AWS - Firewall Manager Enum
Firewall Menadžer
AWS Firewall Menadžer olakšava upravljanje i održavanje AWS WAF, AWS Shield Advanced, Amazon VPC sigurnosnim grupama i listama kontrola pristupa mreži (ACLs), AWS Network Firewall-om, AWS Route 53 Resolver DNS Firewall-om i firewall-ovima trećih strana preko više naloga i resursa. Omogućava vam da konfigurišete pravila vašeg firewall-a, Shield Advanced zaštite, VPC sigurnosne grupe i postavke Network Firewall-a samo jednom, sa uslugom koja automatski sprovodi ova pravila i zaštite preko vaših naloga i resursa, uključujući i novo dodate.
Usluga nudi mogućnost da grupiše i zaštiti određene resurse zajedno, poput onih koji dele zajedničku oznaku ili sve vaše CloudFront distribucije. Značajna prednost Firewall Menadžera je njegova sposobnost da automatski proširi zaštitu na novo dodate resurse u vašem nalogu.
Grupa pravila (kolekcija WAF pravila) može biti uključena u AWS Firewall Menadžer Politiku, koja je zatim povezana sa određenim AWS resursima kao što su CloudFront distribucije ili balanseri opterećenja aplikacija.
AWS Firewall Menadžer pruža upravljane liste aplikacija i protokola kako bi pojednostavio konfiguraciju i upravljanje sigurnosnim grupnim pravilima. Ove liste vam omogućavaju da definišete protokole i aplikacije koje su dozvoljene ili zabranjene od strane vaših pravila. Postoje dva tipa upravljanih lista:
Firewall Menadžer upravljane liste: Ove liste uključuju FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed i FMS-Default-Protocols-Allowed. One su upravljane od strane Firewall Menadžera i uključuju često korišćene aplikacije i protokole koji bi trebalo da budu dozvoljeni ili zabranjeni široj javnosti. Nije moguće uređivati ili brisati ih, međutim, možete izabrati njihovu verziju.
Upravljane liste po meri: Vi upravljate ovim listama sami. Možete kreirati liste aplikacija i protokola prilagođene potrebama vaše organizacije. Za razliku od Firewall Menadžer upravljanih lista, ove liste nemaju verzije, ali imate potpunu kontrolu nad listama po meri, što vam omogućava da ih kreirate, uređujete i brišete po potrebi.
Važno je napomenuti da Firewall Menadžer politike dozvoljavaju samo akcije "Blokiraj" ili "Broj" za grupu pravila, bez opcije "Dozvoli".
Preduslovi
Sledeći preduslovni koraci moraju biti završeni pre nego što nastavite sa konfigurisanjem Firewall Menadžera kako biste efikasno zaštitili resurse vaše organizacije. Ovi koraci obezbeđuju osnovnu postavku potrebnu za Firewall Menadžer kako bi sproveo sigurnosne politike i osigurao usklađenost širom vašeg AWS okruženja:
Pridružite se i konfigurišite AWS Organizacije: Proverite da li je vaš AWS nalog deo AWS Organizacija organizacije gde su planirane AWS Firewall Menadžer politike. Ovo omogućava centralizovano upravljanje resursima i politikama preko više AWS naloga unutar organizacije.
Kreirajte podrazumevani administratorski nalog AWS Firewall Menadžera: Uspostavite podrazumevani administratorski nalog posebno za upravljanje sigurnosnim politikama Firewall Menadžera. Ovaj nalog će biti odgovoran za konfigurisanje i sprovođenje sigurnosnih politika širom organizacije. Samo upravljački nalog organizacije može kreirati podrazumevane administratorske naloge Firewall Menadžera.
Omogućite AWS Config: Aktivirajte AWS Config kako biste Firewall Menadžeru obezbedili potrebne podatke o konfiguraciji i uvide potrebne za efikasno sprovođenje sigurnosnih politika. AWS Config pomaže u analizi, reviziji, praćenju i reviziji konfiguracija resursa i promena, olakšavajući bolje upravljanje sigurnošću.
Za politike trećih strana, Pretplatite se na AWS Marketplace i Konfigurišite Postavke Trećih Strana: Ako planirate da koristite politike trećih strana, pretplatite se na njih na AWS Marketplace-u i konfigurišite neophodne postavke. Ovaj korak osigurava da Firewall Menadžer može integrisati i sprovoditi politike od pouzdanih dobavljača trećih strana.
Za politike Network Firewall-a i DNS Firewall-a, omogućite deljenje resursa: Omogućite deljenje resursa posebno za politike Network Firewall-a i DNS Firewall-a. Ovo omogućava Firewall Menadžeru da primeni firewall zaštite na VPC-ove vaše organizacije i DNS rezoluciju, poboljšavajući sigurnost mreže.
