Az - 로컬 클라우드 자격 증명

Reading time: 2 minutes

로컬 토큰 저장소 및 보안 고려 사항

Azure CLI (명령줄 인터페이스)

토큰 및 민감한 데이터는 Azure CLI에 의해 로컬에 저장되어 보안 우려를 일으킵니다:

1. 액세스 토큰: C:\Users\<username>\.Azure에 위치한 accessTokens.json에 평문으로 저장됩니다.
2. 구독 정보: 동일한 디렉토리에 있는 azureProfile.json은 구독 세부 정보를 보유합니다.
3. 로그 파일: .azure 내의 ErrorRecords 폴더는 다음과 같은 노출된 자격 증명이 포함된 로그를 포함할 수 있습니다:

• 자격 증명이 포함된 실행된 명령.
• 토큰을 사용하여 접근한 URL, 잠재적으로 민감한 정보를 드러낼 수 있습니다.

Azure PowerShell

Azure PowerShell 또한 로컬에서 접근할 수 있는 토큰 및 민감한 데이터를 저장합니다:

1. 액세스 토큰: C:\Users\<username>\.Azure에 위치한 TokenCache.dat에 평문으로 액세스 토큰이 저장됩니다.
2. 서비스 주체 비밀: 이는 AzureRmContext.json에 암호화되지 않은 상태로 저장됩니다.
3. 토큰 저장 기능: 사용자는 Save-AzContext 명령을 사용하여 토큰을 지속적으로 저장할 수 있으며, 이는 무단 접근을 방지하기 위해 신중하게 사용해야 합니다.

자동 도구로 찾기

• Winpeas
• Get-AzurePasswords.ps1

보안 권장 사항

민감한 데이터가 평문으로 저장되는 것을 고려할 때, 이러한 파일 및 디렉토리를 보호하는 것이 중요합니다:

• 이러한 파일에 대한 접근 권한 제한.
• 무단 접근 또는 예상치 못한 변경에 대해 이러한 디렉토리를 정기적으로 모니터링하고 감사.
• 가능한 경우 민감한 파일에 대한 암호화 사용.
• 사용자가 이러한 민감한 정보를 처리하는 데 있어 위험 및 모범 사례에 대해 교육.