Az - Azure Network

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

기본 정보

Azure는 **virtual networks (VNet)**를 제공하여 사용자가 Azure 클라우드 내에 격리된 네트워크를 생성할 수 있게 합니다. 이러한 VNet 내에서는 가상 머신, 애플리케이션, 데이터베이스 등 리소스를 안전하게 호스팅하고 관리할 수 있습니다. Azure의 네트워킹은 클라우드 내부(예: Azure 서비스 간) 통신과 외부 네트워크 및 인터넷과의 연결을 모두 지원합니다.\
또한, VNets를 다른 VNet이나 온프레미스 네트워크와 연결하는 것도 가능합니다.

Virtual Network (VNET) & 서브넷

An Azure Virtual Network (VNet)은 클라우드에서 자신의 네트워크를 표현한 것으로, 구독 전용의 Azure 환경 내에서 **논리적 격리(logical isolation)**를 제공합니다. VNets를 통해 Azure에서 virtual private networks (VPNs)을 프로비저닝하고 관리할 수 있으며, Virtual Machines (VMs), 데이터베이스, 애플리케이션 서비스 같은 리소스를 호스팅할 수 있습니다. 또한 IP 주소 범위, 서브넷 생성, 라우트 테이블, 네트워크 게이트웨이 등 네트워크 설정에 대한 **완전한 제어(full control over network settings)**를 제공합니다.

서브넷은 VNet 내의 세분화된 영역으로, 특정 IP address ranges로 정의됩니다. VNet을 여러 서브넷으로 분할하면 네트워크 아키텍처에 따라 리소스를 구성하고 보호할 수 있습니다.\
기본적으로 동일한 Azure Virtual Network (VNet) 내의 모든 서브넷은 서로 통신할 수 있습니다 제약 없이.

예시:

  • MyVNet with an IP address range of 10.0.0.0/16.
  • Subnet-1: 10.0.0.0/24 웹 서버용.
  • Subnet-2: 10.0.1.0/24 데이터베이스 서버용.

열거

Azure 계정의 모든 VNet과 서브넷을 나열하려면 Azure Command-Line Interface (CLI)를 사용할 수 있습니다. 단계는 다음과 같습니다:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Network Security Groups (NSG)

**Network Security Group (NSG)**는 Azure Virtual Network (VNet) 내의 Azure 리소스에 대한 들어오고 나가는 네트워크 트래픽을 필터링합니다.

이는 출발 포트, 출발 IP, 목적지 포트별로 인바운드 및 아웃바운드 트래픽에 대해 열어야 할 포트를 지정할 수 있는 보안 규칙 집합을 포함하며, 우선순위(숫자가 낮을수록 우선순위가 높음)를 지정할 수 있습니다.

NSG가 연결될 수 있는 대상은 서브넷 및 NICs.

규칙 예시:

  • 모든 소스에서 웹 서버로의 HTTP 트래픽 (port 80)을 허용하는 인바운드 규칙.
  • 특정 목적지 IP 주소 범위로의 SQL 트래픽 (port 1433)만 허용하는 아웃바운드 규칙.

Enumeration

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name <NSGName> --resource-group <ResourceGroupName> --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

Azure Firewall

Azure Firewall는 트래픽(L3–L7)을 east-west 및 north-south 흐름에 대해 필터링하는 관리형, 상태 저장 방화벽입니다. VNet 레벨에 배포되어 모든 서브넷에 대한 검사를 중앙화하고 가용성을 위해 자동으로 확장됩니다.

