AWS - Firewall Manager Enum

Firewall Manager

AWS Firewall Manager απλοποιεί τη διαχείριση και συντήρηση του AWS WAF, AWS Shield Advanced, Amazon VPC security groups και Network Access Control Lists (ACLs), και AWS Network Firewall, AWS Route 53 Resolver DNS Firewall και τρίτων τείχων προστασίας σε πολλούς λογαριασμούς και πόρους. Σας επιτρέπει να διαμορφώσετε τους κανόνες του τείχους προστασίας σας, τις προστασίες Shield Advanced, τις ομάδες ασφαλείας VPC και τις ρυθμίσεις του Network Firewall μόνο μία φορά, με την υπηρεσία να επιβάλλει αυτόματα αυτούς τους κανόνες και τις προστασίες σε όλους τους λογαριασμούς και τους πόρους σας, συμπεριλαμβανομένων των νεοεισερχόμενων.

Η υπηρεσία προσφέρει τη δυνατότητα να ομαδοποιήσετε και να προστατεύσετε συγκεκριμένους πόρους μαζί, όπως εκείνους που μοιράζονται μια κοινή ετικέτα ή όλες τις διανομές CloudFront σας. Ένα σημαντικό πλεονέκτημα του Firewall Manager είναι η ικανότητά του να επεκτείνει αυτόματα την προστασία σε νεοεισερχόμενους πόρους στον λογαριασμό σας.

Μια ομάδα κανόνων (μια συλλογή κανόνων WAF) μπορεί να ενσωματωθεί σε μια Πολιτική AWS Firewall Manager, η οποία στη συνέχεια συνδέεται με συγκεκριμένους πόρους AWS όπως οι διανομές CloudFront ή οι ισοσταθμιστές εφαρμογών.

Το AWS Firewall Manager παρέχει διαχειριζόμενες λίστες εφαρμογών και πρωτοκόλλων για να απλοποιήσει τη διαμόρφωση και τη διαχείριση των πολιτικών ομάδων ασφαλείας. Αυτές οι λίστες σας επιτρέπουν να καθορίσετε τα πρωτόκολλα και τις εφαρμογές που επιτρέπονται ή απορρίπτονται από τις πολιτικές σας. Υπάρχουν δύο τύποι διαχειριζόμενων λιστών:

• Διαχειριζόμενες λίστες Firewall Manager: Αυτές οι λίστες περιλαμβάνουν FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed και FMS-Default-Protocols-Allowed. Διαχειρίζονται από το Firewall Manager και περιλαμβάνουν κοινώς χρησιμοποιούμενες εφαρμογές και πρωτόκολλα που θα πρέπει να επιτρέπονται ή να απορρίπτονται στο κοινό. Δεν είναι δυνατή η επεξεργασία ή η διαγραφή τους, ωστόσο, μπορείτε να επιλέξετε την έκδοσή τους.

• Προσαρμοσμένες διαχειριζόμενες λίστες: Αυτές τις λίστες τις διαχειρίζεστε εσείς οι ίδιοι. Μπορείτε να δημιουργήσετε προσαρμοσμένες λίστες εφαρμογών και πρωτοκόλλων προσαρμοσμένες στις ανάγκες της οργάνωσής σας. Σε αντίθεση με τις διαχειριζόμενες λίστες του Firewall Manager, αυτές οι λίστες δεν έχουν εκδόσεις, αλλά έχετε πλήρη έλεγχο πάνω τους, επιτρέποντάς σας να τις δημιουργείτε, να τις επεξεργάζεστε και να τις διαγράφετε όπως απαιτείται.

Είναι σημαντικό να σημειωθεί ότι οι πολιτικές Firewall Manager επιτρέπουν μόνο ενέργειες "Block" ή "Count" για μια ομάδα κανόνων, χωρίς επιλογή "Allow".

Prerequisites

Τα παρακάτω προαπαιτούμενα βήματα πρέπει να ολοκληρωθούν πριν προχωρήσετε στη διαμόρφωση του Firewall Manager για να αρχίσετε να προστατεύετε αποτελεσματικά τους πόρους της οργάνωσής σας. Αυτά τα βήματα παρέχουν τη θεμελιώδη ρύθμιση που απαιτείται για να επιβάλει το Firewall Manager τις πολιτικές ασφαλείας και να διασφαλίσει τη συμμόρφωση σε όλο το περιβάλλον AWS σας:

1. Join and configure AWS Organizations: Βεβαιωθείτε ότι ο λογαριασμός AWS σας είναι μέρος της οργάνωσης AWS Organizations όπου προγραμματίζονται οι πολιτικές AWS Firewall Manager. Αυτό επιτρέπει την κεντρική διαχείριση πόρων και πολιτικών σε πολλούς λογαριασμούς AWS εντός της οργάνωσης.

