Grundlegende Informationen

Google Cloud SQL ist ein verwalteter Dienst, der das Einrichten, Warten und Verwalten von relationalen Datenbanken wie MySQL, PostgreSQL und SQL Server auf der Google Cloud Platform vereinfacht und die Notwendigkeit beseitigt, Aufgaben wie Hardwarebereitstellung, Datenbankeinrichtung, Patching und Backups zu übernehmen.

Zu den wichtigsten Funktionen von Google Cloud SQL gehören:

1. Vollständig verwaltet: Google Cloud SQL ist ein vollständig verwalteter Dienst, was bedeutet, dass Google Datenbankwartungsaufgaben wie Patching, Updates, Backups und Konfiguration übernimmt.

2. Skalierbarkeit: Es bietet die Möglichkeit, die Speicherkapazität und Rechenressourcen Ihrer Datenbank zu skalieren, oft ohne Ausfallzeiten.

3. Hohe Verfügbarkeit: Bietet Konfigurationen mit hoher Verfügbarkeit, die sicherstellen, dass Ihre Datenbankdienste zuverlässig sind und Zone- oder Instanzfehler überstehen können.

4. Sicherheit: Bietet robuste Sicherheitsfunktionen wie Datenverschlüsselung, Identitäts- und Zugriffsverwaltung (IAM)-Steuerungen und Netzwerktrennung unter Verwendung privater IPs und VPC.

5. Backups und Wiederherstellung: Unterstützt automatische Backups und Punkt-in-Zeit-Wiederherstellung, um Ihre Daten zu schützen und wiederherzustellen.

6. Integration: Integriert sich nahtlos mit anderen Google Cloud-Diensten und bietet eine umfassende Lösung zum Erstellen, Bereitstellen und Verwalten von Anwendungen.

7. Leistung: Bietet Leistungsmetriken und Diagnosen zur Überwachung, Fehlerbehebung und Verbesserung der Datenbankleistung.

Passwort

Im Web-Console ermöglicht Cloud SQL dem Benutzer, das Passwort der Datenbank einzurichten, es gibt auch eine Generierungsfunktion, aber am wichtigsten ist, dass MySQL es erlaubt, ein leeres Passwort zu hinterlassen und alle erlauben, als Passwort einfach das Zeichen "a" einzustellen:

Es ist auch möglich, eine Passwortrichtlinie zu konfigurieren, die Länge, Komplexität, Wiederverwendung deaktivieren und Benutzername im Passwort deaktivieren erfordert. Alle sind standardmäßig deaktiviert.

SQL Server kann mit Active Directory-Authentifizierung konfiguriert werden.

Zonenverfügbarkeit

Die Datenbank kann in 1 Zone oder in mehreren verfügbar sein, es wird natürlich empfohlen, wichtige Datenbanken in mehreren Zonen zu haben.

Verschlüsselung

Standardmäßig wird ein von Google verwalteter Verschlüsselungsschlüssel verwendet, aber es ist auch möglich, einen kundenverwalteten Verschlüsselungsschlüssel (CMEK) auszuwählen.

Verbindungen

• Private IP: Geben Sie das VPC-Netzwerk an, und die Datenbank erhält eine private IP im Netzwerk.

• Öffentliche IP: Die Datenbank erhält eine öffentliche IP, aber standardmäßig kann niemand eine Verbindung herstellen.

• Autorisierte Netzwerke: Geben Sie öffentliche IP-Bereiche an, die zur Verbindung mit der Datenbank zugelassen sein sollen.

• Privater Pfad: Wenn die DB mit einem VPC verbunden ist, ist es möglich, diese Option zu aktivieren und anderen GCP-Diensten wie BigQuery den Zugriff darauf zu ermöglichen.

Datensicherung

• Tägliche Backups: Führen Sie automatische tägliche Backups durch und geben Sie die Anzahl der Backups an, die Sie beibehalten möchten.

• Punkt-in-Zeit-Wiederherstellung: Ermöglicht es Ihnen, Daten von einem bestimmten Zeitpunkt an wiederherzustellen, bis auf einen Bruchteil einer Sekunde genau.

• Löschschutz: Wenn aktiviert, kann die DB nicht gelöscht werden, bis diese Funktion deaktiviert ist.

Enumeration

# Get SQL instances
gcloud sql instances list
gcloud sql instances describe <inst-name> # get IPs, CACert, settings

# Get database names inside an instance (like information_schema, sys...)
gcloud sql databases list --instance <intance-name>
gcloud sql databases describe <db-name> --instance <intance-name>

# Get usernames inside the db instance
gcloud sql users list --instance <intance-name>

# Backups
gcloud sql backups list --instance <intance-name>
gcloud sql backups describe <backup-name> --instance <intance-name>

Nicht authentifizierte Enumeration

Post-Exploitation

Persistenz