사용 가능한 SKUs: Basic, Standard, and Premium:

Criteria/FeatureOption 1Option 2Option 3
권장 사용 사례요구 사항이 제한된 중소기업(SMBs)일반 기업용, Layer 3–7 필터링매우 민감한 환경(예: 결제 처리)
성능최대 250 Mbps 처리량최대 30 Gbps 처리량최대 100 Gbps 처리량
위협 인텔리전스경고만경고 및 차단(악성 IP/도메인)경고 및 차단(고급 위협 인텔리전스)
L3–L7 필터링기본 필터링프로토콜 전반에 걸친 상태 저장 필터링고급 검사 기능이 있는 상태 저장 필터링
고급 위협 보호사용 불가위협 인텔리전스 기반 필터링침입 탐지 및 방지 시스템(IDPS) 포함
TLS 검사사용 불가사용 불가인바운드/아웃바운드 TLS 종료 지원
가용성고정 백엔드(2 VMs)자동 확장자동 확장
관리 용이성기본 제어Firewall Manager로 관리Firewall Manager로 관리

열거

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Azure Route Tables

Azure Route Tables (UDR) 은 목적지 프리픽스(예: 10.0.0.0/16 또는 0.0.0.0/0)와 next hop(예: Virtual Network, Internet, Virtual Network Gateway, Virtual Appliance)을 정의해 기본 라우팅을 재정의할 수 있게 합니다.

라우트는 서브넷 수준에 적용됩니다; 해당 서브넷의 모든 VMs가 이 테이블을 따릅니다.

예시:

  • 인터넷으로 향하는 트래픽은 기본 0.0.0.0/0을 사용하고 next hop으로 Internet을 지정합니다.
  • 아웃바운드 트래픽을 검사하려면 0.0.0.0/0을 Network Virtual Appliance (NVA) IP로 라우트합니다.

Enumeration

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table (summary)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

# List routes for a table (full)
az network route-table route list --resource-group <ResourceGroupName> --route-table-name <RouteTableName>

Azure Private Link는 Azure의 서비스로, Azure 서비스에 대한 프라이빗 액세스를 가능하게 하며 이는 Azure 가상 네트워크(VNet)와 서비스 간의 트래픽이 Microsoft의 Azure 백본 네트워크 내에서만 이동하도록 보장함으로써 구현됩니다. 이는 서비스를 VNet 내부로 가져오는 것과 같으며, 데이터를 공용 인터넷에 노출하지 않아 보안을 강화합니다.

Private Link는 Azure Storage, Azure SQL Database 같은 다양한 Azure 서비스나 Private Link를 통해 공유되는 커스텀 서비스와 함께 사용할 수 있습니다. 이는 자체 VNet 내부 또는 다른 Azure 구독으로부터 서비스에 안전하게 접근할 수 있는 방법을 제공합니다.

Caution

NSGs는 private endpoints에 적용되지 않습니다. 따라서 Private Link를 포함하는 서브넷에 NSG를 연결해도 아무런 효과가 없습니다.

예제:

예를 들어 VNet에서 안전하게 액세스하려는 Azure SQL Database가 있다고 가정해 보겠습니다. 일반적으로는 공용 인터넷을 거쳐야 할 수 있습니다. Private Link를 사용하면 VNet에 **프라이빗 엔드포인트(private endpoint)**를 생성하여 Azure SQL Database 서비스에 직접 연결할 수 있습니다. 이 엔드포인트는 데이터베이스를 마치 자체 VNet의 일부인 것처럼 보이게 하여 프라이빗 IP 주소를 통해 접근 가능하게 하고, 따라서 안전하고 비공개적인 액세스를 보장합니다.

Enumeration

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

When a VNet has a Virtual Network Link to a service Private DNS zone (e.g., privatelink.blob.core.windows.net), Azure forces hostname resolution for Private Link registered resources of that service type through the zone. If the zone lacks the required A record for a resource that workloads still access via its public endpoint, DNS resolution returns NXDOMAIN and clients never reach the public IP, causing an availability DoS without touching the resource itself.

Abuse flow (control-plane DoS):

  1. Gain RBAC that allows creating Private Endpoints or modifying Private DNS zone links.
  2. Create a Private Endpoint for the same service type in another VNet (Azure auto-creates the service Private DNS zone and links it to that VNet).
  3. Link that service Private DNS zone to the victim VNet.
  4. Because the victim VNet now forces resolution via the Private DNS zone and no A record exists for the target resource in that zone, name resolution fails and the workload cannot reach the (still-public) endpoint. This applies to any Private Link–supported service (storage, Key Vault, ACR, Cosmos DB, Function Apps, OpenAI, etc.).

