AWS - Firewall Manager Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager は、AWS WAF、AWS Shield Advanced、Amazon VPC セキュリティグループおよびネットワークアクセス制御リスト (ACL)、AWS ネットワークファイアウォール、AWS Route 53 Resolver DNS ファイアウォール、サードパーティファイアウォール の管理と保守を簡素化します。これにより、ファイアウォールルール、Shield Advanced 保護、VPC セキュリティグループ、およびネットワークファイアウォール設定を一度だけ構成でき、サービスがこれらのルールと保護をアカウントやリソース全体に自動的に適用します。新しく追加されたリソースも含まれます。
このサービスは、共通のタグを共有するリソースやすべての CloudFront ディストリビューションなど、特定のリソースをグループ化して保護する機能を提供します。Firewall Manager の大きな利点は、新しく追加されたリソースに自動的に保護を拡張できることです。
ルールグループ(WAF ルールのコレクション)は、AWS Firewall Manager ポリシーに組み込むことができ、特定の AWS リソース(CloudFront ディストリビューションやアプリケーションロードバランサーなど)にリンクされます。
AWS Firewall Manager は、セキュリティグループポリシーの構成と管理を簡素化するために、管理されたアプリケーションおよびプロトコルリストを提供します。これらのリストを使用して、ポリシーによって許可または拒否されるプロトコルとアプリケーションを定義できます。管理されたリストには2種類があります:
Firewall Manager 管理リスト:これらのリストには、FMS-Default-Public-Access-Apps-Allowed、FMS-Default-Protocols-Allowed、および FMS-Default-Protocols-Allowed が含まれます。これらは Firewall Manager によって管理され、一般の人々に許可または拒否されるべき一般的に使用されるアプリケーションとプロトコルが含まれています。これらを編集または削除することはできませんが、バージョンを選択することはできます。
カスタム管理リスト:これらのリストは自分で管理します。組織のニーズに合わせたカスタムアプリケーションおよびプロトコルリストを作成できます。Firewall Manager 管理リストとは異なり、これらのリストにはバージョンがありませんが、カスタムリストに対して完全な制御があり、必要に応じて作成、編集、削除できます。
Firewall Manager ポリシーは、ルールグループに対して「ブロック」または「カウント」アクションのみを許可し、「許可」オプションはありません。
Firewall Manager を構成して組織のリソースを効果的に保護するために、次の前提条件を完了する必要があります。これらのステップは、Firewall Manager がセキュリティポリシーを適用し、AWS 環境全体でコンプライアンスを確保するために必要な基盤設定を提供します:
AWS Organizations に参加して構成する:AWS アカウントが、AWS Firewall Manager ポリシーが実装される予定の AWS Organizations 組織の一部であることを確認します。これにより、組織内の複数の AWS アカウントにわたるリソースとポリシーの集中管理が可能になります。
AWS Firewall Manager デフォルト管理者アカウントを作成する:Firewall Manager セキュリティポリシーを管理するためのデフォルト管理者アカウントを作成します。このアカウントは、組織全体でセキュリティポリシーを構成および適用する責任を負います。組織の管理アカウントのみが Firewall Manager デフォルト管理者アカウントを作成できます。
AWS Config を有効にする:AWS Config を有効にして、Firewall Manager にセキュリティポリシーを効果的に適用するために必要な構成データと洞察を提供します。AWS Config は、リソースの構成と変更を分析、監査、監視し、より良いセキュリティ管理を促進します。
サードパーティポリシーの場合、AWS Marketplace でサブスクリプションし、サードパーティ設定を構成する:サードパーティファイアウォールポリシーを利用する予定がある場合、AWS Marketplace でそれらにサブスクリプションし、必要な設定を構成します。このステップにより、Firewall Manager が信頼できるサードパーティベンダーのポリシーを統合し、適用できるようになります。
