基本情報

Google Cloud Filestoreは、ファイルシステムインターフェースとデータの共有ファイルシステムの両方を必要とするアプリケーション向けに設計された 管理されたファイルストレージサービスです。このサービスは、高性能のファイル共有を提供することで優れており、さまざまなGCPサービスと統合できます。従来のファイルシステムインターフェースとセマンティクスが重要なシナリオ、例えばメディア処理、コンテンツ管理、およびデータベースのバックアップなどで、その有用性が光ります。

これは、他のNFS 共有ドキュメントリポジトリのように考えることができます - 機密情報の潜在的なソースです。

接続

Filestoreインスタンスを作成する際には、アクセス可能なネットワークを選択することができます。

さらに、デフォルトでは選択したVPCネットワークとリージョンのすべてのクライアントがアクセスできるが、IPアドレスまたは範囲によるアクセス制限も可能であり、クライアントが**IPアドレスに応じて取得するアクセス権限（管理者、管理者ビューア、エディタ、ビューア）**を示すことができます。

また、プライベートサービスアクセス接続を介してアクセスすることもできます：

• VPCネットワークごとにあり、Memorystore、Tensorflow、SQLなどのすべての管理されたサービスで使用できます。

• VPCピアリングを使用してGoogleが所有するネットワークとの間で、内部IPアドレスを使用してインスタンスとサービスが通信できるようにすることができます。

• サービスプロデューサー側であなたのために孤立したプロジェクトを作成し、他の顧客と共有されないことを意味します。提供したリソースのみが請求されます。

• VPCピアリングは、VPCに新しいルートをインポートします

バックアップ

ファイル共有のバックアップを作成することができます。これらは後で元の新しいFileshareインスタンスまたは新しいインスタンスに復元できます。

暗号化

デフォルトでは、データを暗号化するためにGoogle管理の暗号化キーが使用されますが、**顧客管理型暗号化キー（CMEK）**を選択することも可能です。

列挙

プロジェクトで利用可能なファイルストアを見つけた場合、侵害されたComputeインスタンス内からマウントすることができます。次のコマンドを使用して存在するかどうかを確認します。

# Instances
gcloud filestore instances list # Check the IP address
gcloud filestore instances describe --zone <zone> <name> # Check IP and access restrictions

# Backups
gcloud filestore backups list
gcloud filestore backups describe --region <region> <backup>

# Search for NFS shares in a VPC subnet
sudo nmap -n -T5 -Pn -p 2049 --min-parallelism 100 --min-rate 1000 --open 10.99.160.2/20

ファイルストアサービスは、それ専用に作成された完全に新しいサブネット内にある可能性があることに注意してください（VPCピア内のプライベートサービスアクセス接続）。 そのため、VPCピアを列挙して、それらのネットワーク範囲に対してnmapを実行する必要があるかもしれません。

# Get peerings
gcloud compute networks peerings list
# Get routes imported from a peering
gcloud compute networks peerings list-routes <peering-name> --network=<network-name> --region=<region> --direction=INCOMING

特権昇格とポストエクスプロイテーション

GCPを直接悪用して特権を昇格させる方法はありませんが、ポストエクスプロイテーションのトリックを使用するとデータにアクセスできる可能性があり、特権を昇格させるための資格情報を見つけることができるかもしれません：

永続性