대규모 탐색 (Azure Resource Graph):

  • VNETs linked to the blob Private DNS zone (forced resolution for PL-registered blob endpoints):
resources
| where type == "microsoft.network/privatednszones/virtualnetworklinks"
| extend
zone = tostring(split(id, "/virtualNetworkLinks")[0]),
vnetId = tostring(properties.virtualNetwork.id)
| join kind=inner (
resources
| where type == "microsoft.network/privatednszones"
| where name == "privatelink.blob.core.windows.net"
| project zoneId = id
) on $left.zone == $right.zoneId
| project vnetId
  • Storage accounts가 public endpoint를 통해 접근할 수 있지만 없는 Private Endpoint 연결 (위 링크가 추가되면 깨질 수 있음):
Resources
| where type == "microsoft.storage/storageaccounts"
| extend publicNetworkAccess = properties.publicNetworkAccess
| extend defaultAction = properties.networkAcls.defaultAction
| extend vnetRules = properties.networkAcls.virtualNetworkRules
| extend ipRules = properties.networkAcls.ipRules
| extend privateEndpoints = properties.privateEndpointConnections
| where publicNetworkAccess == "Enabled"
| where defaultAction == "Deny"
| where (isnull(privateEndpoints) or array_length(privateEndpoints) == 0)
| extend allowedVnets = iif(isnull(vnetRules), 0, array_length(vnetRules))
| extend allowedIps = iif(isnull(ipRules), 0, array_length(ipRules))
| where allowedVnets > 0 or allowedIps > 0
| project id, name, vnetRules, ipRules

Azure Service Endpoints

Azure Service Endpoints는 가상 네트워크의 private 주소 공간과 VNet의 식별(ID)을 Azure 서비스에 대한 직접 연결을 통해 확장합니다. Service endpoints를 활성화하면, VNet 내 리소스가 Azure Storage나 Azure SQL Database 같은 Azure 서비스에 Azure backbone 네트워크를 통해 안전하게 연결할 수 있습니다. 이는 Network Security Groups (NSGs)와 결합해 세분화된 트래픽 제어를 할 때 특히 유용합니다.

예:

  • Storage Account와 VNET에 Service Endpoint가 활성화된 경우, storage account 방화벽에서 오직 VNet으로부터의 인바운드 트래픽만 허용하도록 설정할 수 있어, 스토리지 서비스에 대한 공용 IP 액세스 없이도 보안 연결을 강제할 수 있습니다.

Service Endpoints는 서비스에 대해 private IP addresses를 요구하지 않으며, 대신 보안 연결을 위해 Azure backbone에 의존합니다. Private Links와 비교하면 설정이 더 쉬우나, Private Links가 제공하는 동일한 수준의 격리와 세분성은 제공하지 않습니다.

열거

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}"

# List Service Endpoints for a Subnet
az network vnet subnet show --resource-group <ResourceGroupName> --vnet-name <VNetName> --name <SubnetName> --query "serviceEndpoints"

Service Endpoints와 Private Links의 차이점

Microsoft는 docs에서 Private Links 사용을 권장합니다:

Service Endpoints:

  • VNet에서 Azure 서비스로 가는 트래픽은 공용 인터넷을 우회하여 Microsoft Azure 백본 네트워크를 통해 이동합니다.
  • 엔드포인트는 Azure 서비스로의 직접 연결이며 VNet 내에서 서비스에 대한 프라이빗 IP를 제공하지 않습니다.
  • 서비스 자체는 서비스 방화벽에서 해당 트래픽을 차단하도록 구성하지 않는 한 VNet 외부에서 퍼블릭 엔드포인트를 통해 여전히 접근 가능합니다.
  • 서브넷과 Azure 서비스 간에는 일대일 관계입니다.
  • Private Links보다 비용이 적게 듭니다.

