Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager upraszcza zarządzanie i utrzymanie AWS WAF, AWS Shield Advanced, grup bezpieczeństwa Amazon VPC oraz list kontroli dostępu do sieci (ACL), a także AWS Network Firewall, AWS Route 53 Resolver DNS Firewall i zapory stron trzecich w wielu kontach i zasobach. Umożliwia skonfigurowanie reguł zapory, ochrony Shield Advanced, grup bezpieczeństwa VPC i ustawień Network Firewall tylko raz, a usługa automatycznie egzekwuje te reguły i ochrony w Twoich kontach i zasobach, w tym nowo dodanych.
Usługa oferuje możliwość grupowania i zabezpieczania konkretnych zasobów, takich jak te, które mają wspólny tag lub wszystkie Twoje dystrybucje CloudFront. Znaczną zaletą Firewall Managera jest jego zdolność do automatycznego rozszerzania ochrony na nowo dodane zasoby w Twoim koncie.
Grupa reguł (zbiór reguł WAF) może być włączona do Polityki AWS Firewall Manager, która jest następnie powiązana z konkretnymi zasobami AWS, takimi jak dystrybucje CloudFront lub load balancery aplikacji.
AWS Firewall Manager zapewnia zarządzane listy aplikacji i protokołów, aby uprościć konfigurację i zarządzanie politykami grup bezpieczeństwa. Te listy pozwalają zdefiniować protokoły i aplikacje dozwolone lub zabronione przez Twoje polityki. Istnieją dwa rodzaje zarządzanych list:
Zarządzane listy Firewall Manager: Te listy obejmują FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed i FMS-Default-Protocols-Allowed. Są zarządzane przez Firewall Manager i obejmują powszechnie używane aplikacje i protokoły, które powinny być dozwolone lub zabronione dla ogółu społeczeństwa. Nie można ich edytować ani usuwać, jednak można wybrać ich wersję.
Zarządzane listy niestandardowe: Te listy zarządzasz samodzielnie. Możesz tworzyć niestandardowe listy aplikacji i protokołów dostosowane do potrzeb Twojej organizacji. W przeciwieństwie do zarządzanych list Firewall Manager, te listy nie mają wersji, ale masz pełną kontrolę nad niestandardowymi listami, co pozwala na ich tworzenie, edytowanie i usuwanie w razie potrzeby.
Ważne jest, aby zauważyć, że polityki Firewall Manager zezwalają tylko na działania "Block" lub "Count" dla grupy reguł, bez opcji "Allow".
Następujące kroki wstępne muszą być zakończone przed przystąpieniem do konfiguracji Firewall Manager, aby skutecznie chronić zasoby Twojej organizacji. Kroki te zapewniają podstawową konfigurację wymaganą do egzekwowania polityk bezpieczeństwa przez Firewall Manager i zapewnienia zgodności w Twoim środowisku AWS:
Dołącz i skonfiguruj AWS Organizations: Upewnij się, że Twoje konto AWS jest częścią organizacji AWS Organizations, w której planowane jest wdrożenie polityk AWS Firewall Manager. Umożliwia to centralne zarządzanie zasobami i politykami w wielu kontach AWS w ramach organizacji.
Utwórz domyślne konto administratora AWS Firewall Manager: Ustanów domyślne konto administratora specjalnie do zarządzania politykami bezpieczeństwa Firewall Manager. To konto będzie odpowiedzialne za konfigurowanie i egzekwowanie polityk bezpieczeństwa w całej organizacji. Tylko konto zarządzające organizacją może tworzyć domyślne konta administratora Firewall Manager.
Włącz AWS Config: Aktywuj AWS Config, aby dostarczyć Firewall Managerowi niezbędne dane konfiguracyjne i informacje wymagane do skutecznego egzekwowania polityk bezpieczeństwa. AWS Config pomaga analizować, audytować, monitorować i kontrolować konfiguracje zasobów oraz zmiany, co ułatwia lepsze zarządzanie bezpieczeństwem.
Dla polityk stron trzecich, subskrybuj w AWS Marketplace i skonfiguruj ustawienia stron trzecich: Jeśli planujesz korzystać z polityk zapory stron trzecich, subskrybuj je w AWS Marketplace i skonfiguruj niezbędne ustawienia. Ten krok zapewnia, że Firewall Manager może integrować i egzekwować polityki od zaufanych dostawców stron trzecich.
Dla polityk Network Firewall i DNS Firewall, włącz udostępnianie zasobów: Włącz udostępnianie zasobów specjalnie dla polityk Network Firewall i DNS Firewall. Umożliwia to Firewall Managerowi stosowanie ochrony zapory do VPC Twojej organizacji i rozwiązywania DNS, co zwiększa bezpieczeństwo sieci.
