gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-08 19:30:51 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-privilege-escalation

Browse Source
This commit is contained in:
Translator
2025-02-20 00:39:31 +00:00
parent 998be89c35
commit fa1e8fddf6
9 changed files with 240 additions and 140 deletions
Download Patch File Download Diff File Expand all files Collapse all files

209
src/pentesting-cloud/azure-security/az-services/az-sql.md
View File

@@ -8,144 +8,92 @@ Azure SQL es una familia de productos gestionados, seguros e inteligentes que ut
Azure SQL consta de cuatro ofertas principales:
1. **Azure SQL Server**: Azure SQL Server es un servicio de base de datos relacional gestionado que simplifica el despliegue y la gestión de bases de datos SQL Server, con características de seguridad y rendimiento integradas.
2. **Azure SQL Database**: Este es un **servicio de base de datos totalmente gestionado**, que te permite alojar bases de datos individuales en la nube de Azure. Ofrece inteligencia incorporada que aprende tus patrones únicos de base de datos y proporciona recomendaciones personalizadas y ajuste automático.
3. **Azure SQL Managed Instance**: Esto es para despliegues a gran escala, de toda la instancia de SQL Server. Proporciona casi un 100% de compatibilidad con el motor de base de datos SQL Server en las instalaciones (Edición Empresarial), que ofrece una implementación nativa de red virtual (VNet) que aborda preocupaciones comunes de seguridad, y un modelo de negocio favorable para los clientes de SQL Server en las instalaciones.
4. **Azure SQL Server en Azure VMs**: Esto es Infraestructura como Servicio (IaaS) y es mejor para migraciones donde deseas **control sobre el sistema operativo y la instancia de SQL Server**, como si fuera un servidor que se ejecuta en las instalaciones.
1. **Azure SQL Server**: Se necesita un servidor para el **despliegue y gestión** de bases de datos SQL Server.
2. **Azure SQL Database**: Este es un **servicio de base de datos completamente gestionado**, que te permite alojar bases de datos individuales en la nube de Azure.
3. **Azure SQL Managed Instance**: Esto es para despliegues a gran escala, de toda la instancia de SQL Server.
4. **Azure SQL Server en Azure VMs**: Esto es mejor para arquitecturas donde deseas **control sobre el sistema operativo** y la instancia de SQL Server.
### Azure SQL Server
### Características de Seguridad de SQL Server
Azure SQL Server es un sistema de gestión de bases de datos relacionales (RDBMS) que utiliza Transact-SQL para operaciones de datos y está diseñado para manejar sistemas a nivel empresarial. Ofrece características robustas para rendimiento, seguridad, escalabilidad e integración con varias aplicaciones de Microsoft. Las bases de datos de Azure SQL dependen de este servidor, ya que están construidas sobre estos servidores y es el punto de entrada para que los usuarios accedan a las bases de datos.
**Acceso a la red:**
#### Red
- Punto final público (se puede limitar el acceso a redes específicas).
- Puntos finales privados.
- También es posible restringir conexiones basadas en nombres de dominio.
- También es posible permitir que los servicios de Azure accedan a él (como usar el editor de consultas en el portal o permitir que una VM de Azure se conecte).
**Conectividad de Red**: Elige si habilitar el acceso a través de un punto final público o un punto final privado. Si seleccionas Sin acceso, no se crean puntos finales hasta que se configure manualmente:
- Sin acceso: No se configuran puntos finales, bloqueando conexiones entrantes hasta que se configuren manualmente.
- Punto final público: Permite conexiones directas a través de Internet público, sujeto a reglas de firewall y otras configuraciones de seguridad.
- Punto final privado: Restringe la conectividad a una red privada.
**Métodos de Autenticación:**
**Política de Conexión**: Define cómo los clientes se comunican con el servidor de base de datos SQL:
- Predeterminado: Utiliza una política de redirección para todas las conexiones de clientes desde dentro de Azure (excepto aquellas que utilizan Puntos Finales Privados) y una política de proxy para conexiones desde fuera de Azure.
- Proxy: Rutea todas las conexiones de clientes a través de la puerta de enlace de Azure SQL Database.
- Redirigir: Los clientes se conectan directamente al nodo que aloja la base de datos.
- Autenticación **solo de Microsoft Entra**: Necesitas indicar los principios de Entra que tendrán acceso al servicio.