Private Links:

  • Private Link은 프라이빗 엔드포인트를 통해 Azure 서비스를 VNet으로 매핑합니다. 프라이빗 엔드포인트는 VNet 내의 프라이빗 IP를 가진 네트워크 인터페이스입니다.
  • 이 프라이빗 IP 주소를 사용해 Azure 서비스에 접근하므로 해당 서비스가 마치 네트워크의 일부인 것처럼 보입니다.
  • Private Link로 연결된 서비스는 귀하의 VNet 또는 연결된 네트워크에서만 접근할 수 있으며, 서비스에 대한 공용 인터넷 접근은 없습니다.
  • Azure 서비스 또는 Azure에 호스팅된 자체 서비스에 대한 보안 연결과 타인이 공유한 서비스로의 연결을 가능하게 합니다.
  • 서브넷 수준의 광범위한 접근 제어와 달리, VNet 내 프라이빗 엔드포인트를 통해 더 세분화된 접근 제어를 제공합니다.

요약하면, Service Endpoints와 Private Links 둘 다 Azure 서비스에 대한 보안 연결을 제공하지만, Private Links는 서비스를 공용 인터넷에 노출하지 않고 프라이빗하게 접근되도록 보장하여 더 높은 수준의 격리와 보안을 제공합니다. 반면 Service Endpoints는 VNet 내에서 프라이빗 IP가 필요하지 않은 일반적인 경우에 Azure 서비스에 대한 간단하고 안전한 접근을 설정하는 데 더 쉽습니다.

Azure Front Door (AFD) & AFD WAF

Azure Front Door는 글로벌 웹 애플리케이션의 빠른 전달을 위한 확장 가능하고 보안적인 진입점입니다. 애플리케이션 가속, SSL offloading, 애플리케이션 레이어 보안(through Web Application Firewall - WAF)과 같은 다양한 서비스를 결합합니다. 전 세계의 엣지 POP(Point of Presence) 위치 개념 위에 구축되어 애플리케이션을 사용자에게 더 가깝게 제공합니다.

Azure Front Door는 전 세계에 분산된 엣지 위치 네트워크를 제공하여 웹 애플리케이션(Azure 또는 다른 곳에 있는)에 대한 들어오는 트래픽을 **라우팅 및 가속(route and accelerate)**하고 성능을 향상시키며 보안을 강화합니다.

예시:

  • 전 세계 사용자 기반을 가진 글로벌 이커머스 플랫폼의 경우, Azure Front Door는 엣지 위치에서 정적 콘텐츠를 캐시할 수 있으며 SSL offloading을 제공해 지연 시간을 줄이고 더 반응성이 높은 사용자 경험을 제공합니다. 또한 일반적인 웹 취약점(SQL injection이나 XSS와 같은)으로부터 애플리케이션을 보호하기 위해 WAF를 제공합니다.

Azure Front Door는 헬스 프로브와 지연 시간을 기반으로 가장 가까운 사용 가능한 백엔드로 트래픽을 라우팅하여 스마트 로드 밸런싱을 제공하고 일관된 성능 및 가용성을 보장합니다. WAF와 통합함으로써 일반적인 웹 위협으로부터 보호하는 데 도움을 줍니다.

Enumeration

# List Azure Front Door profiles
az afd profile list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List AFD endpoints
az afd endpoint list --profile-name <ProfileName> --resource-group <ResourceGroupName> --query "[].{name:name, hostName:hostName, state:resourceState}" -o table

# Classic Azure Front Door (v1) profiles
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# Classic Azure Front Door WAF policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway and Azure Application Gateway WAF

Azure Application Gateway는 웹 트래픽 로드 밸런서로서 애플리케이션으로의 트래픽을 관리할 수 있게 해줍니다. 이는 서비스형 Application Delivery Controller (ADC)에서 Layer 7 load balancing, SSL termination, 및 web application firewall (WAF) 기능을 제공합니다. 주요 기능으로는 URL 기반 라우팅, 쿠키 기반 세션 고정, 그리고 secure sockets layer (SSL) 오프로딩이 있으며, 이는 global routing 및 path-based routing과 같은 복잡한 로드밸런싱 기능이 필요한 애플리케이션에 중요합니다.