Aby używać AWS Firewall Manager w regionach, które są domyślnie wyłączone: Jeśli zamierzasz używać Firewall Manager w regionach AWS, które są domyślnie wyłączone, upewnij się, że podejmujesz niezbędne kroki, aby włączyć jego funkcjonalność w tych regionach. Zapewnia to spójną egzekucję bezpieczeństwa we wszystkich regionach, w których działa Twoja organizacja.
Aby uzyskać więcej informacji, sprawdź: Getting started with AWS Firewall Manager AWS WAF policies.
AWS Firewall Manager zarządza kilkoma rodzajami polityk w celu egzekwowania kontroli bezpieczeństwa w różnych aspektach infrastruktury Twojej organizacji:
Polityka AWS WAF: Ten typ polityki obsługuje zarówno AWS WAF, jak i AWS WAF Classic. Możesz zdefiniować, które zasoby są chronione przez politykę. Dla polityk AWS WAF możesz określić zestawy grup reguł, które mają być uruchamiane jako pierwsze i ostatnie w web ACL. Dodatkowo, właściciele kont mogą dodawać reguły i grupy reguł do uruchomienia pomiędzy tymi zestawami.
Polityka Shield Advanced: Ta polityka stosuje ochrony Shield Advanced w całej Twojej organizacji dla określonych typów zasobów. Pomaga chronić przed atakami DDoS i innymi zagrożeniami.
Polityka grup bezpieczeństwa Amazon VPC: Dzięki tej polityce możesz zarządzać grupami bezpieczeństwa używanymi w całej Twojej organizacji, egzekwując podstawowy zestaw reguł w całym środowisku AWS w celu kontrolowania dostępu do sieci.
Polityka listy kontroli dostępu do sieci (ACL) Amazon VPC: Ten typ polityki daje Ci kontrolę nad listami ACL używanymi w Twojej organizacji, pozwalając na egzekwowanie podstawowego zestawu list ACL w całym środowisku AWS.
Polityka Network Firewall: Ta polityka stosuje ochronę AWS Network Firewall do VPC Twojej organizacji, zwiększając bezpieczeństwo sieci poprzez filtrowanie ruchu na podstawie zdefiniowanych reguł.
Polityka Amazon Route 53 Resolver DNS Firewall: Ta polityka stosuje ochrony DNS Firewall do VPC Twojej organizacji, pomagając blokować złośliwe próby rozwiązywania domen i egzekwować polityki bezpieczeństwa dla ruchu DNS.
Polityka zapory stron trzecich: Ten typ polityki stosuje ochrony z zapór stron trzecich, które są dostępne na subskrypcję przez konsolę AWS Marketplace. Umożliwia to integrację dodatkowych środków bezpieczeństwa od zaufanych dostawców w Twoim środowisku AWS.
Polityka Palo Alto Networks Cloud NGFW: Ta polityka stosuje ochrony i zestawy reguł Palo Alto Networks Cloud Next Generation Firewall (NGFW) do VPC Twojej organizacji, zapewniając zaawansowaną ochronę przed zagrożeniami i kontrolę bezpieczeństwa na poziomie aplikacji.
Polityka Fortigate Cloud Native Firewall (CNF) as a Service: Ta polityka stosuje ochrony Fortigate Cloud Native Firewall (CNF) as a Service, oferując wiodącą w branży ochronę przed zagrożeniami, zaporę aplikacji internetowych (WAF) i ochronę API dostosowaną do infrastruktury chmurowej.
AWS Firewall Manager oferuje elastyczność w zarządzaniu zasobami zapory w Twojej organizacji poprzez swój zakres administracyjny i dwa typy kont administratorów.
Zakres administracyjny definiuje zasoby, którymi administrator Firewall Managera może zarządzać. Po tym, jak konto zarządzające AWS Organizations wprowadzi organizację do Firewall Manager, może tworzyć dodatkowych administratorów z różnymi zakresami administracyjnymi. Te zakresy mogą obejmować:
Konta lub jednostki organizacyjne (OU), do których administrator może stosować polityki.
Regiony, w których administrator może podejmować działania.
Typy polityk Firewall Manager, którymi administrator może zarządzać.