ネットワークファイアウォールおよび DNS ファイアウォールポリシーの場合、リソース共有を有効にする:ネットワークファイアウォールおよび DNS ファイアウォールポリシー専用にリソース共有を有効にします。これにより、Firewall Manager が組織の VPC および DNS 解決にファイアウォール保護を適用でき、ネットワークセキュリティが向上します。
デフォルトで無効になっているリージョンで AWS Firewall Manager を使用するには:デフォルトで無効になっている AWS リージョンで Firewall Manager を使用する予定がある場合、そのリージョンでの機能を有効にするために必要な手順を実行してください。これにより、組織が運営するすべてのリージョンで一貫したセキュリティの適用が確保されます。
詳細については、次を確認してください:AWS Firewall Manager AWS WAF ポリシーの開始方法。
AWS Firewall Manager は、組織のインフラストラクチャのさまざまな側面にわたってセキュリティコントロールを適用するために、いくつかの種類のポリシーを管理します:
AWS WAF ポリシー:このポリシータイプは、AWS WAF と AWS WAF Classic の両方をサポートします。ポリシーによって保護されるリソースを定義できます。AWS WAF ポリシーの場合、Web ACL 内で最初と最後に実行されるルールグループのセットを指定できます。さらに、アカウント所有者は、これらのセットの間で実行されるルールおよびルールグループを追加できます。
Shield Advanced ポリシー:このポリシーは、指定されたリソースタイプに対して組織全体に Shield Advanced 保護を適用します。DDoS 攻撃やその他の脅威から保護するのに役立ちます。
Amazon VPC セキュリティグループポリシー:このポリシーを使用すると、組織全体で使用されるセキュリティグループを管理し、AWS 環境全体でネットワークアクセスを制御するための基本的なルールセットを適用できます。
Amazon VPC ネットワークアクセス制御リスト (ACL) ポリシー:このポリシータイプは、組織で使用されるネットワーク ACL を制御できるようにし、AWS 環境全体で基本的なネットワーク ACL を適用できます。
ネットワークファイアウォールポリシー:このポリシーは、組織の VPC に AWS ネットワークファイアウォール保護を適用し、事前定義されたルールに基づいてトラフィックをフィルタリングすることでネットワークセキュリティを強化します。
Amazon Route 53 Resolver DNS ファイアウォールポリシー:このポリシーは、組織の VPC に DNS ファイアウォール保護を適用し、悪意のあるドメイン解決試行をブロックし、DNS トラフィックのセキュリティポリシーを適用するのに役立ちます。
サードパーティファイアウォールポリシー:このポリシータイプは、AWS Marketplace コンソールを通じてサブスクリプション可能なサードパーティファイアウォールからの保護を適用します。信頼できるベンダーからの追加のセキュリティ対策を AWS 環境に統合できます。
Palo Alto Networks Cloud NGFW ポリシー:このポリシーは、Palo Alto Networks Cloud 次世代ファイアウォール (NGFW) の保護とルールスタックを組織の VPC に適用し、高度な脅威防止とアプリケーションレベルのセキュリティコントロールを提供します。
Fortigate Cloud Native Firewall (CNF) as a Service ポリシー:このポリシーは、Fortigate Cloud Native Firewall (CNF) as a Service の保護を適用し、業界最高の脅威防止、Web アプリケーションファイアウォール (WAF)、およびクラウドインフラストラクチャ向けに調整された API 保護を提供します。
AWS Firewall Manager は、管理スコープと2種類の管理者アカウントを通じて、組織内のファイアウォールリソースの管理に柔軟性を提供します。
管理スコープは、Firewall Manager 管理者が管理できるリソースを定義します。AWS Organizations の管理アカウントが組織を Firewall Manager にオンボードすると、異なる管理スコープを持つ追加の管理者を作成できます。これらのスコープには以下が含まれます:
管理者がポリシーを適用できるアカウントまたは組織単位 (OU)。
管理者がアクションを実行できるリージョン。
管理者が管理できる Firewall Manager ポリシータイプ。
管理スコープは、フルまたは制限されたいずれかです。フルスコープは、管理者にすべての指定されたリソースタイプ、リージョン、およびポリシータイプへのアクセスを付与します。一方、制限されたスコープは、リソース、リージョン、またはポリシータイプのサブセットに対してのみ管理権限を提供します。管理者には、役割を効果的に果たすために必要な権限のみを付与することが推奨されます。これらの管理スコープ条件の任意の組み合わせを管理者に適用し、最小権限の原則を遵守することができます。