Example:

사용자 계정, 결제 처리 등 기능별로 여러 서브도메인을 포함하는 이커머스 웹사이트가 있다고 가정해보세요. Azure Application Gateway는 URL 경로에 따라 적절한 웹 서버로 트래픽을 라우팅할 수 있습니다. 예를 들어 example.com/accounts로 오는 트래픽은 사용자 계정 서비스로, example.com/pay로 오는 트래픽은 결제 처리 서비스로 전달될 수 있습니다.
And protect your website from attacks using the WAF capabilities.

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

VNet Peering & HUB and Spoke topologies

VNet Peering

VNet Peering는 Azure의 기능으로, 서로 다른 Virtual Networks (VNets)를 직접적이고 원활하게 연결할 수 있도록 합니다. VNet peering을 통해 한 VNet의 리소스는 사설 IP 주소를 사용하여 다른 VNet의 리소스와 통신할 수 있으며, 마치 동일한 네트워크에 있는 것처럼 동작합니다.\ VNet Peering은 온프레미스 네트워크와도 사용할 수 있습니다 — site-to-site VPN 또는 Azure ExpressRoute를 설정하여.

Azure Hub and Spoke는 VNet peering을 활용해 중앙의 Hub VNet을 생성하고 이를 여러 Spoke VNets에 연결하는 네트워크 아키텍처입니다. Hub에는 일반적으로 방화벽, DNS, Active Directory와 같은 공유 서비스가 포함되고, Spoke에는 애플리케이션 워크로드가 호스팅됩니다. 이 설계는 관리 단순화, 중앙화된 제어를 통한 보안 강화, 중복성 감소를 제공합니다.

Example:

여러 부서(Finance, HR, IT)를 가진 대기업은 방화벽과 DNS 서버와 같은 공유 서비스를 제공하는 Hub VNet with shared services를 생성할 수 있습니다. 각 부서는 peering을 통해 Hub에 연결되는 자체 Spoke VNet을 가질 수 있습니다. 이를 통해 부서들은 리소스를 퍼블릭 인터넷에 노출하지 않고도 안전하게 통신하고 공유 서비스를 이용할 수 있습니다.

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet Peerings
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, remoteVnetId:remoteVirtualNetwork.id, allowForwardedTraffic:allowForwardedTraffic, allowGatewayTransit:allowGatewayTransit}"

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

Azure의 Site-to-Site VPN은 온프레미스 네트워크와 Azure Virtual Network (VNet) 간에 안전하고 지속적인 연결을 설정하여, Azure 내의 VMs 같은 리소스가 마치 로컬 네트워크에 있는 것처럼 보이게 합니다. 이 연결은 두 네트워크 간의 트래픽을 암호화하는 VPN gateway를 통해 설정됩니다.

예:

뉴욕에 본사가 있는 한 기업은 온프레미스 데이터 센터를 보유하고 있으며, 가상화된 워크로드를 호스팅하는 Azure의 VNet에 안전하게 연결해야 합니다. Site-to-Site VPN을 설정함으로써, 회사는 온프레미스 서버와 Azure VMs 간의 암호화된 연결을 보장할 수 있으며, 두 환경의 리소스에 마치 동일한 로컬 네트워크에 있는 것처럼 안전하게 접근할 수 있습니다.

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute는 온프레미스 인프라와 Azure 데이터 센터 간의 프라이빗하고 전용의 고속 연결을 제공하는 서비스입니다. 이 연결은 커넥티비티 제공업체를 통해 이루어지며, 공용 인터넷을 우회하여 일반적인 인터넷 연결보다 더 높은 신뢰성, 빠른 속도, 낮은 지연 및 향상된 보안을 제공합니다.

예시:

다국적 기업은 데이터 양이 많고 높은 처리량이 필요하기 때문에 Azure 서비스에 대해 일관되고 신뢰할 수 있는 연결이 필요합니다. 회사는 Azure ExpressRoute를 선택하여 온프레미스 데이터 센터를 Azure에 직접 연결하고, 일일 백업 및 실시간 데이터 분석과 같은 대규모 데이터 전송을 더 높은 프라이버시와 속도로 수행합니다.

열거

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

참고 자료

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기