Az - Локальні Облікові Дані Хмари

Reading time: 3 minutes

Локальне Зберігання Токенів та Розгляд Безпеки

Azure CLI (Інтерфейс Командного Рядка)

Токени та чутливі дані зберігаються локально Azure CLI, що викликає занепокоєння щодо безпеки:

1. Токени Доступу: Зберігаються у відкритому вигляді в accessTokens.json, розташованому за адресою C:\Users\<username>\.Azure.
2. Інформація про Підписку: azureProfile.json, у тій же директорії, містить деталі підписки.
3. Лог-файли: Папка ErrorRecords у .azure може містити журнали з відкритими обліковими даними, такими як:

• Виконані команди з вбудованими обліковими даними.
• URL-адреси, доступ до яких здійснювався за допомогою токенів, що потенційно розкриває чутливу інформацію.

Azure PowerShell

Azure PowerShell також зберігає токени та чутливі дані, до яких можна отримати доступ локально:

1. Токени Доступу: TokenCache.dat, розташований за адресою C:\Users\<username>\.Azure, зберігає токени доступу у відкритому вигляді.
2. Секрети Сервісного Принципала: Ці дані зберігаються у незашифрованому вигляді в AzureRmContext.json.
3. Функція Збереження Токенів: Користувачі мають можливість зберігати токени за допомогою команди Save-AzContext, яку слід використовувати обережно, щоб запобігти несанкціонованому доступу.

Автоматичні Інструменти для їх Пошуку

• Winpeas
• Get-AzurePasswords.ps1

Рекомендації з Безпеки

Враховуючи зберігання чутливих даних у відкритому вигляді, важливо забезпечити безпеку цих файлів та директорій шляхом:

• Обмеження прав доступу до цих файлів.
• Регулярного моніторингу та аудиту цих директорій на предмет несанкціонованого доступу або несподіваних змін.
• Використання шифрування для чутливих файлів, де це можливо.
• Освіти користувачів щодо ризиків та найкращих практик обробки таких чутливих даних.