, **Netzwerkdetails** oder **verwaltete Identitäten** offenbaren. Seien Sie vorsichtig beim Protokollieren oder Anzeigen dieser.
-```bash
-# List all container instances in the subscription
-az container list
-
-# Show detailed information about a specific container instance
-az container show --name <container-name> --resource-group <res-group>
-
-# Fetch logs from a container
-az container logs --name <container-name> --resource-group <res-group>
-
-# Execute a command in a running container and get the output
-az container exec --name <container-name> --resource-group <res-group> --exec-command "ls"
-
-# Get yaml configuration of the container group
-az container export  --name <container-name> --resource-group <res-group>
-```
-
--- a/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-queue-enum.md
@@ -4,7 +4,7 @@

 ## Grundinformationen

-Azure Queue Storage ist ein Dienst in Microsofts Azure-Cloud-Plattform, der für die Nachrichtenwarteschlange zwischen Anwendungskomponenten entwickelt wurde, **um asynchrone Kommunikation und Entkopplung zu ermöglichen**. Es ermöglicht Ihnen, eine unbegrenzte Anzahl von Nachrichten zu speichern, jede bis zu 64 KB groß, und unterstützt Operationen wie das Erstellen und Löschen von Warteschlangen, das Hinzufügen, Abrufen, Aktualisieren und Löschen von Nachrichten sowie das Verwalten von Metadaten und Zugriffsrichtlinien. Während es typischerweise Nachrichten in einer First-In-First-Out (FIFO)-Reihenfolge verarbeitet, wird strikte FIFO nicht garantiert.
+Azure Queue Storage ist ein Dienst in Microsofts Azure-Cloud-Plattform, der für die Nachrichtenwarteschlange zwischen Anwendungskomponenten entwickelt wurde, **um asynchrone Kommunikation und Entkopplung zu ermöglichen**. Es ermöglicht Ihnen, eine unbegrenzte Anzahl von Nachrichten zu speichern, von denen jede bis zu 64 KB groß sein kann, und unterstützt Operationen wie das Erstellen und Löschen von Warteschlangen, das Hinzufügen, Abrufen, Aktualisieren und Löschen von Nachrichten sowie das Verwalten von Metadaten und Zugriffsrichtlinien. Während es normalerweise Nachrichten in einer First-In-First-Out (FIFO)-Reihenfolge verarbeitet, wird strikte FIFO nicht garantiert.

 ### Enumeration

@@ -84,8 +84,8 @@ $queueMessage.Value

 ## Referenzen

- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
- https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
+- [https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues](https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues)
+- [https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api](https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api)
+- [https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes](https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes)

 {{#include ../../../banners/hacktricks-training.md}}
--- a/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md
@@ -4,52 +4,61 @@

 ## Service Bus

-Azure Service Bus ist ein cloudbasierter **Messaging-Dienst**, der entwickelt wurde, um eine zuverlässige **Kommunikation zwischen verschiedenen Teilen einer Anwendung oder separaten Anwendungen** zu ermöglichen. Er fungiert als sicherer Mittelsmann und stellt sicher, dass Nachrichten sicher zugestellt werden, selbst wenn Sender und Empfänger nicht gleichzeitig arbeiten. Durch die Entkopplung von Systemen ermöglicht er es Anwendungen, unabhängig zu arbeiten, während sie weiterhin Daten oder Anweisungen austauschen. Er ist besonders nützlich für Szenarien, die Lastverteilung über mehrere Arbeiter, zuverlässige Nachrichtenübermittlung oder komplexe Koordination erfordern, wie z.B. die Verarbeitung von Aufgaben in der richtigen Reihenfolge oder die sichere Verwaltung von Zugriffsrechten.
+Azure Service Bus ist ein cloudbasierter **Messaging-Dienst**, der entwickelt wurde, um eine zuverlässige **Kommunikation zwischen verschiedenen Teilen einer Anwendung oder separaten Anwendungen** zu ermöglichen. Er fungiert als sicherer Mittelsmann und stellt sicher, dass Nachrichten sicher zugestellt werden, selbst wenn Sender und Empfänger nicht gleichzeitig arbeiten. Durch die Entkopplung von Systemen ermöglicht es Anwendungen, unabhängig zu arbeiten, während sie weiterhin Daten oder Anweisungen austauschen. Es ist besonders nützlich für Szenarien, die Lastenausgleich über mehrere Arbeiter, zuverlässige Nachrichtenübermittlung oder komplexe Koordination erfordern, wie z.B. die Verarbeitung von Aufgaben in der richtigen Reihenfolge oder die sichere Verwaltung von Zugriffsrechten.