2. Create an AWS Firewall Manager Default Administrator Account: Δημιουργήστε έναν προεπιλεγμένο λογαριασμό διαχειριστή ειδικά για τη διαχείριση των πολιτικών ασφαλείας του Firewall Manager. Αυτός ο λογαριασμός θα είναι υπεύθυνος για τη διαμόρφωση και την επιβολή πολιτικών ασφαλείας σε όλη την οργάνωση. Μόνο ο λογαριασμός διαχείρισης της οργάνωσης μπορεί να δημιουργήσει προεπιλεγμένους λογαριασμούς διαχειριστή Firewall Manager.

3. Enable AWS Config: Ενεργοποιήστε το AWS Config για να παρέχετε στο Firewall Manager τα απαραίτητα δεδομένα και πληροφορίες διαμόρφωσης που απαιτούνται για να επιβάλει αποτελεσματικά τις πολιτικές ασφαλείας. Το AWS Config βοηθά στην ανάλυση, την επιθεώρηση, την παρακολούθηση και την επιθεώρηση των διαμορφώσεων και των αλλαγών πόρων, διευκολύνοντας τη διαχείριση της ασφάλειας.

4. For Third-Party Policies, Subscribe in the AWS Marketplace and Configure Third-Party Settings: Εάν σκοπεύετε να χρησιμοποιήσετε πολιτικές τείχους προστασίας τρίτων, εγγραφείτε σε αυτές στο AWS Marketplace και διαμορφώστε τις απαραίτητες ρυθμίσεις. Αυτό το βήμα διασφαλίζει ότι το Firewall Manager μπορεί να ενσωματώσει και να επιβάλει πολιτικές από αξιόπιστους προμηθευτές τρίτων.

5. For Network Firewall and DNS Firewall Policies, enable resource sharing: Ενεργοποιήστε την κοινή χρήση πόρων ειδικά για πολιτικές Network Firewall και DNS Firewall. Αυτό επιτρέπει στο Firewall Manager να εφαρμόσει προστασίες τείχους προστασίας στα VPC της οργάνωσής σας και στην ανάλυση DNS, ενισχύοντας την ασφάλεια του δικτύου.

6. To use AWS Firewall Manager in Regions that are disabled by default: Εάν σκοπεύετε να χρησιμοποιήσετε το Firewall Manager σε περιοχές AWS που είναι απενεργοποιημένες από προεπιλογή, βεβαιωθείτε ότι έχετε λάβει τα απαραίτητα μέτρα για να ενεργοποιήσετε τη λειτουργικότητά του σε αυτές τις περιοχές. Αυτό διασφαλίζει συνεπή επιβολή ασφάλειας σε όλες τις περιοχές όπου δραστηριοποιείται η οργάνωσή σας.

Για περισσότερες πληροφορίες, δείτε: Getting started with AWS Firewall Manager AWS WAF policies.

Types of protection policies

Το AWS Firewall Manager διαχειρίζεται αρκετούς τύπους πολιτικών για να επιβάλει ελέγχους ασφαλείας σε διάφορες πτυχές της υποδομής της οργάνωσής σας:

1. AWS WAF Policy: Αυτός ο τύπος πολιτικής υποστηρίζει τόσο το AWS WAF όσο και το AWS WAF Classic. Μπορείτε να καθορίσετε ποιους πόρους προστατεύει η πολιτική. Για τις πολιτικές AWS WAF, μπορείτε να καθορίσετε σύνολα ομάδων κανόνων που θα εκτελούνται πρώτα και τελευταίοι στο web ACL. Επιπλέον, οι κάτοχοι λογαριασμών μπορούν να προσθέσουν κανόνες και ομάδες κανόνων για να εκτελούνται μεταξύ αυτών των συνόλων.

2. Shield Advanced Policy: Αυτή η πολιτική εφαρμόζει τις προστασίες Shield Advanced σε όλη την οργάνωσή σας για καθορισμένους τύπους πόρων. Βοηθά στην προστασία από επιθέσεις DDoS και άλλες απειλές.