- Autenticación **tanto de SQL como de Microsoft Entra**: Autenticación SQL tradicional con nombre de usuario y contraseña junto con Microsoft Entra.
- Autenticación **solo de SQL**: Solo permite el acceso a través de usuarios de base de datos.
#### Métodos de Autenticación
Azure SQL admite varios métodos de autenticación para asegurar el acceso a la base de datos:
Ten en cuenta que si se permite cualquier autenticación SQL, se necesita indicar un usuario administrador (nombre de usuario + contraseña) y si se selecciona la autenticación de Entra ID, también es necesario indicar al menos un principio con acceso de administrador.
- **Autenticación solo de Microsoft Entra**: Utiliza Microsoft Entra (anteriormente Azure AD) para la gestión de identidad centralizada y el inicio de sesión único.
- **Autenticación tanto de SQL como de Microsoft Entra**: Te permite usar la autenticación SQL tradicional junto con Microsoft Entra.
- **Autenticación SQL**: Se basa únicamente en nombres de usuario y contraseñas de SQL Server.
**Cifrado:**
#### Características de Seguridad
- Se llama "Cifrado de datos transparente" y cifra bases de datos, copias de seguridad y registros en reposo.
- Como siempre, se utiliza una clave gestionada por Azure de forma predeterminada, pero también se podría usar una clave de cifrado gestionada por el cliente (CMEK).
**Identidades Gestionadas:**
Los servidores SQL tienen **Identidades Gestionadas**. Las identidades gestionadas permiten que tu servidor se autentique de forma segura con otros servicios de Azure sin almacenar credenciales. Permite acceder a otros servicios que serían identidad gestionada asignada por el sistema y ser accedidos por otros servicios con otras identidades que son identidad gestionada asignada por el usuario. Algunos de los servicios a los que SQL puede acceder son Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB o Cosmos DB API para MongoDB, ODBC genérico, Operaciones en bloque y almacenamiento de objetos compatible con S3.
- Es posible asignar MIs gestionadas por el sistema y por el usuario.
- Se utilizan para acceder a la clave de cifrado (si se usa un CMEK) y otros servicios desde las bases de datos.
- Si se asignan más de un UMI, es posible indicar cuál usar como predeterminado.
- Es posible configurar una identidad de cliente federada para acceso entre inquilinos.
Otras características de seguridad que tiene el servidor SQL son:
**Microsoft Defender:**
- **Reglas de Firewall**: Las reglas de firewall controlan el acceso a tu servidor restringiendo o permitiendo el tráfico. Esta es una característica de las bases de datos en sí también.
- **Cifrado de Datos Transparente (TDE)**: TDE cifra tus bases de datos, copias de seguridad y registros en reposo para proteger tus datos incluso si el almacenamiento se ve comprometido. Se puede hacer con una clave gestionada por el servicio o una clave gestionada por el cliente.
- **Microsoft Defender para SQL**: Microsoft Defender para SQL se puede habilitar ofreciendo evaluaciones de vulnerabilidad y protección avanzada contra amenazas para un servidor.
- Útil para "mitigar vulnerabilidades potenciales de la base de datos y detectar actividades anómalas".
- Hablaremos sobre Defender en su propia lección (se puede habilitar en varios otros servicios de Azure).
#### Modelos de Despliegue
**Copias de seguridad:**
- La frecuencia de las copias de seguridad se gestiona en las políticas de retención.
Azure SQL Database admite opciones de despliegue flexibles para satisfacer diversas necesidades:
**Bases de datos eliminadas:**
- Es posible restaurar bases de datos que han sido eliminadas de copias de seguridad existentes.
- **Base de Datos Única**:
- Una base de datos totalmente aislada con sus propios recursos dedicados.
- Ideal para microservicios o aplicaciones que requieren una única fuente de datos.
- **Grupo Elástico**:
- Permite que múltiples bases de datos compartan recursos dentro de un grupo.
- Eficiente en costos para aplicaciones con patrones de uso fluctuantes en múltiples bases de datos.
## Azure SQL Database
### Azure SQL Database
**Azure SQL Database** es una **plataforma de base de datos completamente gestionada como servicio (PaaS)** que proporciona soluciones de bases de datos relacionales escalables y seguras. Está construida sobre las últimas tecnologías de SQL Server y elimina la necesidad de gestión de infraestructura, lo que la convierte en una opción popular para aplicaciones basadas en la nube.