-### Schlüsselkonzepte
+### Key Concepts

-1. **Warteschlangen:** Ihr Zweck ist es, Nachrichten zu speichern, bis der Empfänger bereit ist.
+1. **Namespaces:** Ein Namespace in Messaging-Systemen ist ein logischer Container, der Messaging-Komponenten, Warteschlangen und Themen organisiert und verwaltet. Er bietet eine isolierte Umgebung, in der Anwendungen Nachrichten senden, empfangen und verarbeiten können. Warteschlangen und Themen teilen sich die gleiche Infrastruktur und Konfiguration innerhalb eines Service Bus-Namespace, arbeiten jedoch unabhängig und interagieren nicht miteinander.
+2. **Queues:** Ihr Zweck ist es, Nachrichten zu speichern, bis der Empfänger bereit ist.
 - Nachrichten sind geordnet, zeitgestempelt und dauerhaft gespeichert.
- Lieferung im Pull-Modus (abrufbasierte Bereitstellung).
+- Lieferung im Pull-Modus (on-demand retrieval).
 - Unterstützt Punkt-zu-Punkt-Kommunikation.
-2. **Themen:** Publish-Subscribe-Messaging für die Übertragung.
+3. **Topics:** Publish-Subscribe-Messaging für Broadcast.
 - Mehrere unabhängige Abonnements erhalten Kopien von Nachrichten.
 - Abonnements können Regeln/Filter haben, um die Lieferung zu steuern oder Metadaten hinzuzufügen.
 - Unterstützt Viele-zu-Viele-Kommunikation.
-3. **Namespaces:** Ein Container für alle Messaging-Komponenten, Warteschlangen und Themen, ist wie Ihr eigener Teil eines leistungsstarken Azure-Clusters, der dedizierte Kapazität bietet und optional über drei Verfügbarkeitszonen hinweg reicht.

+Der Service Bus-Endpunkt/Verbindungszeichenfolge ist:
+```bash
+https://<namespace>.servicebus.windows.net:443/
+```
 ### Erweiterte Funktionen

 Einige erweiterte Funktionen sind:

- **Nachrichtensitzungen**: Stellt FIFO-Verarbeitung sicher und unterstützt Anfrage-Antwort-Muster.
- **Automatische Weiterleitung**: Überträgt Nachrichten zwischen Warteschlangen oder Themen im selben Namespace.
- **Dead-Lettering**: Erfasst nicht zustellbare Nachrichten zur Überprüfung.
- **Geplante Lieferung**: Verzögert die Nachrichtenverarbeitung für zukünftige Aufgaben.
- **Nachrichtenaussetzung**: Verschiebt den Abruf von Nachrichten, bis sie bereit sind.
- **Transaktionen**: Gruppiert Operationen in atomare Ausführung.
- **Filter & Aktionen**: Wendet Regeln an, um Nachrichten zu filtern oder zu annotieren.
- **Automatisches Löschen bei Inaktivität**: Löscht Warteschlangen nach Inaktivität (min: 5 Minuten).
- **Duplikaterkennung**: Entfernt doppelte Nachrichten während der erneuten Übertragung.
- **Batch-Löschung**: Löscht im Bulk abgelaufene oder unnötige Nachrichten.
+- **Message Sessions**: Stellt FIFO-Verarbeitung sicher und unterstützt Anfrage-Antwort-Muster.
+- **Auto-Forwarding**: Überträgt Nachrichten zwischen Warteschlangen oder Themen im selben Namensraum.
+- **Dead-Lettering**: Erfasst unzustellbare Nachrichten zur Überprüfung.
+- **Scheduled Delivery**: Verzögert die Nachrichtenverarbeitung für zukünftige Aufgaben.
+- **Message Deferral**: Verschiebt den Abruf von Nachrichten, bis sie bereit sind.
+- **Transactions**: Gruppiert Operationen in atomare Ausführung.
+- **Filters & Actions**: Wendet Regeln an, um Nachrichten zu filtern oder zu annotieren.
+- **Auto-Delete on Idle**: Löscht Warteschlangen nach Inaktivität (min: 5 Minuten).
+- **Duplicate Detection**: Entfernt doppelte Nachrichten während der erneuten Sendung.
+- **Batch Deletion**: Löscht im Bulk abgelaufene oder unnötige Nachrichten.