3. Amazon VPC Security Group Policy: Με αυτή την πολιτική, μπορείτε να διαχειριστείτε τις ομάδες ασφαλείας που χρησιμοποιούνται σε όλη την οργάνωσή σας, επιβάλλοντας ένα βασικό σύνολο κανόνων σε όλο το περιβάλλον AWS σας για τον έλεγχο της πρόσβασης στο δίκτυο.

4. Amazon VPC Network Access Control List (ACL) Policy: Αυτός ο τύπος πολιτικής σας δίνει έλεγχο πάνω στα ACL του δικτύου που χρησιμοποιούνται στην οργάνωσή σας, επιτρέποντάς σας να επιβάλλετε ένα βασικό σύνολο ACL δικτύου σε όλο το περιβάλλον AWS σας.

5. Network Firewall Policy: Αυτή η πολιτική εφαρμόζει προστασία AWS Network Firewall στα VPC της οργάνωσής σας, ενισχύοντας την ασφάλεια του δικτύου φιλτράροντας την κίνηση με βάση προκαθορισμένους κανόνες.

6. Amazon Route 53 Resolver DNS Firewall Policy: Αυτή η πολιτική εφαρμόζει προστασίες DNS Firewall στα VPC της οργάνωσής σας, βοηθώντας να αποκλειστούν οι κακόβουλες προσπάθειες ανάλυσης τομέων και να επιβληθούν πολιτικές ασφαλείας για την κίνηση DNS.

7. Third-Party Firewall Policy: Αυτός ο τύπος πολιτικής εφαρμόζει προστασίες από τείχη προστασίας τρίτων, τα οποία είναι διαθέσιμα μέσω συνδρομής μέσω της κονσόλας AWS Marketplace. Σας επιτρέπει να ενσωματώσετε επιπλέον μέτρα ασφαλείας από αξιόπιστους προμηθευτές στο περιβάλλον AWS σας.

8. Palo Alto Networks Cloud NGFW Policy: Αυτή η πολιτική εφαρμόζει προστασίες και κανόνες Palo Alto Networks Cloud Next Generation Firewall (NGFW) στα VPC της οργάνωσής σας, παρέχοντας προηγμένη πρόληψη απειλών και ελέγχους ασφαλείας σε επίπεδο εφαρμογής.

9. Fortigate Cloud Native Firewall (CNF) as a Service Policy: Αυτή η πολιτική εφαρμόζει προστασίες Fortigate Cloud Native Firewall (CNF) as a Service, προσφέροντας κορυφαία πρόληψη απειλών, τείχος προστασίας εφαρμογών ιστού (WAF) και προστασία API προσαρμοσμένα για υποδομές cloud.

Administrator accounts

Το AWS Firewall Manager προσφέρει ευελιξία στη διαχείριση των πόρων τείχους προστασίας εντός της οργάνωσής σας μέσω του διοικητικού του πεδίου και δύο τύπων λογαριασμών διαχειριστή.

Το διοικητικό πεδίο καθορίζει τους πόρους που μπορεί να διαχειριστεί ένας διαχειριστής Firewall Manager. Αφού ένας λογαριασμός διαχείρισης AWS Organizations ενσωματώσει μια οργάνωση στο Firewall Manager, μπορεί να δημιουργήσει επιπλέον διαχειριστές με διαφορετικά διοικητικά πεδία. Αυτά τα πεδία μπορεί να περιλαμβάνουν:

• Λογαριασμούς ή οργανωτικές μονάδες (OUs) στους οποίους ο διαχειριστής μπορεί να εφαρμόσει πολιτικές.

• Περιοχές όπου ο διαχειριστής μπορεί να εκτελεί ενέργειες.

• Τύπους πολιτικών Firewall Manager που μπορεί να διαχειριστεί ο διαχειριστής.

Το διοικητικό πεδίο μπορεί να είναι είτε πλήρες είτε περιορισμένο. Το πλήρες πεδίο παρέχει στον διαχειριστή πρόσβαση σε όλους τους καθορισμένους τύπους πόρων, περιοχές και τύπους πολιτικών. Αντίθετα, το περιορισμένο πεδίο παρέχει διοικητική άδεια μόνο σε ένα υποσύνολο πόρων, περιοχών ή τύπων πολιτικών. Είναι σκόπιμο να παρέχετε στους διαχειριστές μόνο τις άδειες που χρειάζονται για να εκπληρώσουν τους ρόλους τους αποτελεσματικά. Μπορείτε να εφαρμόσετε οποιονδήποτε συνδυασμό αυτών των συνθηκών διοικητικού πεδίου σε έναν διαχειριστή, διασφαλίζοντας τη συμμόρφωση με την αρχή της ελάχιστης προνομίας.