管理者アカウントには、特定の役割と責任を果たすための2つの異なるタイプがあります:
デフォルト管理者:
デフォルト管理者アカウントは、AWS Organizations 組織の管理アカウントによって Firewall Manager へのオンボーディングプロセス中に作成されます。
このアカウントは、サードパーティファイアウォールを管理する能力を持ち、完全な管理スコープを持っています。
組織全体でセキュリティポリシーを構成および適用するための主要な管理者アカウントとして機能します。
デフォルト管理者はすべてのリソースタイプおよび管理機能に完全にアクセスできますが、組織内で複数の管理者が利用されている場合、他の管理者と同じピアレベルで操作します。
Firewall Manager 管理者:
これらの管理者は、AWS Organizations 管理アカウントによって指定された管理スコープ内でリソースを管理できます。
Firewall Manager 管理者は、組織内で特定の役割を果たすために作成され、責任の委任を可能にしながら、セキュリティとコンプライアンス基準を維持します。
作成時に、Firewall Manager は AWS Organizations に確認して、アカウントがすでに委任された管理者であるかどうかを判断します。そうでない場合、Firewall Manager は Organizations に呼び出して、アカウントを Firewall Manager の委任された管理者として指定します。
これらの管理者アカウントの管理には、Firewall Manager 内での作成と、組織のセキュリティ要件および最小権限の原則に従った管理スコープの定義が含まれます。適切な管理役割を割り当てることで、組織は効果的なセキュリティ管理を確保し、機密リソースへのアクセスを細かく制御できます。
組織内で Firewall Manager デフォルト管理者として機能できるアカウントは1つだけであることを強調することが重要です。これは「最初に入った者が最後に出る」という原則に従います。新しいデフォルト管理者を指定するには、一連の手順を実行する必要があります:
まず、各 Firewall Administrator 管理者アカウントは、自分のアカウントを取り消す必要があります。
次に、既存のデフォルト管理者は、自分のアカウントを取り消すことができ、これにより組織が Firewall Manager からオフボードされます。このプロセスにより、取り消されたアカウントによって作成されたすべての Firewall Manager ポリシーが削除されます。
最後に、AWS Organizations 管理アカウントが Firewall Manager デフォルト管理者を指定する必要があります。
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)fms:AssociateAdminAccount
権限を持つ攻撃者は、Firewall Manager のデフォルト管理者アカウントを設定することができます。fms:PutAdminAccount
権限を持つ攻撃者は、Firewall Manager 管理者アカウントを作成または更新することができ、fms:DisassociateAdminAccount
権限を持つ潜在的な攻撃者は、現在の Firewall Manager 管理者アカウントの関連付けを削除することができます。
Firewall Manager のデフォルト管理者の非関連付けは、先入れ先出しポリシーに従います。すべての Firewall Manager 管理者は、Firewall Manager のデフォルト管理者がアカウントを非関連付ける前に非関連付けを行う必要があります。
PutAdminAccount によって Firewall Manager 管理者を作成するには、アカウントは以前に AssociateAdminAccount を使用して Firewall Manager にオンボードされた組織に属している必要があります。
Firewall Manager 管理者アカウントの作成は、組織の管理アカウントによってのみ行うことができます。
潜在的な影響: 中央管理の喪失、ポリシーの回避、コンプライアンス違反、および環境内のセキュリティ制御の中断。
fms:PutPolicy
, fms:DeletePolicy
fms:PutPolicy
、fms:DeletePolicy
の権限を持つ攻撃者は、AWS Firewall Managerポリシーを作成、変更、または永久に削除することができます。
許可されたセキュリティグループを通じて許可されたポリシーの例は、検出を回避するために次のようになります:
潜在的な影響: セキュリティコントロールの解体、ポリシーの回避、コンプライアンス違反、運用の中断、及び環境内での潜在的なデータ漏洩。
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
fms:BatchAssociateResource