 ### Autorisierungsregel / SAS-Richtlinie

-SAS-Richtlinien definieren die Zugriffsberechtigungen für Azure Service Bus-Entitäten, Namespace (die wichtigste), Warteschlangen und Themen. Jede Richtlinie hat die folgenden Komponenten:
+SAS-Richtlinien definieren die Zugriffsberechtigungen für Azure Service Bus-Entitäten im Namensraum (die wichtigste), Warteschlangen und Themen. Jede Richtlinie hat die folgenden Komponenten:

 - **Berechtigungen**: Kontrollkästchen zur Angabe von Zugriffslevels:
- Verwalten: Gewährt vollständige Kontrolle über die Entität, einschließlich Konfiguration und Berechtigungsmanagement.
- Senden: Erlaubt das Senden von Nachrichten an die Entität.
- Anhören: Erlaubt das Empfangen von Nachrichten von der Entität.
+- Manage: Gewährt vollständige Kontrolle über die Entität, einschließlich Konfiguration und Berechtigungsmanagement.
+- Send: Erlaubt das Senden von Nachrichten an die Entität.
+- Listen: Erlaubt das Empfangen von Nachrichten von der Entität.
 - **Primäre und sekundäre Schlüssel**: Dies sind kryptografische Schlüssel, die zur Generierung sicherer Tokens für die Authentifizierung des Zugriffs verwendet werden.
 - **Primäre und sekundäre Verbindungszeichenfolgen**: Vorgefertigte Verbindungszeichenfolgen, die den Endpunkt und den Schlüssel für die einfache Verwendung in Anwendungen enthalten.
 - **SAS-Richtlinien-ARM-ID**: Der Azure Resource Manager (ARM)-Pfad zur Richtlinie für die programmgesteuerte Identifizierung.

-### Namespace
+Es ist wichtig zu beachten, dass ein Namensraum eine einzige SAS-Richtlinie hat, die jede Entität innerhalb davon beeinflusst, während Warteschlangen und Themen ihre eigenen individuellen SAS-Richtlinien für eine granularere Kontrolle haben können.

-sku, autorisierungsregel,
+### "--disable-local-auth"

-### Enumeration
+Der Parameter --disable-local-auth wird verwendet, um zu steuern, ob die lokale Authentifizierung (d.h. die Verwendung von Shared Access Signature (SAS)-Schlüsseln) für Ihren Service Bus-Namensraum aktiviert ist. Hier ist, was Sie wissen müssen:
+
+- Wenn auf true gesetzt: Die lokale Authentifizierung mit SAS-Schlüsseln ist deaktiviert und die Authentifizierung über Azure Active Directory (Azure AD) ist erlaubt.
+- Wenn auf false gesetzt: Sowohl die SAS (lokale) Authentifizierung als auch die Azure AD-Authentifizierung sind verfügbar, und Sie können Verbindungszeichenfolgen mit SAS-Schlüsseln verwenden, um auf Ihre Service Bus-Ressourcen zuzugreifen.
+
+### Aufzählung

 {{#tabs }}
 {{#tab name="az cli" }}
--- a/src/pentesting-cloud/azure-security/az-services/az-sql.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-sql.md
@@ -4,30 +4,47 @@

 ## Azure SQL

-Azure SQL ist eine Familie von verwalteten, sicheren und intelligenten Produkten, die die **SQL Server-Datenbank-Engine in der Azure-Cloud** verwenden. Das bedeutet, dass Sie sich nicht um die physische Verwaltung Ihrer Server kümmern müssen und sich auf die Verwaltung Ihrer Daten konzentrieren können.
+Azure SQL ist eine Familie von verwalteten, sicheren und intelligenten Produkten, die die **SQL Server-Datenbank-Engine in der Azure-Cloud** nutzen. Das bedeutet, dass Sie sich nicht um die physische Verwaltung Ihrer Server kümmern müssen und sich auf die Verwaltung Ihrer Daten konzentrieren können.