Υπάρχουν δύο διακριτοί τύποι λογαριασμών διαχειριστή, καθένας από τους οποίους εξυπηρετεί συγκεκριμένους ρόλους και ευθύνες:

• Default Administrator:

• Ο προεπιλεγμένος λογαριασμός διαχειριστή δημιουργείται από τον λογαριασμό διαχείρισης της οργάνωσης AWS Organizations κατά τη διαδικασία ενσωμάτωσης στο Firewall Manager.

• Αυτός ο λογαριασμός έχει τη δυνατότητα να διαχειρίζεται τείχη προστασίας τρίτων και διαθέτει πλήρες διοικητικό πεδίο.

• Λειτουργεί ως ο κύριος λογαριασμός διαχειριστή για το Firewall Manager, υπεύθυνος για τη διαμόρφωση και την επιβολή πολιτικών ασφαλείας σε όλη την οργάνωση.

• Ενώ ο προεπιλεγμένος διαχειριστής έχει πλήρη πρόσβαση σε όλους τους τύπους πόρων και τις διοικητικές λειτουργίες, λειτουργεί στο ίδιο επίπεδο με άλλους διαχειριστές εάν χρησιμοποιούνται πολλοί διαχειριστές εντός της οργάνωσης.

• Firewall Manager Administrators:

• Αυτοί οι διαχειριστές μπορούν να διαχειρίζονται πόρους εντός του πεδίου που έχει καθοριστεί από τον λογαριασμό διαχείρισης AWS Organizations, όπως ορίζεται από τη ρύθμιση του διοικητικού πεδίου.

• Οι διαχειριστές Firewall Manager δημιουργούνται για να εκπληρώσουν συγκεκριμένους ρόλους εντός της οργάνωσης, επιτρέποντας την ανάθεση ευθυνών ενώ διατηρούν τα πρότυπα ασφάλειας και συμμόρφωσης.

• Κατά τη δημιουργία τους, το Firewall Manager ελέγχει με το AWS Organizations για να προσδιορίσει εάν ο λογαριασμός είναι ήδη διαχειριστής που έχει ανατεθεί. Εάν όχι, το Firewall Manager καλεί τις Οργανώσεις για να ορίσει τον λογαριασμό ως διαχειριστή που έχει ανατεθεί για το Firewall Manager.

Η διαχείριση αυτών των λογαριασμών διαχειριστή περιλαμβάνει τη δημιουργία τους εντός του Firewall Manager και τον καθορισμό των διοικητικών τους πεδίων σύμφωνα με τις απαιτήσεις ασφαλείας της οργάνωσης και την αρχή της ελάχιστης προνομίας. Με την ανάθεση κατάλληλων διοικητικών ρόλων, οι οργανώσεις μπορούν να διασφαλίσουν αποτελεσματική διαχείριση ασφάλειας ενώ διατηρούν λεπτομερή έλεγχο της πρόσβασης σε ευαίσθητους πόρους.

Είναι σημαντικό να τονιστεί ότι μόνο ένας λογαριασμός εντός μιας οργάνωσης μπορεί να λειτουργήσει ως ο προεπιλεγμένος διαχειριστής του Firewall Manager, τηρώντας την αρχή του "πρώτος μέσα, τελευταίος έξω". Για να ορίσετε έναν νέο προεπιλεγμένο διαχειριστή, πρέπει να ακολουθηθεί μια σειρά βημάτων:

• Πρώτα, κάθε λογαριασμός διαχειριστή Firewall Administrator πρέπει να ανακαλέσει τον δικό του λογαριασμό.

• Στη συνέχεια, ο υπάρχων προεπιλεγμένος διαχειριστής μπορεί να ανακαλέσει τον δικό του λογαριασμό, αποσυνδέοντας ουσιαστικά την οργάνωση από το Firewall Manager. Αυτή η διαδικασία έχει ως αποτέλεσμα τη διαγραφή όλων των πολιτικών Firewall Manager που δημιουργήθηκαν από τον ανακληθέντα λογαριασμό.

• Για να ολοκληρωθεί, ο λογαριασμός διαχείρισης AWS Organizations πρέπει να ορίσει τον προεπιλεγμένο διαχειριστή του Firewall Manager.

