GCP - Cloud SQL Enum

Reading time: 4 minutes

Основна інформація

Google Cloud SQL - це керована служба, яка спрощує налаштування, обслуговування та адміністрування реляційних баз даних таких як MySQL, PostgreSQL та SQL Server на Google Cloud Platform, усуваючи необхідність виконувати такі завдання, як постачання апаратного забезпечення, налаштування бази даних, патчинг та резервне копіювання.

Ключові особливості Google Cloud SQL включають:

1. Повністю кероване: Google Cloud SQL є повністю керованою службою, що означає, що Google займається завданнями обслуговування бази даних, такими як патчинг, оновлення, резервне копіювання та налаштування.
2. Масштабованість: Забезпечує можливість масштабування ємності зберігання та обчислювальних ресурсів вашої бази даних, часто без простоїв.
3. Висока доступність: Пропонує конфігурації високої доступності, забезпечуючи надійність ваших баз даних і здатність витримувати збої зон або екземплярів.
4. Безпека: Забезпечує надійні функції безпеки, такі як шифрування даних, управління ідентифікацією та доступом (IAM) та ізоляцію мережі за допомогою приватних IP-адрес і VPC.
5. Резервне копіювання та відновлення: Підтримує автоматичне резервне копіювання та відновлення в точці часу, допомагаючи вам захистити та відновити ваші дані.
6. Інтеграція: Безшовно інтегрується з іншими службами Google Cloud, забезпечуючи комплексне рішення для створення, розгортання та управління додатками.
7. Продуктивність: Пропонує метрики продуктивності та діагностику для моніторингу, усунення неполадок та покращення продуктивності бази даних.

Пароль

У веб-консолі Cloud SQL користувач може встановити пароль бази даних, також є функція генерації, але найголовніше, MySQL дозволяє залишити порожній пароль, а всі вони дозволяють встановити паролем лише символ "a":

Також можливо налаштувати політику паролів, що вимагає довжини, складності, вимкнення повторного використання та вимкнення імені користувача в паролі. Усі вони за замовчуванням вимкнені.

SQL Server може бути налаштований з аутентифікацією Active Directory.

Доступність зони

База даних може бути доступною в 1 зоні або в кількох, звичайно, рекомендується мати важливі бази даних у кількох зонах.

Шифрування

За замовчуванням використовується ключ шифрування, керований Google, але також можливо вибрати ключ шифрування, керований клієнтом (CMEK).

З'єднання

• Приватний IP: Вказати мережу VPC, і база даних отримає приватний IP всередині мережі
• Публічний IP: База даних отримає публічний IP, але за замовчуванням ніхто не зможе підключитися
• Авторизовані мережі: Вказати публічні IP-діапазони, які повинні бути дозволені для підключення до бази даних
• Приватний шлях: Якщо БД підключена в якійсь VPC, можливо активувати цю опцію та надати іншим службам GCP, таким як BigQuery, доступ через неї

Захист даних

• Щоденні резервні копії: Виконувати автоматичні щоденні резервні копії та вказати кількість резервних копій, які ви хочете зберігати.
• Відновлення в точці часу: Дозволяє відновити дані з конкретної точки часу, до частки секунди.
• Захист від видалення: Якщо активовано, БД не зможе бути видалена, поки ця функція не буде вимкнена

Перерахування

# Get SQL instances
gcloud sql instances list
gcloud sql instances describe <inst-name> # get IPs, CACert, settings

# Get database names inside an instance (like information_schema, sys...)
gcloud sql databases list --instance <intance-name>
gcloud sql databases describe <db-name> --instance <intance-name>

# Get usernames inside the db instance
gcloud sql users list --instance <intance-name>

# Backups
gcloud sql backups list --instance <intance-name>
gcloud sql backups describe <backup-name> --instance <intance-name>

Неавтентифіковане перерахування

GCP - Cloud SQL Unauthenticated Enum

Після експлуатації

GCP - Cloud SQL Post Exploitation

Персистентність

GCP - Cloud SQL Persistence