-Azure SQL besteht aus drei Hauptangeboten:
+Azure SQL besteht aus vier Hauptangeboten:

-1. **Azure SQL-Datenbank**: Dies ist ein **vollständig verwalteter Datenbankdienst**, der es Ihnen ermöglicht, einzelne Datenbanken in der Azure-Cloud zu hosten. Er bietet integrierte Intelligenz, die Ihre einzigartigen Datenbankmuster lernt und maßgeschneiderte Empfehlungen sowie automatische Optimierungen bereitstellt.
-2. **Azure SQL Managed Instance**: Dies ist für größere, vollständig SQL Server-Instanz-gestützte Bereitstellungen. Es bietet nahezu 100% Kompatibilität mit der neuesten SQL Server On-Premises (Enterprise Edition) Datenbank-Engine, die eine native Implementierung des virtuellen Netzwerks (VNet) bietet, die häufige Sicherheitsbedenken anspricht, und ein Geschäftsmodell, das für On-Premises SQL Server-Kunden vorteilhaft ist.
-3. **Azure SQL Server auf Azure VMs**: Dies ist Infrastructure as a Service (IaaS) und eignet sich am besten für Migrationen, bei denen Sie **Kontrolle über das Betriebssystem und die SQL Server-Instanz** haben möchten, als ob es sich um einen Server handelt, der On-Premises läuft.
+1. **Azure SQL Server**: Azure SQL Server ist ein verwalteter relationaler Datenbankdienst, der die Bereitstellung und Verwaltung von SQL Server-Datenbanken vereinfacht, mit integrierten Sicherheits- und Leistungsfunktionen.
+2. **Azure SQL Database**: Dies ist ein **vollständig verwalteter Datenbankdienst**, der es Ihnen ermöglicht, einzelne Datenbanken in der Azure-Cloud zu hosten. Er bietet integrierte Intelligenz, die Ihre einzigartigen Datenbankmuster lernt und maßgeschneiderte Empfehlungen sowie automatische Optimierungen bereitstellt.
+3. **Azure SQL Managed Instance**: Dies ist für größere, gesamte SQL Server-Instanz-Umsetzungen gedacht. Es bietet nahezu 100% Kompatibilität mit der neuesten SQL Server On-Premises (Enterprise Edition) Datenbank-Engine, die eine native virtuelle Netzwerk (VNet)-Implementierung bietet, die häufige Sicherheitsbedenken anspricht, und ein Geschäftsmodell, das für On-Premises SQL Server-Kunden vorteilhaft ist.
+4. **Azure SQL Server auf Azure VMs**: Dies ist Infrastructure as a Service (IaaS) und eignet sich am besten für Migrationen, bei denen Sie **Kontrolle über das Betriebssystem und die SQL Server-Instanz** haben möchten, als ob es sich um einen Server handelt, der On-Premises läuft.

-### Azure SQL-Datenbank
+### Azure SQL Server

-**Azure SQL-Datenbank** ist eine **vollständig verwaltete Datenbankplattform als Dienst (PaaS)**, die skalierbare und sichere relationale Datenbanklösungen bietet. Sie basiert auf den neuesten SQL Server-Technologien und beseitigt die Notwendigkeit für Infrastrukturmanagement, was sie zu einer beliebten Wahl für cloudbasierte Anwendungen macht.
+Azure SQL Server ist ein relationales Datenbankmanagementsystem (RDBMS), das Transact-SQL für Datenoperationen verwendet und für die Verarbeitung von Unternehmenssystemen ausgelegt ist. Es bietet robuste Funktionen für Leistung, Sicherheit, Skalierbarkeit und Integration mit verschiedenen Microsoft-Anwendungen. Azure SQL-Datenbanken basieren auf diesem Server, da diese auf diesen Servern aufgebaut sind und es der Einstiegspunkt für Benutzer ist, um auf die Datenbanken zuzugreifen.

