GCP - Filestore Enum

Reading time: 6 minutes

基本情報

Google Cloud Filestoreは、ファイルシステムインターフェースとデータの共有ファイルシステムの両方を必要とするアプリケーション向けに特化した管理されたファイルストレージサービスです。このサービスは、高性能なファイル共有を提供し、さまざまなGCPサービスと統合できる点で優れています。従来のファイルシステムインターフェースとセマンティクスが重要なシナリオ、例えばメディア処理、コンテンツ管理、データベースのバックアップなどでその有用性が際立ちます。

これは、他のNFS 共有ドキュメントリポジトリのように考えることができ、機密情報の潜在的なソースとなります。

接続

Filestoreインスタンスを作成する際には、アクセス可能なネットワークを選択することができます。

さらに、デフォルトでは選択したVPCネットワークとリージョンのすべてのクライアントがアクセスできるようになりますが、IPアドレスまたは範囲によってアクセスを制限することも可能で、クライアントが得るアクセス権限（Admin、Admin Viewer、Editor、Viewer）をIPアドレスに応じて指定できます。

また、プライベートサービスアクセス接続を介してアクセスすることも可能です：

• VPCネットワークごとにあり、Memorystore、Tensorflow、SQLなどのすべての管理サービスで使用できます。
• VPCピアリングを使用して、Googleが所有するネットワークとあなたのVPCネットワークの間にあります。これにより、インスタンスとサービスが内部IPアドレスを使用して専用に通信できます。
• サービスプロデューサー側にあなた専用の孤立したプロジェクトを作成し、他の顧客と共有されることはありません。プロビジョニングしたリソースに対してのみ請求されます。
• VPCピアリングは、新しいルートをあなたのVPCにインポートします。

バックアップ

ファイル共有のバックアップを作成することが可能です。これらは後で元の新しいファイル共有インスタンスまたは新しいものに復元できます。

暗号化

デフォルトでは、Google管理の暗号化キーがデータを暗号化するために使用されますが、**顧客管理の暗号化キー（CMEK）**を選択することも可能です。

列挙

プロジェクト内で利用可能なFilestoreを見つけた場合、侵害されたCompute Instance内からマウントすることができます。次のコマンドを使用して、存在するかどうかを確認してください。

# Instances
gcloud filestore instances list # Check the IP address
gcloud filestore instances describe --zone <zone> <name> # Check IP and access restrictions

# Backups
gcloud filestore backups list
gcloud filestore backups describe --region <region> <backup>

# Search for NFS shares in a VPC subnet
sudo nmap -n -T5 -Pn -p 2049 --min-parallelism 100 --min-rate 1000 --open 10.99.160.2/20

# ピアリングを取得
gcloud compute networks peerings list
# ピアリングからインポートされたルートを取得
gcloud compute networks peerings list-routes <peering-name> --network=<network-name> --region=<region> --direction=INCOMING

権限昇格とポストエクスプロイト

このサービスを直接悪用してGCPで権限を昇格させる方法はありませんが、いくつかのポストエクスプロイトのトリックを使用することでデータにアクセスすることが可能です。おそらく権限を昇格させるための資格情報を見つけることができるかもしれません：

GCP - Filestore Post Exploitation

永続性

GCP - Filestore Persistence