GCP - Bigquery Enum

मूल जानकारी

Google Cloud BigQuery एक पूरी तरह से प्रबंधित, सर्वरलेस एंटरप्राइज डेटा वेयरहाउस है, जो पेटाबाइट के डेटा पर विश्लेषण की सुविधा प्रदान करता है, इसलिए बड़े पैमाने पर डेटासेट को कुशलतापूर्वक संभालता है। एक प्लेटफ़ॉर्म के रूप में सेवा (PaaS), यह उपयोगकर्ताओं को इंफ्रास्ट्रक्चर और उपकरण प्रदान करता है जो डेटा प्रबंधन को स्वचालित निगरानी के बिना सुविधाजनक बनाता है।

यह ANSI SQL का उपयोग करके क्वेरी का समर्थन करता है। मुख्य वस्तुएं डेटासेट हैं जिसमें टेबल होते हैं जो SQL डेटा को रखते हैं।

एन्क्रिप्शन

डिफ़ॉल्ट रूप से एक Google-प्रबंधित एन्क्रिप्शन कुंजी का उपयोग किया जाता है हालांकि एक ग्राहक-प्रबंधित एन्क्रिप्शन कुंजी (CMEK) कॉन्फ़िगर करना संभव है। डेटासेट और डेटासेट के भीतर टेबल प्रति एन्क्रिप्शन कुंजी को सूचित करना संभव है।

समाप्ति

डेटासेट में एक समाप्ति समय को सूचित करना संभव है ताकि इस डेटासेट में नया टेबल जोड़ा गया होगा, उसे निर्दिष्ट दिनों के बाद स्वचालित रूप से हटा दिया जाएगा।

बाह्य स्रोत

Bigquery अन्य Google सेवाओं के साथ गहराई से एकीकृत है। बाकेट्स, पब/सब, गूगल ड्राइव, आरडीएस डेटाबेस से डेटा लोड करना संभव है...

डेटासेट ACLs

जब एक डेटासेट बनाया जाता है, तो उसे एक्सेस देने के लिए ACLs जुड़े होते हैं। डिफ़ॉल्ट रूप से डेटासेट को उसे दिया जाता है मालिक विशेषाधिकार उस उपयोगकर्ता को जिसने डेटासेट बनाया है और फिर मालिक को समूह प्रोजेक्टओनर्स (प्रोजेक्ट के मालिक), राइटर को समूह प्रोजेक्टराइटर्स, और रीडर को समूह प्रोजेक्टरीडर्स दिया जाता है:

bq show --format=prettyjson <proj>:<dataset>

...
"access": [
{
"role": "WRITER",
"specialGroup": "projectWriters"
},
{
"role": "OWNER",
"specialGroup": "projectOwners"
},
{
"role": "OWNER",
"userByEmail": "gcp-admin@hacktricks.xyz"
},
{
"role": "OWNER",
"userByEmail": "support@hacktricks.xyz"
},
{
"role": "READER",
"specialGroup": "projectReaders"
}
],
...

तालिका पंक्तियों का पहुंच नियंत्रण

एक प्रिंसिपल द्वारा तालिका के अंदर पहुंचने की पंक्तियों को नियंत्रित करना संभव है रो पहुंच नीतियों के साथ। ये DDL का उपयोग करके तालिका के अंदर परिभाषित किए जाते हैं। पहुंच नीति एक फ़िल्टर को परिभाषित करती है और केवल उस फ़िल्टर के साथ मेल खाती पंक्तियाँ उस प्रिंसिपल द्वारा पहुंचने योग्य होंगी।

# Create
CREATE ROW ACCESS POLICY apac_filter
ON project.dataset.my_table
GRANT TO ('user:abc@example.com')
FILTER USING (region = 'APAC');

# Update
CREATE OR REPLACE ROW ACCESS POLICY
CREATE ROW ACCESS POLICY sales_us_filter
ON project.dataset.my_table
GRANT TO ('user:john@example.com',
'group:sales-us@example.com',
'group:sales-managers@example.com')
FILTER USING (region = 'US');

# Check the Post Exploitation tricks to see how to call this from the cli

# Enumerate row policies on a table
bq ls --row_access_policies <proj>:<dataset>.<table> # Get row policies

कॉलम एक्सेस नियंत्रण

डेटा एक्सेस को कॉलम स्तर पर प्रतिबंधित करने के लिए:

1. एक टैक्सोनमी और नीति टैग की परिभाषा करें। अपने डेटा के लिए एक टैक्सोनमी और नीति टैग बनाएं और प्रबंधित करें। https://console.cloud.google.com/bigquery/policy-tags

2. वैकल्पिक: एक या एक से अधिक प्रिंसिपल को डेटा कैटलॉग फाइन-ग्रेन्ड रीडर भूमिका प्रदान करें जिसे आपने बनाया है और जिस पर आपने नीति टैग बनाए हैं।

3. अपने बिगक्वेरी कॉलम्स को नीति टैग सौंपें। बिगक्वेरी में, स्कीमा एनोटेशन का उपयोग करके प्रत्येक कॉलम को एक नीति टैग सौंपें जहां आप एक्सेस प्रतिबंधित करना चाहते हैं।

4. टैक्सोनमी पर एक्सेस नियंत्रण लागू करें। एक्सेस नियंत्रण लागू करने से टैक्सोनमी में सभी नीति टैग के लिए परिभाषित एक्सेस प्रतिबंध लागू होते हैं।

5. नीति टैग पर एक्सेस प्रबंधित करें। प्रत्येक नीति टैग के लिए एक्सेस प्रतिबंधित करने के लिए आइडेंटिटी और एक्सेस प्रबंधन (IAM) नीतियों का उपयोग करें। यह नीति प्रभावी है प्रत्येक कॉलम के लिए जो नीति टैग का हिस्सा है।

जब एक उपयोगकर्ता क्वेरी समय पर कॉलम डेटा एक्सेस करने का प्रयास करता है, तो बिगक्वेरी कॉलम नीति टैग और उसकी नीति की जांच करता है कि क्या उपयोगकर्ता डेटा तक पहुंचने की अधिकारी है।

टैक्सोनमी पर एक्सेस नियंत्रण लागू करने के लिए सेवा को सक्षम करने की आवश्यकता है:

gcloud services enable bigquerydatapolicy.googleapis.com

आप स्तंभों के टैग देख सकते हैं इसके साथ:

bq show --schema <proj>:<dataset>.<table>

[{"name":"username","type":"STRING","mode":"NULLABLE","policyTags":{"names":["projects/.../locations/us/taxonomies/2030629149897327804/policyTags/7703453142914142277"]},"maxLength":"20"},{"name":"age","type":"INTEGER","mode":"NULLABLE"}]

• डेटासेट के सभी तालिकाओं के कॉलम और तालिका के नाम:

# SELECT table_name, column_name FROM <proj-name>.<dataset-name>.INFORMATION_SCHEMA.COLUMNS

SELECT table_name, column_name FROM <project-name>.<dataset-name>.INFORMATION_SCHEMA.COLUMNS

• इसी परियोजना में अन्य डेटासेट:

# SELECT catalog_name, schema_name, FROM <proj-name>.INFORMATION_SCHEMA.SCHEMATA

SELECT catalog_name, schema_name, NULL FROM <project-name>.INFORMATION_SCHEMA.SCHEMATA

SQL Injection types:

• त्रुटि आधारित - कास्टिंग: select CAST(@@project_id AS INT64)

• त्रुटि आधारित - शून्य द्वारा विभाजन: ' OR if(1/(length((select('a')))-1)=1,true,false) OR '

• संघ आधारित (आपको bigquery में ALL का उपयोग करना होगा): UNION ALL SELECT (SELECT @@project_id),1,1,1,1,1,1)) AS T1 GROUP BY column_name#

• बूलियन आधारित: ' WHERE SUBSTRING((select column_name from `project_id.dataset_name.table_name` limit 1),1,1)='A'#

• संभावित समय आधारित - सार्वजनिक डेटासेट का उपयोग उदाहरण: SELECT * FROM `bigquery-public-data.covid19_open_data.covid19_open_data` LIMIT 1000

दस्तावेज़ीकरण:

• सभी फ़ंक्शन सूची: https://cloud.google.com/bigquery/docs/reference/standard-sql/functions-and-operators

• स्क्रिप्टिंग वक्तव्य: https://cloud.google.com/bigquery/docs/reference/standard-sql/scripting

विशेषाधिकार उन्नयन और पोस्ट अधिकार

स्थिरता

संदर्भ

• https://cloud.google.com/bigquery/docs/column-level-security-intro