-#### Hauptmerkmale
+#### Netzwerk

- **Immer Aktuell**: Läuft auf der neuesten stabilen Version von SQL Server und erhält automatisch neue Funktionen und Patches.
- **PaaS-Funktionen**: Integrierte hohe Verfügbarkeit, Backups und Updates.
- **Datenflexibilität**: Unterstützt relationale und nicht-relationale Daten (z. B. Graphen, JSON, räumliche Daten und XML).
+**Netzwerkverbindung**: Wählen Sie, ob Sie den Zugriff über einen öffentlichen Endpunkt oder einen privaten Endpunkt aktivieren möchten. Wenn Sie "Kein Zugriff" auswählen, werden keine Endpunkte erstellt, bis dies manuell konfiguriert wird:
+- Kein Zugriff: Es sind keine Endpunkte konfiguriert, wodurch eingehende Verbindungen blockiert werden, bis sie manuell eingerichtet werden.
+- Öffentlicher Endpunkt: Ermöglicht direkte Verbindungen über das öffentliche Internet, unterliegt Firewall-Regeln und anderen Sicherheitskonfigurationen.
+- Privater Endpunkt: Beschränkt die Konnektivität auf ein privates Netzwerk.

-#### Kaufmodelle / Dienstebenen
+**Verbindungsrichtlinie**: Definieren Sie, wie Clients mit dem SQL-Datenbankserver kommunizieren:
+- Standard: Verwendet eine Umleitungsrichtlinie für alle Clientverbindungen von innerhalb von Azure (außer für solche, die private Endpunkte verwenden) und eine Proxy-Richtlinie für Verbindungen von außerhalb von Azure.
+- Proxy: Leitet alle Clientverbindungen über das Azure SQL-Datenbank-Gateway.
+- Umleitung: Clients verbinden sich direkt mit dem Knoten, der die Datenbank hostet.

- **vCore-basiert**: Wählen Sie Compute, Speicher und Speicher unabhängig. Für allgemeine Zwecke, geschäftskritisch (mit hoher Resilienz und Leistung für OLTP-Anwendungen) und bis zu 128 TB Speicher.
- **DTU-basiert**: Bündelt Compute, Speicher und I/O in festen Ebenen. Ausgewogene Ressourcen für gängige Aufgaben.
- Standard: Ausgewogene Ressourcen für gängige Aufgaben.
- Premium: Hohe Leistung für anspruchsvolle Workloads.
+#### Authentifizierungsmethoden
+Azure SQL unterstützt verschiedene Authentifizierungsmethoden, um den Datenbankzugriff zu sichern:
+
+- **Microsoft Entra-only-Authentifizierung**: Verwendet Microsoft Entra (ehemals Azure AD) für zentrales Identitätsmanagement und Single Sign-On.
+- **Sowohl SQL- als auch Microsoft Entra-Authentifizierung**: Ermöglicht die Verwendung traditioneller SQL-Authentifizierung zusammen mit Microsoft Entra.
+- **SQL-Authentifizierung**: Vertraut ausschließlich auf SQL Server-Benutzernamen und -Passwörter.
+
+#### Sicherheitsmerkmale
+
+SQL-Server haben **verwaltete Identitäten**. Verwaltete Identitäten ermöglichen es Ihrem Server, sich sicher mit anderen Azure-Diensten zu authentifizieren, ohne Anmeldeinformationen zu speichern. Sie ermöglichen den Zugriff auf andere Dienste, die eine systemzugewiesene verwaltete Identität haben, und können von anderen Diensten mit anderen Identitäten, die eine benutzerzugewiesene verwaltete Identität sind, aufgerufen werden. Einige der Dienste, auf die SQL zugreifen kann, sind Azure Storage Account (V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB oder Cosmos DB API für MongoDB, generisches ODBC, Bulk-Operationen und S3-kompatible Objektspeicherung.
+
+Weitere Sicherheitsmerkmale, die der SQL-Server hat, sind:
+
+- **Firewall-Regeln**: Firewall-Regeln steuern den Zugriff auf Ihren Server, indem sie den Datenverkehr einschränken oder zulassen. Dies ist auch eine Funktion der Datenbanken selbst.
+- **Transparente Datenverschlüsselung (TDE)**: TDE verschlüsselt Ihre Datenbanken, Backups und Protokolle im Ruhezustand, um Ihre Daten zu schützen, selbst wenn der Speicher kompromittiert ist. Dies kann mit einem dienstverwalteten Schlüssel oder einem kundenverwalteten Schlüssel erfolgen.
+- **Microsoft Defender für SQL**: Microsoft Defender für SQL kann aktiviert werden und bietet Schwachstellenbewertungen und erweiterten Bedrohungsschutz für einen Server.