Zakres administracyjny może być pełny lub ograniczony. Pełny zakres przyznaje administratorowi dostęp do wszystkich określonych typów zasobów, regionów i typów polityk. W przeciwieństwie do tego, ograniczony zakres zapewnia uprawnienia administracyjne tylko do podzbioru zasobów, regionów lub typów polityk. Zaleca się przyznawanie administratorom tylko tych uprawnień, które są im potrzebne do skutecznego wypełniania ich ról. Możesz zastosować dowolną kombinację tych warunków zakresu administracyjnego do administratora, zapewniając przestrzeganie zasady najmniejszych uprawnień.
Istnieją dwa odrębne typy kont administratorów, z których każde pełni określone role i odpowiedzialności:
Domyślny administrator:
Domyślne konto administratora jest tworzone przez konto zarządzające organizacją AWS Organizations podczas procesu wprowadzania do Firewall Manager.
To konto ma możliwość zarządzania zaporami stron trzecich i posiada pełny zakres administracyjny.
Służy jako główne konto administratora dla Firewall Manager, odpowiedzialne za konfigurowanie i egzekwowanie polityk bezpieczeństwa w całej organizacji.
Chociaż domyślny administrator ma pełny dostęp do wszystkich typów zasobów i funkcji administracyjnych, działa na tym samym poziomie co inni administratorzy, jeśli w organizacji korzysta się z wielu administratorów.
Administratorzy Firewall Manager:
Ci administratorzy mogą zarządzać zasobami w zakresie określonym przez konto zarządzające AWS Organizations, zgodnie z konfiguracją zakresu administracyjnego.
Administratorzy Firewall Manager są tworzeni w celu wypełnienia określonych ról w organizacji, co pozwala na delegowanie odpowiedzialności przy jednoczesnym zachowaniu standardów bezpieczeństwa i zgodności.
Po utworzeniu Firewall Manager sprawdza z AWS Organizations, czy konto jest już delegowanym administratorem. Jeśli nie, Firewall Manager wywołuje Organizations, aby wyznaczyć konto jako delegowanego administratora dla Firewall Manager.
Zarządzanie tymi kontami administratorów polega na ich tworzeniu w Firewall Manager i definiowaniu ich zakresów administracyjnych zgodnie z wymaganiami bezpieczeństwa organizacji oraz zasadą najmniejszych uprawnień. Przez przypisanie odpowiednich ról administracyjnych organizacje mogą zapewnić skuteczne zarządzanie bezpieczeństwem, jednocześnie zachowując szczegółową kontrolę nad dostępem do wrażliwych zasobów.
Ważne jest, aby podkreślić, że tylko jedno konto w organizacji może pełnić rolę domyślnego administratora Firewall Manager, przestrzegając zasady "pierwszy wchodzi, ostatni wychodzi". Aby wyznaczyć nowego domyślnego administratora, należy wykonać szereg kroków:
Najpierw każde konto administratora Firewall musi cofnąć swoje własne konto.
Następnie istniejący domyślny administrator może cofnąć swoje własne konto, skutecznie wycofując organizację z Firewall Manager. Proces ten skutkuje usunięciem wszystkich polityk Firewall Manager stworzonych przez cofnięte konto.
Na koniec konto zarządzające AWS Organizations musi wyznaczyć domyślnego administratora Firewall Manager.
organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)Napastnik z uprawnieniem fms:AssociateAdminAccount mógłby ustawić domyślne konto administratora Firewall Manager. Z uprawnieniem fms:PutAdminAccount, napastnik mógłby utworzyć lub zaktualizować konto administratora Firewall Manager, a z uprawnieniem fms:DisassociateAdminAccount, potencjalny napastnik mógłby usunąć aktualne powiązanie konta administratora Firewall Manager.
Rozłączenie domyślnego administratora Firewall Managera podlega zasadzie pierwsze wchodzi, ostatnie wychodzi. Wszyscy administratorzy Firewall Manager muszą się rozłączyć, zanim domyślny administrator Firewall Managera będzie mógł rozłączyć konto.
Aby utworzyć administratora Firewall Managera za pomocą PutAdminAccount, konto musi należeć do organizacji, która wcześniej została wprowadzona do Firewall Managera za pomocą AssociateAdminAccount.
Utworzenie konta administratora Firewall Managera może być dokonane tylko przez konto zarządzające organizacją.
Potencjalny wpływ: Utrata centralnego zarządzania, unikanie polityki, naruszenia zgodności oraz zakłócenie kontroli bezpieczeństwa w środowisku.
fms:PutPolicy, fms:DeletePolicyAtakujący z uprawnieniami fms:PutPolicy, fms:DeletePolicy mógłby tworzyć, modyfikować lub trwale usuwać politykę AWS Firewall Manager.