および fms:BatchDisassociateResource
権限を持つ攻撃者は、それぞれファイアウォールマネージャーのリソースセットからリソースを関連付けたり、関連付けを解除したりすることができます。さらに、fms:PutResourceSet
および fms:DeleteResourceSet
権限により、攻撃者はAWS Firewall Managerからこれらのリソースセットを作成、変更、または削除することが可能になります。
潜在的な影響: リソースセットに不必要なアイテムを追加すると、サービス内のノイズレベルが増加し、DoSを引き起こす可能性があります。さらに、リソースセットの変更は、リソースの中断、ポリシーの回避、コンプライアンス違反、環境内のセキュリティ制御の中断を引き起こす可能性があります。
fms:PutAppsList
, fms:DeleteAppsList
fms:PutAppsList
および fms:DeleteAppsList
権限を持つ攻撃者は、AWS Firewall Managerからアプリケーションリストを作成、変更、または削除することができます。これは重要であり、無許可のアプリケーションが一般公開される可能性がある一方で、許可されたアプリケーションへのアクセスが拒否され、DoSを引き起こす可能性があります。
潜在的な影響: これにより、誤設定、ポリシー回避、コンプライアンス違反、環境内のセキュリティ制御の中断が発生する可能性があります。
fms:PutProtocolsList
, fms:DeleteProtocolsList
fms:PutProtocolsList
および fms:DeleteProtocolsList
権限を持つ攻撃者は、AWS Firewall Managerからプロトコルリストを作成、変更、または削除することができます。アプリケーションリストと同様に、これは重要である可能性があります。なぜなら、無許可のプロトコルが一般の人々によって使用される可能性があるか、または許可されたプロトコルの使用が拒否され、DoSを引き起こす可能性があるからです。
潜在的な影響: これにより、設定ミス、ポリシー回避、コンプライアンス違反、環境内のセキュリティコントロールの中断が発生する可能性があります。
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
fms:PutNotificationChannel
および fms:DeleteNotificationChannel
の権限を持つ攻撃者は、Firewall ManagerがSNSログを記録するために使用するIAMロールとAmazon Simple Notification Service (SNS)トピックを削除および指定することができます。
fms:PutNotificationChannel
をコンソールの外で使用するには、指定された SnsRoleName がSNSログを公開できるようにSNSトピックのアクセスポリシーを設定する必要があります。提供された SnsRoleName が AWSServiceRoleForFMS
以外のロールである場合、Firewall Managerサービスプリンシパル fms.amazonaws.com がこのロールを引き受けることを許可するために信頼関係を設定する必要があります。
SNSアクセスポリシーの設定に関する情報は次のとおりです:
潜在的な影響: これは、セキュリティアラートの見逃し、インシデント対応の遅延、データ漏洩の可能性、環境内での運用の混乱を引き起こす可能性があります。
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
fms:AssociateThirdPartyFirewall
、fms:DisssociateThirdPartyFirewall
の権限を持つ攻撃者は、AWS Firewall Managerを通じて中央管理されるサードパーティファイアウォールを関連付けたり、関連付けを解除したりすることができます。
デフォルトの管理者のみがサードパーティファイアウォールを作成および管理できます。
潜在的な影響: 切断はポリシーの回避、コンプライアンス違反、環境内のセキュリティコントロールの混乱を引き起こすことになります。一方、関連付けはコストと予算の配分の混乱を引き起こすことになります。
fms:TagResource
, fms:UntagResource
攻撃者はFirewall Managerリソースからタグを追加、変更、または削除することができ、組織のコスト配分、リソース追跡、およびタグに基づくアクセス制御ポリシーを混乱させることになります。
潜在的影響: コスト配分、リソース追跡、およびタグベースのアクセス制御ポリシーの混乱。
AWSハッキングを学び、練習する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する: HackTricks Training GCP Red Team Expert (GRTE)