 #### Bereitstellungsmodelle

@@ -35,19 +52,56 @@ Azure SQL-Datenbank unterstützt flexible Bereitstellungsoptionen, um verschiede

 - **Einzelne Datenbank**:
 - Eine vollständig isolierte Datenbank mit eigenen dedizierten Ressourcen.
- Ideal für Microservices oder Anwendungen, die eine einzige Datenquelle benötigen.
- **Elastic Pool**:
+- Ideal für Microservices oder Anwendungen, die eine einzelne Datenquelle benötigen.
+- **Elastischer Pool**:
 - Ermöglicht mehreren Datenbanken, Ressourcen innerhalb eines Pools zu teilen.
 - Kosten effizient für Anwendungen mit schwankenden Nutzungsmustern über mehrere Datenbanken.

+### Azure SQL Database
+
+**Azure SQL Database** ist eine **vollständig verwaltete Datenbankplattform als Dienst (PaaS)**, die skalierbare und sichere relationale Datenbanklösungen bietet. Sie basiert auf den neuesten SQL Server-Technologien und beseitigt die Notwendigkeit für Infrastrukturmanagement, was sie zu einer beliebten Wahl für cloudbasierte Anwendungen macht.
+
+#### Hauptmerkmale
+
+- **Immer auf dem neuesten Stand**: Läuft auf der neuesten stabilen Version von SQL Server und erhält automatisch neue Funktionen und Patches.
+- **PaaS-Funktionen**: Integrierte hohe Verfügbarkeit, Backups und Updates.
+- **Datenflexibilität**: Unterstützt relationale und nicht-relationale Daten (z. B. Grafiken, JSON, räumliche Daten und XML).
+
+#### Netzwerk
+
+**Netzwerkverbindung**: Wählen Sie, ob Sie den Zugriff über einen öffentlichen Endpunkt oder einen privaten Endpunkt aktivieren möchten. Wenn Sie "Kein Zugriff" auswählen, werden keine Endpunkte erstellt, bis dies manuell konfiguriert wird:
+- Kein Zugriff: Es sind keine Endpunkte konfiguriert, wodurch eingehende Verbindungen blockiert werden, bis sie manuell eingerichtet werden.
+- Öffentlicher Endpunkt: Ermöglicht direkte Verbindungen über das öffentliche Internet, unterliegt Firewall-Regeln und anderen Sicherheitskonfigurationen.
+- Privater Endpunkt: Beschränkt die Konnektivität auf ein privates Netzwerk.
+
+**Verbindungsrichtlinie**: Definieren Sie, wie Clients mit dem SQL-Datenbankserver kommunizieren:
+- Standard: Verwendet eine Umleitungsrichtlinie für alle Clientverbindungen von innerhalb von Azure (außer für solche, die private Endpunkte verwenden) und eine Proxy-Richtlinie für Verbindungen von außerhalb von Azure.
+- Proxy: Leitet alle Clientverbindungen über das Azure SQL-Datenbank-Gateway.
+- Umleitung: Clients verbinden sich direkt mit dem Knoten, der die Datenbank hostet.
+
+#### Sicherheitsmerkmale
+
+- **Microsoft Defender für SQL**: kann aktiviert werden und bietet Schwachstellenbewertungen und erweiterten Bedrohungsschutz.
+- **Ledger**: überprüft kryptografisch die Integrität von Daten und stellt sicher, dass Manipulationen erkannt werden.
+- **Serveridentität**: verwendet systemzugewiesene und benutzerzugewiesene verwaltete Identitäten, um den zentralen Zugriff zu ermöglichen.
+- **Verwaltung der transparenten Datenverschlüsselungsschlüssel**: verschlüsselt Datenbanken, Backups und Protokolle im Ruhezustand, ohne dass Änderungen an der Anwendung erforderlich sind. Die Verschlüsselung kann für jede Datenbank aktiviert werden, und wenn sie auf Datenbankebene konfiguriert ist, überschreiben diese Einstellungen die serverseitige Konfiguration.
+- **Immer verschlüsselt**: ist eine Suite von erweiterten Datenschutzfunktionen, die das Eigentum an Daten von der Datenverwaltung trennt. Dies stellt sicher, dass Administratoren oder Betreiber mit hohen Berechtigungen nicht auf sensible Daten zugreifen können.
+
+#### Kaufmodelle / Dienstebenen
+
+- **vCore-basiert**: Wählen Sie Compute, Speicher und Speicher unabhängig. Für allgemeine Zwecke, geschäftskritisch (mit hoher Resilienz und Leistung für OLTP-Apps) und skaliert bis zu 128 TB Speicher.
+- **DTU-basiert**: Bündelt Compute, Speicher und I/O in festen Ebenen. Ausgewogene Ressourcen für gängige Aufgaben.
+- Standard: Ausgewogene Ressourcen für gängige Aufgaben.
+- Premium: Hohe Leistung für anspruchsvolle Workloads.
+
 #### Skalierbare Leistung und Pools