Da biste koristili AWS Firewall Menadžer u regionima koji su podrazumevano onemogućeni: Ako nameravate da koristite Firewall Menadžer u AWS regionima koji su podrazumevano onemogućeni, pobrinite se da preduzmete neophodne korake da omogućite njegovu funkcionalnost u tim regionima. Ovo osigurava dosledno sprovođenje sigurnosti širom svih regiona gde vaša organizacija posluje.
Za više informacija, proverite: Početak rada sa AWS Firewall Menadžer AWS WAF politikama.
Vrste politika zaštite
AWS Firewall Menadžer upravlja nekoliko vrsta politika kako bi sproveo sigurnosne kontrole širom različitih aspekata infrastrukture vaše organizacije:
AWS WAF Politika: Ovaj tip politike podržava kako AWS WAF tako i AWS WAF Classic. Možete definisati koje resurse štiti politika. Za AWS WAF politike, možete specificirati setove grupa pravila koje će se izvršavati prvo i poslednje u web ACL-u. Dodatno, vlasnici naloga mogu dodati pravila i grupe pravila koje će se izvršavati između ovih setova.
Shield Advanced Politika: Ova politika primenjuje Shield Advanced zaštite širom vaše organizacije za određene tipove resursa. Pomaže u zaštiti od DDoS napada i drugih pretnji.
Amazon VPC Sigurnosna Grupa Politika: Sa ovom politikom, možete upravljati sigurnosnim grupama korišćenim širom vaše organizacije, sprovodeći osnovni set pravila širom vašeg AWS okruženja kako biste kontrolisali pristup mreži.
Amazon VPC Lista Kontrola Pristupa Mreži (ACL) Politika: Ovaj tip politike vam daje kontrolu nad listama kontrola pristupa mreži korišćenim u vašoj organizaciji, omogućavajući vam da sprovedete osnovni set lista kontrola pristupa mreži širom vašeg AWS okruženja.
Network Firewall Politika: Ova politika primenjuje AWS Network Firewall zaštitu na VPC-ove vaše organizacije, poboljšavajući sigurnost mreže filtriranjem saobraćaja na osnovu unapred definisanih pravila.
Amazon Route 53 Resolver DNS Firewall Politika: Ova politika primenjuje DNS Firewall zaštite na VPC-ove vaše organizacije, pomažući u blokiranju pokušaja zlonamernog rešavanja domena i sprovođenju sigurnosnih politika za DNS saobraćaj.
Politika Firewall-a Trećih Strana: Ovaj tip politike primenjuje zaštite od firewall-a trećih strana, koje su dostupne putem pretplate preko AWS Marketplace konzole. Omogućava vam da integrišete dodatne sigurnosne mere od pouzdanih dobavljača u vaše AWS okruženje.
Palo Alto Networks Cloud NGFW Politika: Ova politika primenjuje Palo Alto Networks Cloud Next Generation Firewall (NGFW) zaštite i rulestacks na VPC-ove vaše organizacije, pružajući naprednu prevenciju pretnji i kontrole sigurnosti na nivou aplikacije.
Fortigate Cloud Native Firewall (CNF) as a Service Politika: Ova politika primenjuje Fortigate Cloud Native Firewall (CNF) as a Service zaštite, nudeći vodeću zaštitu od pretnji, web aplikacioni firewall (WAF) i zaštitu API-ja prilagođenu za cloud infrastrukture.
Administratorski nalozi
AWS Firewall Manager nudi fleksibilnost u upravljanju resursima zaštitnog zida unutar vaše organizacije putem svog administrativnog opsega i dva tipa administratorskih naloga.
Administrativni opseg definiše resurse koje Firewall Manager administrator može upravljati. Nakon što AWS Organizations upravljački nalog uključi organizaciju u Firewall Manager, može kreirati dodatne administratore sa različitim administrativnim opsezima. Ti opsezi mogu uključivati:
Naloge ili organizacione jedinice (OJ) na koje administrator može primeniti politike.
Regioni u kojima administrator može izvršavati akcije.
Tipovi politika Firewall Manager-a koje administrator može upravljati.
Administrativni opseg može biti ili potpun ili ograničen. Potpuni opseg daje administratoru pristup svim navedenim tipovima resursa, regionima i tipovima politika. Nasuprot tome, ograničeni opseg pruža administrativnu dozvolu samo za podskup resursa, regiona ili tipova politika. Preporučljivo je dodeliti administratorima samo dozvole koje su im potrebne da bi efikasno obavljali svoje uloge. Možete primeniti bilo koju kombinaciju ovih uslova administrativnog opsega administratoru, osiguravajući poštovanje principa najmanjih privilegija.