Przykład polityki o dużej swobodzie poprzez grupę zabezpieczeń o dużej swobodzie, w celu obejścia wykrywania, może być następujący:
Potencjalny wpływ: Demontaż kontroli bezpieczeństwa, unikanie polityki, naruszenia zgodności, zakłócenia operacyjne oraz potencjalne naruszenia danych w środowisku.
fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSetAtakujący z uprawnieniami fms:BatchAssociateResource i fms:BatchDisassociateResource byłby w stanie odpowiednio powiązać lub odłączyć zasoby od zestawu zasobów Firewall Managera. Dodatkowo, uprawnienia fms:PutResourceSet i fms:DeleteResourceSet pozwoliłyby atakującemu na tworzenie, modyfikowanie lub usuwanie tych zestawów zasobów z AWS Firewall Manager.
Potencjalny wpływ: Dodanie niepotrzebnej ilości elementów do zestawu zasobów zwiększy poziom hałasu w usłudze, co może spowodować DoS. Dodatkowo, zmiany w zestawach zasobów mogą prowadzić do zakłóceń w zasobach, omijania polityk, naruszeń zgodności oraz zakłóceń w kontrolach bezpieczeństwa w środowisku.
fms:PutAppsList, fms:DeleteAppsListAtakujący z uprawnieniami fms:PutAppsList i fms:DeleteAppsList mógłby tworzyć, modyfikować lub usuwać listy aplikacji z AWS Firewall Manager. Może to być krytyczne, ponieważ nieautoryzowane aplikacje mogłyby uzyskać dostęp do ogółu społeczeństwa, lub dostęp do autoryzowanych aplikacji mógłby być zablokowany, co powodowałoby DoS.
Potencjalny wpływ: Może to prowadzić do błędnych konfiguracji, omijania polityk, naruszeń zgodności oraz zakłóceń w kontrolach bezpieczeństwa w środowisku.
fms:PutProtocolsList, fms:DeleteProtocolsListAtakujący z uprawnieniami fms:PutProtocolsList i fms:DeleteProtocolsList mógłby tworzyć, modyfikować lub usuwać listy protokołów z AWS Firewall Manager. Podobnie jak w przypadku list aplikacji, może to być krytyczne, ponieważ nieautoryzowane protokoły mogłyby być używane przez ogół społeczeństwa, lub użycie autoryzowanych protokołów mogłoby być zablokowane, co spowodowałoby DoS.
Potencjalny wpływ: Może to prowadzić do błędnych konfiguracji, unikania polityki, naruszeń zgodności oraz zakłócenia kontroli bezpieczeństwa w środowisku.
fms:PutNotificationChannel, fms:DeleteNotificationChannelAtakujący z uprawnieniami fms:PutNotificationChannel i fms:DeleteNotificationChannel mógłby usunąć i wyznaczyć rolę IAM oraz temat Amazon Simple Notification Service (SNS), które Firewall Manager wykorzystuje do rejestrowania logów SNS.
Aby użyć fms:PutNotificationChannel poza konsolą, musisz skonfigurować politykę dostępu do tematu SNS, pozwalając określonemu SnsRoleName na publikowanie logów SNS. Jeśli podane SnsRoleName jest rolą inną niż AWSServiceRoleForFMS, wymaga to skonfigurowania relacji zaufania, aby umożliwić głównemu podmiotowi usługi Firewall Manager fms.amazonaws.com przyjęcie tej roli.
Aby uzyskać informacje na temat konfigurowania polityki dostępu do SNS:
Potencjalny wpływ: Może to prowadzić do pominięcia alertów bezpieczeństwa, opóźnionej reakcji na incydenty, potencjalnych naruszeń danych oraz zakłóceń operacyjnych w środowisku.
fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewallAtakujący z uprawnieniami fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall mógłby powiązać lub rozwiązać powiązanie zapór stron trzecich, które są zarządzane centralnie przez AWS Firewall Manager.
Tylko domyślny administrator może tworzyć i zarządzać zaporami stron trzecich.
Potencjalny wpływ: Rozłączenie prowadziłoby do unikania polityki, naruszeń zgodności oraz zakłócenia kontroli bezpieczeństwa w środowisku. Z kolei powiązanie prowadziłoby do zakłócenia alokacji kosztów i budżetu.
fms:TagResource, fms:UntagResourceNapastnik mógłby dodać, zmodyfikować lub usunąć tagi z zasobów Firewall Manager, zakłócając alokację kosztów, śledzenie zasobów oraz polityki kontroli dostępu oparte na tagach.
Potencjalny wpływ: Zakłócenie alokacji kosztów, śledzenia zasobów i polityk kontroli dostępu opartych na tagach.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