- **Einzelne Datenbanken**: Jede Datenbank ist isoliert und hat ihre eigenen dedizierten Compute-, Speicher- und Speicherressourcen. Ressourcen können dynamisch (hoch oder runter) ohne Ausfallzeiten skaliert werden (1–128 vCores, 32 GB–4 TB Speicher und bis zu 128 TB).
- **Elastic Pools**: Teilen Sie Ressourcen über mehrere Datenbanken in einem Pool, um die Effizienz zu maximieren und Kosten zu sparen. Ressourcen können auch dynamisch für den gesamten Pool skaliert werden.
- **Flexibilität der Dienstebene**: Beginnen Sie klein mit einer einzelnen Datenbank in der allgemeinen Zweckebene. Upgrade auf geschäftskritische oder Hyperscale-Ebenen, wenn die Bedürfnisse wachsen.
+- **Einzelne Datenbanken**: Jede Datenbank ist isoliert und hat ihre eigenen dedizierten Compute-, Speicher- und Speicherressourcen. Ressourcen können dynamisch (nach oben oder unten) ohne Ausfallzeiten skaliert werden (1–128 vCores, 32 GB–4 TB Speicher und bis zu 128 TB).
+- **Elastische Pools**: Teilen Sie Ressourcen über mehrere Datenbanken in einem Pool, um die Effizienz zu maximieren und Kosten zu sparen. Ressourcen können auch dynamisch für den gesamten Pool skaliert werden.
+- **Flexibilität der Dienstebene**: Beginnen Sie klein mit einer einzelnen Datenbank in der allgemeinen Zweckebene. Upgrade auf geschäftskritische oder Hyperscale-Ebenen, wenn die Anforderungen wachsen.
 - **Skalierungsoptionen**: Dynamische Skalierung oder Autoscaling-Alternativen.

-#### Eingebaute Überwachung & Optimierung
+#### Integrierte Überwachung & Optimierung

 - **Abfrage-Store**: Verfolgt Leistungsprobleme, identifiziert die Hauptressourcennutzer und bietet umsetzbare Empfehlungen.
 - **Automatische Optimierung**: Optimiert proaktiv die Leistung mit Funktionen wie automatischer Indizierung und Korrekturen von Abfrageplänen.
@@ -56,7 +110,7 @@ Azure SQL-Datenbank unterstützt flexible Bereitstellungsoptionen, um verschiede
 #### Notfallwiederherstellung & Verfügbarkeit

 - **Automatische Backups**: SQL-Datenbank führt automatisch vollständige, differenzielle und Transaktionsprotokoll-Backups von Datenbanken durch.
- **Punkt-in-Zeit-Wiederherstellung**: Stellen Sie Datenbanken auf jeden früheren Zustand innerhalb des Backup-Aufbewahrungszeitraums wieder her.
+- **Punkt-in-Zeit-Wiederherstellung**: Stellen Sie Datenbanken in jeden früheren Zustand innerhalb des Backup-Aufbewahrungszeitraums wieder her.
 - **Geo-Redundanz**
 - **Failover-Gruppen**: Vereinfacht die Notfallwiederherstellung, indem Datenbanken für automatisches Failover über Regionen gruppiert werden.