**Azure SQL Database** es una **plataforma de base de datos totalmente gestionada como servicio (PaaS)** que proporciona soluciones de base de datos relacional escalables y seguras. Está construida sobre las últimas tecnologías de SQL Server y elimina la necesidad de gestión de infraestructura, lo que la convierte en una opción popular para aplicaciones basadas en la nube.
Para crear una base de datos SQL, es necesario indicar el servidor SQL donde se alojará.
#### Características Clave
### Características de Seguridad de la Base de Datos SQL
- **Siempre Actualizado**: Se ejecuta en la última versión estable de SQL Server y recibe nuevas características y parches automáticamente.
- **Capacidades de PaaS**: Alta disponibilidad, copias de seguridad y actualizaciones integradas.
- **Flexibilidad de Datos**: Admite datos relacionales y no relacionales (por ejemplo, gráficos, JSON, espaciales y XML).
- **Características de seguridad heredadas de SQL Server:**
- Autenticación (SQL y/o Entra ID)
- Identidades gestionadas asignadas
- Restricciones de red
- Cifrado
- Copias de seguridad
-
- **Redundancia de datos:** Las opciones son local, zona, Geo o redundante Geo-Zona.
- **Libro mayor:** Verifica criptográficamente la integridad de los datos, asegurando que cualquier manipulación sea detectada. Útil para organizaciones financieras, médicas y cualquier organización que gestione datos sensibles.
#### Red
Una base de datos SQL podría ser parte de un **pool elástico**. Los pools elásticos son una solución rentable para gestionar múltiples bases de datos compartiendo recursos de computación (eDTUs) y almacenamiento configurables entre ellas, con precios basados únicamente en los recursos asignados en lugar del número de bases de datos.
**Conectividad de Red**: Elige si habilitar el acceso a través de un punto final público o un punto final privado. Si seleccionas Sin acceso, no se crean puntos finales hasta que se configure manualmente:
- Sin acceso: No se configuran puntos finales, bloqueando conexiones entrantes hasta que se configuren manualmente.
- Punto final público: Permite conexiones directas a través de Internet público, sujeto a reglas de firewall y otras configuraciones de seguridad.
- Punto final privado: Restringe la conectividad a una red privada.
#### Seguridad a Nivel de Columna (Enmascaramiento) y Seguridad a Nivel de Fila en Azure SQL
**Política de Conexión**: Define cómo los clientes se comunican con el servidor de base de datos SQL:
- Predeterminado: Utiliza una política de redirección para todas las conexiones de clientes desde dentro de Azure (excepto aquellas que utilizan Puntos Finales Privados) y una política de proxy para conexiones desde fuera de Azure.
- Proxy: Rutea todas las conexiones de clientes a través de la puerta de enlace de Azure SQL Database.
- Redirigir: Los clientes se conectan directamente al nodo que aloja la base de datos.
El enmascaramiento de datos **dinámico de Azure SQL** es una característica que ayuda a **proteger información sensible ocultándola** de usuarios no autorizados. En lugar de alterar los datos reales, enmascara dinámicamente los datos mostrados, asegurando que detalles sensibles como números de tarjetas de crédito estén oscurecidos.
#### Características de Seguridad
El **Enmascaramiento de Datos Dinámico** afecta a todos los usuarios excepto a los que están desmascarados (se necesita indicar a estos usuarios) y a los administradores. Tiene la opción de configuración que especifica qué usuarios de SQL están exentos del enmascaramiento de datos dinámico, con **administradores siempre excluidos**.
- **Microsoft Defender para SQL**: se puede habilitar ofreciendo evaluaciones de vulnerabilidad y protección avanzada contra amenazas.
- **Libro Mayor**: verifica criptográficamente la integridad de los datos, asegurando que cualquier manipulación sea detectada.
- **Identidad del Servidor**: utiliza identidades gestionadas asignadas por el sistema y por el usuario para habilitar el acceso centralizado.
- **Gestión de Claves de Cifrado de Datos Transparentes**: cifra bases de datos, copias de seguridad y registros en reposo sin requerir cambios en la aplicación. El cifrado se puede habilitar en cada base de datos, y si se configura a nivel de base de datos, estas configuraciones anulan la configuración a nivel de servidor.
- **Siempre Cifrado**: es un conjunto de características avanzadas de protección de datos que separa la propiedad de los datos de la gestión de los datos. Esto asegura que los administradores u operadores con altos privilegios no puedan acceder a datos sensibles.