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Ένας επιτιθέμενος με την άδεια fms:AssociateAdminAccount θα μπορούσε να ορίσει τον προεπιλεγμένο λογαριασμό διαχειριστή του Firewall Manager. Με την άδεια fms:PutAdminAccount, ένας επιτιθέμενος θα μπορούσε να δημιουργήσει ή να ενημερώσει έναν λογαριασμό διαχειριστή του Firewall Manager και με την άδεια fms:DisassociateAdminAccount, ένας πιθανός επιτιθέμενος θα μπορούσε να αφαιρέσει τη σύνδεση του τρέχοντος λογαριασμού διαχειριστή του Firewall Manager.

• Η αποσύνδεση του προεπιλεγμένου διαχειριστή του Firewall Manager ακολουθεί την πολιτική πρώτου-εισόδου-τελευταίου-εξόδου. Όλοι οι διαχειριστές του Firewall Manager πρέπει να αποσυνδεθούν πριν ο προεπιλεγμένος διαχειριστής του Firewall Manager μπορέσει να αποσυνδέσει τον λογαριασμό.

• Για να δημιουργηθεί ένας διαχειριστής του Firewall Manager μέσω του PutAdminAccount, ο λογαριασμός πρέπει να ανήκει στην οργάνωση που έχει προηγουμένως ενσωματωθεί στο Firewall Manager χρησιμοποιώντας το AssociateAdminAccount.

• Η δημιουργία ενός λογαριασμού διαχειριστή του Firewall Manager μπορεί να γίνει μόνο από τον λογαριασμό διαχείρισης της οργάνωσης.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Πιθανές Επιπτώσεις: Απώλεια κεντρικής διαχείρισης, παράκαμψη πολιτικών, παραβιάσεις συμμόρφωσης και διακοπή των ελέγχων ασφαλείας εντός του περιβάλλοντος.

fms:PutPolicy, fms:DeletePolicy

Ένας επιτιθέμενος με τα δικαιώματα fms:PutPolicy, fms:DeletePolicy θα μπορούσε να δημιουργήσει, να τροποποιήσει ή να διαγράψει μόνιμα μια πολιτική AWS Firewall Manager.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Ένα παράδειγμα επιτρεπτικής πολιτικής μέσω επιτρεπτικής ομάδας ασφαλείας, προκειμένου να παρακαμφθεί η ανίχνευση, θα μπορούσε να είναι το εξής:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Πιθανές Επιπτώσεις: Αποδόμηση ελέγχων ασφαλείας, αποφυγή πολιτικής, παραβάσεις συμμόρφωσης, διαταραχές λειτουργίας και πιθανές παραβιάσεις δεδομένων εντός του περιβάλλοντος.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Ένας επιτιθέμενος με τα δικαιώματα fms:BatchAssociateResource και fms:BatchDisassociateResource θα μπορούσε να συσχετίσει ή να αποσυσχετίσει πόρους από ένα σύνολο πόρων του Firewall Manager αντίστοιχα. Επιπλέον, τα δικαιώματα fms:PutResourceSet και fms:DeleteResourceSet θα επέτρεπαν σε έναν επιτιθέμενο να δημιουργήσει, να τροποποιήσει ή να διαγράψει αυτά τα σύνολα πόρων από το AWS Firewall Manager.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Πιθανές Επιπτώσεις: Η προσθήκη ενός περιττού αριθμού στοιχείων σε ένα σύνολο πόρων θα αυξήσει το επίπεδο θορύβου στην Υπηρεσία, ενδεχομένως προκαλώντας DoS. Επιπλέον, οι αλλαγές στα σύνολα πόρων θα μπορούσαν να οδηγήσουν σε διακοπή πόρων, αποφυγή πολιτικής, παραβιάσεις συμμόρφωσης και διακοπή ελέγχων ασφαλείας εντός του περιβάλλοντος.