@@ -66,30 +120,30 @@ Azure SQL-Datenbank unterstützt flexible Bereitstellungsoptionen, um verschiede

 #### Dienstebenen

- **Allgemeiner Zweck**: Kosten effektive Option für Anwendungen mit standardmäßigen I/O- und Latenzanforderungen.
+- **Allgemeiner Zweck**: Kostenwirksame Option für Anwendungen mit standardmäßigen I/O- und Latenzanforderungen.
 - **Geschäftskritisch**: Hochleistungsoption mit niedriger I/O-Latenz für kritische Workloads.

 #### Erweiterte Sicherheitsmerkmale

-* **Bedrohungsschutz**: Erweiterte Bedrohungsschutzwarnungen für verdächtige Aktivitäten und SQL-Injection-Angriffe. Auditing zur Verfolgung und Protokollierung von Datenbankereignissen zur Einhaltung.
+* **Bedrohungsschutz**: Erweiterte Bedrohungsschutzwarnungen für verdächtige Aktivitäten und SQL-Injection-Angriffe. Auditing zur Verfolgung und Protokollierung von Datenbankereignissen zur Einhaltung von Vorschriften.
 * **Zugriffskontrolle**: Microsoft Entra-Authentifizierung für zentrales Identitätsmanagement. Zeilenebene-Sicherheit und dynamische Datenmaskierung für granulare Zugriffskontrolle.
 * **Backups**: Automatisierte und manuelle Backups mit Punkt-in-Zeit-Wiederherstellungsfähigkeit.

-### Azure SQL Virtuelle Maschinen
+### Azure SQL Virtual Machines

-**Azure SQL Virtuelle Maschinen** eignen sich am besten für Migrationen, bei denen Sie **Kontrolle über das Betriebssystem und die SQL Server-Instanz** haben möchten, als ob es sich um einen Server handelt, der On-Premises läuft. Sie können unterschiedliche Maschinen Größen und eine große Auswahl an SQL Server-Versionen und -Editionen haben.
+**Azure SQL Virtual Machines** eignet sich am besten für Migrationen, bei denen Sie **Kontrolle über das Betriebssystem und die SQL Server-Instanz** haben möchten, als ob es sich um einen Server handelt, der On-Premises läuft. Es kann verschiedene Maschinen Größen und eine große Auswahl an SQL Server-Versionen und -Editionen haben.

 #### Hauptmerkmale

 **Automatisiertes Backup**: Planen Sie Backups für SQL-Datenbanken.
-**Automatische Patches**: Automatisiert die Installation von Windows- und SQL Server-Updates während eines Wartungsfensters.
-**Azure Key Vault-Integration**: Konfiguriert Key Vault automatisch für SQL Server-VMs.
-**Defender für Cloud-Integration**: Sehen Sie Defender für SQL-Empfehlungen im Portal.
-**Versions-/Edition-Flexibilität**: Ändern Sie die SQL Server-Version oder -Edition-Metadaten, ohne die VM neu bereitzustellen.
+**Automatische Patchverwaltung**: Automatisiert die Installation von Windows- und SQL Server-Updates während eines Wartungsfensters.
+**Azure Key Vault-Integration**: Konfiguriert automatisch Key Vault für SQL Server VMs.
+**Defender für Cloud-Integration**: Anzeigen von Defender für SQL-Empfehlungen im Portal.
+**Versions-/Editionenflexibilität**: Ändern Sie die SQL Server-Version oder -Editionen-Metadaten, ohne die VM neu bereitzustellen.

 #### Sicherheitsmerkmale

-**Microsoft Defender für SQL**: Sicherheitsinformationen und -warnungen.
+**Microsoft Defender für SQL**: Sicherheitsanalysen und -warnungen.
 **Azure Key Vault-Integration**: Sichere Speicherung von Anmeldeinformationen und Verschlüsselungsschlüsseln.
 **Microsoft Entra (Azure AD)**: Authentifizierung und Zugriffskontrolle.

@@ -99,7 +153,7 @@ Azure SQL-Datenbank unterstützt flexible Bereitstellungsoptionen, um verschiede
 {{#tab name="az cli"}}
 ```bash
 # List Servers
-az sql server list # --output table
+az sql server list # managed identities are enumerated here too
 ## List Server Usages
 az sql server list-usages --name <server_name> --resource-group <resource_group>
 ## List Server Firewalls