GCP - Filestore Enum
기본 정보
Google Cloud Filestore는 파일 시스템 인터페이스와 데이터를 위한 공유 파일 시스템이 필요한 애플리케이션을 위한 관리형 파일 저장소 서비스입니다. 이 서비스는 다양한 GCP 서비스와 통합할 수 있는 고성능 파일 공유를 제공하여 뛰어납니다. 전통적인 파일 시스템 인터페이스와 의미가 중요한 상황에서 빛을 발하며, 미디어 처리, 콘텐츠 관리 및 데이터베이스 백업과 같은 분야에서 중요합니다.
이것은 다른 NFS 공유 문서 저장소와 같이 생각할 수 있습니다 - 민감한 정보의 잠재적인 출처입니다.
연결
Filestore 인스턴스를 생성할 때 액세스할 수 있는 네트워크를 선택할 수 있습니다.
또한, 기본적으로 선택한 VPC 네트워크 및 지역의 모든 클라이언트가 액세스할 수 있지만, IP 주소 또는 범위에 따라 액세스 권한(관리자, 관리자 뷰어, 편집자, 뷰어)을 지정하여 클라이언트가 받을 수 있습니다.
또한 개인 서비스 액세스 연결을 통해 액세스할 수 있습니다:
VPC 네트워크 당 하나이며 Memorystore, Tensorflow 및 SQL과 같은 모든 관리형 서비스에서 사용할 수 있습니다.
VPC 피어링을 사용하여 Google이 소유한 네트워크와의 사이에서, 내부 IP 주소를 사용하여 인스턴스 및 서비스가 통신할 수 있도록 합니다.
서비스 생산자 측에 격리된 프로젝트를 생성하여 다른 고객이 공유하지 않음을 의미합니다. 제공한 리소스에 대해서만 청구됩니다.
VPC 피어링은 VPC에 새 경로를 가져올 것입니다.
백업
파일 공유의 백업을 생성할 수 있습니다. 이러한 백업은 나중에 원본 새 파일 공유 인스턴스나 새로운 인스턴스에 복원할 수 있습니다.
암호화
기본적으로 Google 관리형 암호화 키가 데이터를 암호화하는 데 사용되지만 **고객 관리형 암호화 키(CMEK)**를 선택할 수 있습니다.
열거
프로젝트에서 사용 가능한 파일 저장소를 찾으면 침해된 컴퓨트 인스턴스 내에서 마운트할 수 있습니다. 다음 명령을 사용하여 존재하는지 확인하세요.
파일 저장소 서비스가 전용 서비스 액세스 연결 내에서 생성된 완전히 새로운 하위 네트워크에 있을 수 있음에 유의하십시오(이는 VPC 피어 내부에 있음). 따라서 해당 네트워크 범위에 대해 nmap을 실행하려면 VPC 피어를 열거해야 할 수도 있습니다.
권한 상승 및 사후 공격
GCP에서 이 서비스를 직접 악용하여 권한을 상승시키는 방법은 없지만, 일부 사후 공격 기법을 사용하여 데이터에 액세스할 수 있으며 권한 상승을 위한 일부 자격 증명을 찾을 수도 있습니다:
pageGCP - Filestore Post Exploitation지속성
pageGCP - Filestore Persistence最終更新