fms:PutAppsList, fms:DeleteAppsList

Ένας επιτιθέμενος με τα δικαιώματα fms:PutAppsList και fms:DeleteAppsList θα μπορούσε να δημιουργήσει, να τροποποιήσει ή να διαγράψει λίστες εφαρμογών από το AWS Firewall Manager. Αυτό θα μπορούσε να είναι κρίσιμο, καθώς μη εξουσιοδοτημένες εφαρμογές θα μπορούσαν να επιτραπούν πρόσβαση στο γενικό κοινό, ή η πρόσβαση σε εξουσιοδοτημένες εφαρμογές θα μπορούσε να αρνηθεί, προκαλώντας DoS.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Πιθανές Επιπτώσεις: Αυτό θα μπορούσε να έχει ως αποτέλεσμα κακή διαμόρφωση, παράκαμψη πολιτικών, παραβιάσεις συμμόρφωσης και διακοπή των ελέγχων ασφαλείας εντός του περιβάλλοντος.

fms:PutProtocolsList, fms:DeleteProtocolsList

Ένας επιτιθέμενος με τα δικαιώματα fms:PutProtocolsList και fms:DeleteProtocolsList θα μπορούσε να δημιουργήσει, να τροποποιήσει ή να διαγράψει λίστες πρωτοκόλλων από το AWS Firewall Manager. Παρόμοια με τις λίστες εφαρμογών, αυτό θα μπορούσε να είναι κρίσιμο καθώς μη εξουσιοδοτημένα πρωτόκολλα θα μπορούσαν να χρησιμοποιηθούν από το γενικό κοινό, ή η χρήση εξουσιοδοτημένων πρωτοκόλλων θα μπορούσε να απορριφθεί, προκαλώντας DoS.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Πιθανές Επιπτώσεις: Αυτό θα μπορούσε να έχει ως αποτέλεσμα κακή διαμόρφωση, παράκαμψη πολιτικών, παραβιάσεις συμμόρφωσης και διακοπή των ελέγχων ασφαλείας εντός του περιβάλλοντος.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Ένας επιτιθέμενος με τα δικαιώματα fms:PutNotificationChannel και fms:DeleteNotificationChannel θα μπορούσε να διαγράψει και να ορίσει τον ρόλο IAM και το θέμα Amazon Simple Notification Service (SNS) που χρησιμοποιεί το Firewall Manager για να καταγράφει τα αρχεία καταγραφής SNS.

Για να χρησιμοποιήσετε το fms:PutNotificationChannel εκτός της κονσόλας, πρέπει να ρυθμίσετε την πολιτική πρόσβασης του θέματος SNS, επιτρέποντας στον καθορισμένο SnsRoleName να δημοσιεύει τα αρχεία καταγραφής SNS. Εάν το παρεχόμενο SnsRoleName είναι ρόλος διαφορετικός από τον AWSServiceRoleForFMS, απαιτεί μια σχέση εμπιστοσύνης ρυθμισμένη ώστε να επιτρέπει στην υπηρεσία Firewall Manager fms.amazonaws.com να αναλαμβάνει αυτόν τον ρόλο.

Για πληροφορίες σχετικά με τη ρύθμιση μιας πολιτικής πρόσβασης SNS:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Πιθανές Επιπτώσεις: Αυτό θα μπορούσε ενδεχομένως να οδηγήσει σε χαμένες ειδοποιήσεις ασφαλείας, καθυστερημένη αντίδραση σε περιστατικά, πιθανές παραβιάσεις δεδομένων και λειτουργικές διαταραχές εντός του περιβάλλοντος.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Ένας επιτιθέμενος με τα δικαιώματα fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall θα μπορούσε να συσχετίσει ή να αποσυσχετίσει τρίτους πυροσβεστικούς τοίχους από τη διαχείριση κεντρικά μέσω του AWS Firewall Manager.

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

Πιθανές Επιπτώσεις: Η αποσύνδεση θα οδηγούσε σε αποφυγή πολιτικής, παραβιάσεις συμμόρφωσης και διαταραχή των ελέγχων ασφαλείας εντός του περιβάλλοντος. Η σύνδεση από την άλλη πλευρά θα οδηγούσε σε διαταραχή της κατανομής κόστους και προϋπολογισμού.

fms:TagResource, fms:UntagResource

Ένας επιτιθέμενος θα μπορούσε να προσθέσει, να τροποποιήσει ή να αφαιρέσει ετικέτες από τους πόρους του Firewall Manager, διαταράσσοντας την κατανομή κόστους της οργάνωσής σας, την παρακολούθηση πόρων και τις πολιτικές ελέγχου πρόσβασης με βάση τις ετικέτες.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Πιθανές Επιπτώσεις: Διαταραχή της κατανομής κόστους, παρακολούθησης πόρων και πολιτικών ελέγχου πρόσβασης με βάση τις ετικέτες.

Αναφορές

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html