GCP - Cloud SQL Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud SQLは、Google Cloud Platform上でMySQL、PostgreSQL、SQL Serverなどのリレーショナルデータベースの設定、維持、管理を簡素化するマネージドサービスであり、ハードウェアのプロビジョニング、データベースの設定、パッチ適用、バックアップなどのタスクを処理する必要がなくなります。
Google Cloud SQLの主な機能は以下の通りです:
完全管理:Google Cloud SQLは完全管理サービスであり、Googleがパッチ適用、更新、バックアップ、構成などのデータベースメンテナンスタスクを処理します。
スケーラビリティ:データベースのストレージ容量と計算リソースをスケールアップする能力を提供し、通常はダウンタイムなしで行えます。
高可用性:高可用性構成を提供し、データベースサービスが信頼性が高く、ゾーンやインスタンスの障害に耐えられるようにします。
セキュリティ:データ暗号化、アイデンティティとアクセス管理(IAM)制御、プライベートIPとVPCを使用したネットワーク隔離などの堅牢なセキュリティ機能を提供します。
バックアップと復元:自動バックアップと時点復元をサポートし、データを保護し復元するのに役立ちます。
統合:他のGoogle Cloudサービスとシームレスに統合され、アプリケーションの構築、展開、管理のための包括的なソリューションを提供します。
パフォーマンス:データベースのパフォーマンスを監視、トラブルシューティング、改善するためのパフォーマンスメトリクスと診断を提供します。
ウェブコンソールではCloud SQLがユーザーにデータベースのパスワードを設定させることができ、生成機能もありますが、最も重要なのは、MySQLが空のパスワードを許可し、すべてのデータベースがパスワードとして文字"a"のみを設定することを許可することです:
長さ、複雑さ、再利用の無効化、およびパスワード内のユーザー名の無効化を要求するパスワードポリシーを構成することも可能です。すべてはデフォルトで無効になっています。
SQL ServerはActive Directory認証で構成できます。
データベースは1つのゾーンまたは複数のゾーンで利用可能であり、重要なデータベースは複数のゾーンに配置することが推奨されます。
デフォルトではGoogle管理の暗号化キーが使用されますが、顧客管理の暗号化キー(CMEK)を選択することも可能です。
プライベートIP:VPCネットワークを指定すると、データベースはネットワーク内にプライベートIPを取得します。
パブリックIP:データベースはパブリックIPを取得しますが、デフォルトでは誰も接続できません。
承認されたネットワーク:データベースに接続を許可すべき公的なIP範囲を指定します。
プライベートパス:DBがVPCに接続されている場合、このオプションを有効にしてBigQueryなどの他のGCPサービスにアクセスを提供することが可能です。
毎日のバックアップ:自動的に毎日のバックアップを実行し、維持したいバックアップの数を指定します。
時点復元:特定の時点からデータを復元でき、秒の一部まで対応します。
削除保護:有効にすると、この機能が無効になるまでDBを削除できなくなります。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)