#### Modelos de Compra / Niveles de Servicio
- **Basado en vCore**: Elige computación, memoria y almacenamiento de forma independiente. Para Propósito General, Crítico para Negocios (con alta resiliencia y rendimiento para aplicaciones OLTP), y escala hasta 128 TB de almacenamiento.
- **Basado en DTU**: Agrupa computación, memoria y E/S en niveles fijos. Recursos equilibrados para tareas comunes.
- Estándar: Recursos equilibrados para tareas comunes.
- Premium: Alto rendimiento para cargas de trabajo exigentes.
#### Rendimiento escalable y grupos
- **Bases de Datos Únicas**: Cada base de datos está aislada y tiene sus propios recursos dedicados de computación, memoria y almacenamiento. Los recursos se pueden escalar dinámicamente (hacia arriba o hacia abajo) sin tiempo de inactividad (1128 vCores, 32 GB4 TB de almacenamiento, y hasta 128 TB).
- **Grupos Elásticos**: Comparte recursos entre múltiples bases de datos en un grupo para maximizar la eficiencia y ahorrar costos. Los recursos también se pueden escalar dinámicamente para todo el grupo.
- **Flexibilidad de Nivel de Servicio**: Comienza pequeño con una base de datos única en el nivel de Propósito General. Mejora a niveles Críticos para Negocios o Hiperescalables a medida que crecen las necesidades.
- **Opciones de Escalado**: Escalado Dinámico o Alternativas de Autoscalado.
#### Monitoreo y Optimización Integrados
- **Consulta Almacén**: Realiza un seguimiento de problemas de rendimiento, identifica los principales consumidores de recursos y ofrece recomendaciones prácticas.
- **Ajuste Automático**: Optimiza proactivamente el rendimiento con características como indexación automática y correcciones de planes de consulta.
- **Integración de Telemetría**: Admite monitoreo a través de Azure Monitor, Event Hubs o Azure Storage para obtener información personalizada.
#### Recuperación ante Desastres y Disponibilidad
- **Copias de seguridad automáticas**: SQL Database realiza automáticamente copias de seguridad completas, diferenciales y de registros de transacciones de bases de datos.
- **Restauración a un Punto en el Tiempo**: Recupera bases de datos a cualquier estado anterior dentro del período de retención de copias de seguridad.
- **Geo-Redundancia**
- **Grupos de Conmutación por Error**: Simplifica la recuperación ante desastres agrupando bases de datos para la conmutación por error automática entre regiones.
La **Seguridad a Nivel de Fila (RLS) de Azure SQL** es una característica que **controla qué filas un usuario puede ver o modificar**, asegurando que cada usuario solo vea los datos relevantes para él. Al crear políticas de seguridad con predicados de filtro o bloqueo, las organizaciones pueden hacer cumplir un acceso granular a nivel de base de datos.
### Azure SQL Managed Instance
**Azure SQL Managed Instance** es un motor de base de datos como servicio (PaaS) que ofrece casi un 100% de compatibilidad con SQL Server y maneja automáticamente la mayoría de las tareas de gestión (por ejemplo, actualización, parches, copias de seguridad, monitoreo). Proporciona una solución en la nube para migrar bases de datos de SQL Server en las instalaciones con cambios mínimos.
#### Niveles de Servicio
- **Propósito General**: Opción rentable para aplicaciones con requisitos estándar de E/S y latencia.
- **Crítico para Negocios**: Opción de alto rendimiento con baja latencia de E/S para cargas de trabajo críticas.
#### Características Avanzadas de Seguridad
* **Protección contra Amenazas**: Protección Avanzada contra Amenazas que alerta sobre actividades sospechosas y ataques de inyección SQL. Auditoría para rastrear y registrar eventos de base de datos para cumplimiento.
* **Control de Acceso**: Autenticación de Microsoft Entra para gestión de identidad centralizada. Seguridad a Nivel de Fila y Enmascaramiento de Datos Dinámico para control de acceso granular.
* **Copias de Seguridad**: Copias de seguridad automatizadas y manuales con capacidad de restauración a un punto en el tiempo.