Postoje dva različita tipa administratorskih naloga, svaki obavljajući specifične uloge i odgovornosti:
Podrazumevani administrator:
Podrazumevani administratorski nalog kreira AWS Organizations upravljački nalog organizacije tokom procesa uključivanja u Firewall Manager.
Ovaj nalog ima mogućnost upravljanja spoljnim zaštitnim zidovima i poseduje potpuni administrativni opseg.
Služi kao primarni administratorski nalog za Firewall Manager, odgovoran za konfigurisanje i sprovođenje sigurnosnih politika širom organizacije.
Iako podrazumevani administrator ima pun pristup svim tipovima resursa i administrativnim funkcijama, funkcioniše na istom nivou kao i drugi administratori ako se koristi više administratora unutar organizacije.
Administratori Firewall Manager-a:
Ovi administratori mogu upravljati resursima unutar opsega određenog od strane AWS Organizations upravljačkog naloga, kako je definisano konfiguracijom administrativnog opsega.
Administratori Firewall Manager-a se kreiraju da bi obavljali specifične uloge unutar organizacije, omogućavajući delegiranje odgovornosti dok se održavaju sigurnosni i usklađenost standardi.
Prilikom kreiranja, Firewall Manager proverava sa AWS Organizations da bi utvrdio da li je nalog već delegirani administrator. Ako nije, Firewall Manager poziva Organizations da odredi nalog kao delegiranog administratora za Firewall Manager.
Upravljanje ovim administratorskim nalozima uključuje njihovo kreiranje unutar Firewall Manager-a i definisanje njihovih administrativnih opsega prema sigurnosnim zahtevima organizacije i principu najmanjih privilegija. Dodelom odgovarajućih administratorskih uloga, organizacije mogu osigurati efikasno upravljanje sigurnošću dok održavaju granularnu kontrolu nad pristupom osetljivim resursima.
Važno je istaći da samo jedan nalog unutar organizacije može služiti kao podrazumevani administrator Firewall Manager-a, pridržavajući se principa "prvi unutra, poslednji napolje". Da bi se odredio novi podrazumevani administrator, mora se pratiti serija koraka:
Prvo, svaki Firewall Administrator administratorski nalog mora opozvati svoj nalog.
Zatim, postojeći podrazumevani administrator može opozvati svoj nalog, efikasno isključujući organizaciju iz Firewall Manager-a. Ovaj proces rezultira brisanjem svih Firewall Manager politika kreiranih od strane opozvanog naloga.
Da bi se završilo, AWS Organizations upravljački nalog mora odrediti podrazumevanog administratora Firewall Manager-a.
Enumeracija
Post Eksploatacija / Zaobilaženje Detekcije
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Napadač sa dozvolom fms:AssociateAdminAccount
bio bi u mogućnosti da postavi podrazumevani administratorski nalog Firewall Manager-a. Sa dozvolom fms:PutAdminAccount
, napadač bi bio u mogućnosti da kreira ili ažurira administratorski nalog Firewall Manager-a, a sa dozvolom fms:DisassociateAdminAccount
, potencijalni napadač bi mogao ukloniti trenutnu asocijaciju administratorskog naloga Firewall Manager-a.
Razdvajanje podrazumevanog administratora Firewall Manager-a prati politiku "prvi unutra, poslednji napolje". Svi administratori Firewall Manager-a moraju biti razdvojeni pre nego što podrazumevani administrator Firewall Manager-a može razdvojiti nalog.
Da bi se kreirao administratorski nalog Firewall Manager-a pomoću PutAdminAccount, nalog mora pripadati organizaciji koja je prethodno uključena u Firewall Manager korišćenjem AssociateAdminAccount.
Kreiranje administratorskog naloga Firewall Manager-a može obaviti samo upravljački nalog organizacije.
Potencijalni uticaj: Gubitak centralizovanog upravljanja, izbegavanje pravila, kršenje usaglašenosti i narušavanje sigurnosnih kontrola unutar okruženja.
fms:PutPolicy
, fms:DeletePolicy
fms:PutPolicy
, fms:DeletePolicy
Napadač sa dozvolama fms:PutPolicy
, fms:DeletePolicy
bio bi u mogućnosti da kreira, modifikuje ili trajno obriše AWS Firewall Manager pravilo.
