GCP - Filestore Enum

Основна інформація

Google Cloud Filestore - це управляємий сервіс файлового сховища, призначений для додатків, які потребують як інтерфейс файлової системи, так і спільної файлової системи для даних. Цей сервіс відзначається високопродуктивними файловими ресурсами, які можуть бути інтегровані з різними службами GCP. Його корисність проявляється в сценаріях, де традиційні інтерфейси файлової системи та семантика є важливими, наприклад, у медіа-процесінгу, управлінні контентом та резервному копіюванні баз даних.

Ви можете уявити це як будь-яке інше спільне сховище документів NFS - потенційний джерело конфіденційної інформації.

Підключення

При створенні екземпляра Filestore можливо вибрати мережу, в якій він буде доступний.

Більше того, за замовчуванням всі клієнти на вибраній мережі VPC та в регіоні матимуть до нього доступ, однак можливо обмежити доступ також за IP-адресою або діапазоном та вказати привілегії доступу (Адміністратор, Адміністратор-спостерігач, Редактор, Спостерігач) користувачу в залежності від IP-адреси.

Також можливий доступ через з'єднання приватного сервісного доступу:

• Є для мережі VPC та може бути використаний для всіх управляючих служб, таких як Memorystore, Tensorflow та SQL.

• Є між вашою мережею VPC та мережею, що належить Google за допомогою з'єднання VPC peering, що дозволяє вашим екземплярам та службам спілкуватися виключно за допомогою внутрішніх IP-адрес.

• Створює ізольований проект для вас на стороні постачальника послуг, що означає, що інші клієнти не діляться ним. Ви будете сплачувати лише за ресурси, які ви надаєте.

• VPC peering імпортує нові маршрути до вашої VPC

Резервні копії

Можливо створити резервні копії файлових ресурсів. Їх можна потім відновити в початковому новому екземплярі Fileshare або в нових.

Шифрування

За замовчуванням для шифрування даних використовується керований Google ключ шифрування, але можливо вибрати клієнтський керований ключ шифрування (CMEK).

Перелік

Якщо ви знаходите доступне сховище файлів у проекті, ви можете підключити його з вашого скомпрометованого обчислювального екземпляра. Використовуйте наступну команду, щоб переглянути, чи існують які-небудь.

# Instances
gcloud filestore instances list # Check the IP address
gcloud filestore instances describe --zone <zone> <name> # Check IP and access restrictions

# Backups
gcloud filestore backups list
gcloud filestore backups describe --region <region> <backup>

# Search for NFS shares in a VPC subnet
sudo nmap -n -T5 -Pn -p 2049 --min-parallelism 100 --min-rate 1000 --open 10.99.160.2/20

# Get peerings
gcloud compute networks peerings list
# Get routes imported from a peering
gcloud compute networks peerings list-routes <peering-name> --network=<network-name> --region=<region> --direction=INCOMING

Підвищення привілеїв та пост-експлуатація

Не існує способів підвищення привілеїв в GCP безпосередньо зловживаючи цією службою, але за допомогою деяких трюків пост-експлуатації можливо отримати доступ до даних і, можливо, ви зможете знайти деякі облікові дані для підвищення привілеїв:

Наполегливість