**Azure SQL Managed Instances** son para despliegues a gran escala, de toda la instancia de SQL Server. Proporciona casi un 100% de compatibilidad con el último motor de base de datos SQL Server en las instalaciones (Edición Empresarial), que proporciona una implementación nativa de red virtual (VNet) que aborda preocupaciones de seguridad comunes, y un modelo de negocio favorable para los clientes de SQL Server en las instalaciones.
### Azure SQL Virtual Machines
**Azure SQL Virtual Machines** es mejor para migraciones donde deseas **control sobre el sistema operativo y la instancia de SQL Server**, como si fuera un servidor que se ejecuta en las instalaciones. Puede tener diferentes tamaños de máquina y una amplia selección de versiones y ediciones de SQL Server.
**Azure SQL Virtual Machines** permite **controlar el sistema operativo** y la instancia de SQL Server, ya que se generará una VM en el servicio de VM que ejecuta el servidor SQL.
#### Características Clave
Cuando se crea una máquina virtual SQL, es posible **seleccionar todas las configuraciones de la VM** (como se muestra en la lección de VM) que alojará el servidor SQL.
- Esto significa que la VM accederá a algunas VNet(s), podría tener **Identidades Gestionadas adjuntas** a ella, podría tener comparticiones de archivos montadas… haciendo que un **pivotar desde SQL** a la VM sea muy interesante.
- Además, es posible configurar un id de aplicación y un secreto para **permitir que SQL acceda a un vault de claves específico**, que podría contener información sensible.
**Copia de Seguridad Automatizada**: Programa copias de seguridad para bases de datos SQL.
**Patching Automático**: Automatiza la instalación de actualizaciones de Windows y SQL Server durante una ventana de mantenimiento.
**Integración con Azure Key Vault**: Configura automáticamente Key Vault para máquinas virtuales de SQL Server.
**Integración con Defender for Cloud**: Ver recomendaciones de Defender para SQL en el portal.
**Flexibilidad de Versión/Edición**: Cambia la versión o metadatos de edición de SQL Server sin redeplegar la máquina virtual.
#### Características de Seguridad
**Microsoft Defender para SQL**: Información y alertas de seguridad.
**Integración con Azure Key Vault**: Almacenamiento seguro de credenciales y claves de cifrado.
**Microsoft Entra (Azure AD)**: Autenticación y control de acceso.
También es posible configurar cosas como **actualizaciones automáticas de SQL**, **copias de seguridad automáticas**, **autenticación de Entra ID** y la mayoría de las características de los otros servicios de SQL.
## Enumeración
@@ -216,6 +164,30 @@ az sql midb show --resource-group <res-grp> --name <name>
# Lis all sql VM
az sql vm list
az sql vm show --resource-group <res-grp> --name <name>
# List schema by the database
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/schemas?api-version=2021-11-01"
# Get tables of a database with the schema
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/schemas/<schemaName>/tables?api-version=2021-11-01"
# Get columns of a database
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/columns?api-version=2021-11-01"
# Get columns of a table
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/schemas/<schemaName>/tables/<tableName>/columns?api-version=2021-11-01"
# Get DataMaskingPolicies of a database
az rest --method get \
--uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Sql/servers/getstorageserver/databases/masktest/dataMaskingPolicies/Default?api-version=2021-11-01"
az rest --method get \
--uri "https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/dataMaskingPolicies/Default/rules?api-version=2021-11-01"
```
{{#endtab}}
@@ -260,6 +232,31 @@ Get-AzSqlVM
{{#endtab}}
{{#endtabs}}
Además, si deseas enumerar el Dynamic Data Masking y las políticas de Row Level dentro de la base de datos, puedes consultar:
```sql
--Enumerates the masked columns
SELECT
OBJECT_NAME(mc.object_id) AS TableName,
c.name AS ColumnName,
mc.masking_function AS MaskingFunction
FROM sys.masked_columns AS mc
JOIN sys.columns AS c
ON mc.object_id = c.object_id
AND mc.column_id = c.column_id
--Enumerates Row level policies
SELECT
sp.name AS PolicyName,
sp.is_enabled,
sp.create_date,
sp.modify_date,
OBJECT_NAME(sp.object_id) AS TableName,
sp2.predicate_definition AS PredicateDefinition
FROM sys.security_policies AS sp
JOIN sys.security_predicates AS sp2
ON sp.object_id = sp2.object_id;
```
### Conectar y ejecutar consultas SQL
Podrías encontrar una cadena de conexión (que contiene credenciales) del ejemplo [enumerando un Az WebApp](az-app-services.md):