GCP - Bigquery Enum

基本情報

Google Cloud BigQueryは、完全に管理された、サーバーレスのエンタープライズデータウェアハウスであり、ペタバイト単位のデータを分析する機能を提供し、大規模なデータセットを効率的に処理します。Platform as a Service (PaaS)として、手動の監視が不要でデータ管理を容易にするためのインフラストラクチャとツールをユーザーに提供します。

ANSI SQLを使用したクエリがサポートされています。主要なオブジェクトは、SQL データを含むテーブルを含むデータセットです。

暗号化

デフォルトではGoogle管理の暗号化キーが使用されますが、**顧客管理型暗号化キー（CMEK）**を構成することも可能です。データセットごとおよびデータセット内のテーブルごとに暗号化キーを指定することができます。

有効期限

データセットに有効期限を指定することができ、このデータセットで作成された新しいテーブルは、作成後指定された日数経過後に自動的に削除されます。

外部ソース

BigQueryは他のGoogleサービスと深く統合されています。バケツ、pub/sub、Googleドライブ、RDSデータベースからデータをロードすることが可能です。

データセットACL

データセットが作成されると、アクセス権限を付与するためにACLが添付されます。デフォルトでは、データセットを作成したユーザーに対して所有者権限が与えられ、その後、プロジェクトの所有者グループ（プロジェクトの所有者）、プロジェクトライターグループにライター権限が与えられ、プロジェクトリーダーグループにリーダー権限が与えられます。

bq show --format=prettyjson <proj>:<dataset>

...
"access": [
{
"role": "WRITER",
"specialGroup": "projectWriters"
},
{
"role": "OWNER",
"specialGroup": "projectOwners"
},
{
"role": "OWNER",
"userByEmail": "gcp-admin@hacktricks.xyz"
},
{
"role": "OWNER",
"userByEmail": "support@hacktricks.xyz"
},
{
"role": "READER",
"specialGroup": "projectReaders"
}
],
...

テーブル行のアクセス制御

テーブル内で主体がアクセスできる行を制御することが可能です。これは行アクセスポリシーを使用してテーブル内で定義されます。DDLを使用して定義されます。 アクセスポリシーはフィルタを定義し、そのフィルタに一致する行のみが指定された主体によってアクセス可能になります。

# Create
CREATE ROW ACCESS POLICY apac_filter
ON project.dataset.my_table
GRANT TO ('user:abc@example.com')
FILTER USING (region = 'APAC');

# Update
CREATE OR REPLACE ROW ACCESS POLICY
CREATE ROW ACCESS POLICY sales_us_filter
ON project.dataset.my_table
GRANT TO ('user:john@example.com',
'group:sales-us@example.com',
'group:sales-managers@example.com')
FILTER USING (region = 'US');

# Check the Post Exploitation tricks to see how to call this from the cli

# Enumerate row policies on a table
bq ls --row_access_policies <proj>:<dataset>.<table> # Get row policies

カラムアクセス制御

カラムレベルでデータアクセスを制限するには:

1. タクソノミとポリシータグを定義します。データのためのタクソノミとポリシータグを作成および管理します。https://console.cloud.google.com/bigquery/policy-tags

2. オプション: 作成したポリシータグの1つ以上に、Data Catalog Fine-Grained Readerロールを1人以上のプリンシパルに付与します。

3. BigQueryのカラムにポリシータグを割り当てします。BigQueryでは、スキーマ注釈を使用してアクセスを制限したい各カラムにポリシータグを割り当てます。

4. タクソノミ上でアクセス制御を強制します。アクセス制御を強制すると、タクソノミ内のすべてのポリシータグに定義されたアクセス制限が適用されます。

5. ポリシータグ上でアクセスを管理します。Identity and Access Management (IAM) ポリシーを使用して、各ポリシータグへのアクセスを制限します。ポリシーは、ポリシータグに属する各カラムに対して有効です。

ユーザーがクエリ実行時にカラムデータにアクセスしようとすると、BigQueryはカラムポリシータグとそのポリシーをチェックして、ユーザーがデータにアクセスする権限があるかどうかを確認します。

タクソノミ上でアクセス制御を強制するには、サービスを有効にする必要があります:

gcloud services enable bigquerydatapolicy.googleapis.com

次のコマンドを使用して、列のタグを表示できます：

bq show --schema <proj>:<dataset>.<table>

[{"name":"username","type":"STRING","mode":"NULLABLE","policyTags":{"names":["projects/.../locations/us/taxonomies/2030629149897327804/policyTags/7703453142914142277"]},"maxLength":"20"},{"name":"age","type":"INTEGER","mode":"NULLABLE"}]

• データセットのすべてのテーブルの列とテーブル名：

# SELECT table_name, column_name FROM <proj-name>.<dataset-name>.INFORMATION_SCHEMA.COLUMNS

SELECT table_name, column_name FROM <project-name>.<dataset-name>.INFORMATION_SCHEMA.COLUMNS

• 同じプロジェクト内の他のデータセット:

# SELECT catalog_name, schema_name, FROM <proj-name>.INFORMATION_SCHEMA.SCHEMATA

SELECT catalog_name, schema_name, NULL FROM <project-name>.INFORMATION_SCHEMA.SCHEMATA

SQLインジェクションの種類:

• エラーベース - キャスティング: select CAST(@@project_id AS INT64)

• エラーベース - ゼロ除算: ' OR if(1/(length((select('a')))-1)=1,true,false) OR '

• ユニオンベース（bigqueryではALLを使用する必要があります）: UNION ALL SELECT (SELECT @@project_id),1,1,1,1,1,1)) AS T1 GROUP BY column_name#

• ブールベース: ' WHERE SUBSTRING((select column_name from `project_id.dataset_name.table_name` limit 1),1,1)='A'#

• 潜在的な時間ベース - パブリックデータセットの使用例: SELECT * FROM `bigquery-public-data.covid19_open_data.covid19_open_data` LIMIT 1000

ドキュメント:

• すべての関数リスト: https://cloud.google.com/bigquery/docs/reference/standard-sql/functions-and-operators

• スクリプトステートメント: https://cloud.google.com/bigquery/docs/reference/standard-sql/scripting

特権昇格とポストエクスプロイテーション

永続性

参考文献

• https://cloud.google.com/bigquery/docs/column-level-security-intro