Primer dozvoljene politike kroz dozvolnu sigurnosnu grupu, kako bi se izbeglo otkrivanje, mogao bi biti sledeći:
Potencijalni uticaj: Rasklapanje sigurnosnih kontrola, izbegavanje pravila, kršenje usaglašenosti, operativne smetnje i potencijalno curenje podataka unutar okruženja.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Napadač sa dozvolama fms:BatchAssociateResource
i fms:BatchDisassociateResource
bio bi u mogućnosti da poveže ili razdvoji resurse iz skupa resursa Firewall Manager-a, respektivno. Pored toga, dozvole fms:PutResourceSet
i fms:DeleteResourceSet
omogućile bi napadaču da kreira, modifikuje ili obriše ove skupove resursa iz AWS Firewall Manager-a.
Potencijalni uticaj: Dodavanje nepotrebnog broja stavki u skup resursa povećaće nivo buke u Servisu, potencijalno izazivajući DoS. Pored toga, promene u skupovima resursa mogu dovesti do poremećaja resursa, izbegavanja politika, kršenja usaglašenosti i poremećaja sigurnosnih kontrola unutar okruženja.
fms:PutAppsList
, fms:DeleteAppsList
fms:PutAppsList
, fms:DeleteAppsList
Napadač sa dozvolama fms:PutAppsList
i fms:DeleteAppsList
bio bi u mogućnosti da kreira, modifikuje ili obriše liste aplikacija iz AWS Firewall Manager-a. Ovo može biti kritično, jer neovlašćene aplikacije mogu dobiti pristup opštoj javnosti, ili pristup ovlašćenim aplikacijama može biti uskraćen, izazivajući DoS.
Potencijalni uticaj: Ovo bi moglo rezultirati neispravnim konfiguracijama, izbegavanjem pravila, kršenjem usaglašenosti i narušavanjem sigurnosnih kontrola unutar okruženja.
fms:PutProtocolsList
, fms:DeleteProtocolsList
fms:PutProtocolsList
, fms:DeleteProtocolsList
Napadač sa dozvolama fms:PutProtocolsList
i fms:DeleteProtocolsList
bio bi u mogućnosti da kreira, modifikuje ili obriše liste protokola iz AWS Firewall Manager-a. Slično kao sa listama aplikacija, ovo bi moglo biti kritično jer neovlašćeni protokoli mogu biti korišćeni od strane opšte javnosti, ili korišćenje odobrenih protokola može biti odbijeno, uzrokujući DoS.
Potencijalni uticaj: Ovo bi moglo rezultirati nepravilnim konfiguracijama, izbegavanjem pravila, kršenjem usaglašenosti i narušavanjem sigurnosnih kontrola unutar okruženja.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Napadač sa dozvolama fms:PutNotificationChannel
i fms:DeleteNotificationChannel
bio bi u mogućnosti da obriše i odredi IAM ulogu i Amazon Simple Notification Service (SNS) temu koju Firewall Manager koristi za beleženje SNS zapisa.
Da biste koristili fms:PutNotificationChannel
van konzole, potrebno je postaviti pristupnu politiku teme SNS, omogućavajući određenoj SnsRoleName da objavljuje SNS zapise. Ako je pruženi SnsRoleName uloga koja nije AWSServiceRoleForFMS
, potrebno je konfigurisati poverenički odnos koji dozvoljava Firewall Manager servisnom principalu fms.amazonaws.com da preuzme ovu ulogu.
Za informacije o konfigurisanju pristupne politike SNS:
Potencijalni uticaj: Ovo bi potencijalno moglo dovesti do propuštanja sigurnosnih upozorenja, odloženog odgovora na incidente, potencijalnih povreda podataka i operativnih poremećaja unutar okruženja.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Napadač sa dozvolama fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
bio bi u mogućnosti da poveže ili razdvoji treće strane vatrozide koji se upravljaju centralno putem AWS Firewall Manager-a.
Samo podrazumevani administrator može kreirati i upravljati trećim stranama vatrozidovima.
```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potencijalni uticaj:** Raskidanje veze bi dovelo do izbegavanja politike, kršenja usaglašenosti i poremećaja sigurnosnih kontrola unutar okruženja. S druge strane, veza bi dovela do poremećaja alokacije troškova i budžeta.
fms:TagResource
, fms:UntagResource
fms:TagResource
, fms:UntagResource
Napadač bi mogao da dodaje, menja ili uklanja oznake sa resursa Firewall Manager-a, poremetivši alokaciju troškova, praćenje resursa i politike kontrole pristupa vaše organizacije na osnovu oznaka.
Potencijalni uticaj: Poremećaj alokacije troškova, praćenja resursa i politika kontrole pristupa zasnovanih na oznakama.
Reference
Last updated