AWS - Firewall Manager Enum
Güvenlik Duvarı Yöneticisi
AWS Güvenlik Duvarı Yöneticisi, AWS WAF, AWS Shield Advanced, Amazon VPC güvenlik grupları ve Ağ Erişim Kontrol Listeleri (ACL'ler), AWS Ağ Güvenlik Duvarı, AWS Route 53 Resolver DNS Güvenlik Duvarı ve üçüncü taraf güvenlik duvarları yönetimini ve bakımını kolaylaştırır. Birden fazla hesap ve kaynak üzerinde güvenlik duvarı kurallarını, Shield Advanced korumalarını, VPC güvenlik gruplarını ve Ağ Güvenlik Duvarı ayarlarını yalnızca bir kez yapılandırmanızı sağlar, hizmet bu kuralları ve korumaları otomatik olarak hesaplarınız ve kaynaklarınız üzerinde uygular, yeni eklenenler de dahil.
Hizmet, belirli kaynakları bir araya getirip koruma altına alma yeteneği sunar, örneğin aynı etiketi paylaşanları veya tüm CloudFront dağıtımlarınızı. Güvenlik Duvarı Yöneticisinin önemli bir avantajı, hesabınıza yeni eklenen kaynaklara koruma sağlama yeteneğidir.
Bir kural grubu (bir WAF kuralları koleksiyonu) bir AWS Güvenlik Duvarı Yöneticisi Politikasına dahil edilebilir, bu politika daha sonra CloudFront dağıtımları veya uygulama yük dengeleyicileri gibi belirli AWS kaynaklarına bağlanır.
AWS Güvenlik Duvarı Yöneticisi, güvenlik grup politikalarının yapılandırılmasını ve yönetilmesini kolaylaştırmak için yönetilen uygulama ve protokol listeleri sunar. Bu listeler, politikalarınızda izin verilen veya reddedilen protokoller ve uygulamaları tanımlamanıza olanak tanır. İki tür yönetilen liste vardır:
Güvenlik Duvarı Yöneticisi tarafından yönetilen listeler: Bu listeler FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed ve FMS-Default-Protocols-Allowed'ı içerir. Bunlar Güvenlik Duvarı Yöneticisi tarafından yönetilir ve genel halka izin verilmesi veya reddedilmesi gereken yaygın olarak kullanılan uygulamaları ve protokolleri içerir. Bunları düzenleyemez veya silinemez, ancak sürümünü seçebilirsiniz.
Özel yönetilen listeler: Bu listeleri kendiniz yönetirsiniz. Kuruluşunuzun ihtiyaçlarına uygun özel uygulama ve protokol listeleri oluşturabilirsiniz. Güvenlik Duvarı Yöneticisi tarafından yönetilen listelerin aksine, bu listelerin sürümleri yoktur, ancak özel listeler üzerinde tam kontrol sahibisiniz, gerektiğinde oluşturabilir, düzenleyebilir ve silebilirsiniz.
Önemli bir not olarak Güvenlik Duvarı Yöneticisi politikaları, bir kural grubu için yalnızca "Engelle" veya "Say" eylemlerine izin verir, "İzin Ver" seçeneği yoktur.
Önkoşullar
Kuruluşunuzun kaynaklarını etkili bir şekilde korumaya başlamak için Güvenlik Duvarı Yöneticisini yapılandırmadan önce tamamlanması gereken aşağıdaki önkoşullar adımları sağlar. Bu adımlar, Güvenlik Duvarı Yöneticisinin güvenlik politikalarını uygulamak ve AWS ortamınızda uyumluluğu sağlamak için gereken temel yapılandırmayı sağlar:
AWS Organizations'a katılın ve yapılandırın: AWS hesabınızın, AWS Güvenlik Duvarı Yöneticisi politikalarının uygulanması planlanan AWS Organizations organizasyonunun bir parçası olduğundan emin olun. Bu, organizasyon içindeki birden fazla AWS hesabı üzerinde merkezi yönetim sağlar.
Bir AWS Güvenlik Duvarı Yöneticisi Varsayılan Yönetici Hesabı Oluşturun: Güvenlik Duvarı Yöneticisi güvenlik politikalarını yönetmek için özel olarak oluşturulmuş bir varsayılan yönetici hesabı oluşturun. Bu hesap, organizasyon genelinde güvenlik politikalarını yapılandırmak ve uygulamaktan sorumlu olacaktır. Yalnızca organizasyonun yönetim hesabı Güvenlik Duvarı Yöneticisi varsayılan yönetici hesapları oluşturabilir.
AWS Config'i Etkinleştirin: AWS Config'i etkinleştirerek, Güvenlik Duvarı Yöneticisine gerekli yapılandırma verilerini ve etkinlikleri sağlar, güvenlik politikalarını etkili bir şekilde uygulamak için gereken bilgileri sağlar. AWS Config, kaynak yapılandırmalarını ve değişikliklerini analiz etmeye, denetlemeye, izlemeye ve denetlemeye yardımcı olarak daha iyi güvenlik yönetimi sağlar.
Üçüncü Taraf Politikaları için AWS Marketplace'e Abone Olun ve Üçüncü Taraf Ayarlarını Yapılandırın: Üçüncü taraf güvenlik duvarı politikalarını kullanmayı planlıyorsanız, bunlara AWS Marketplace'de abone olun ve gerekli ayarları yapılandırın. Bu adım, Güvenlik Duvarı Yöneticisinin güvenilir üçüncü taraf satıcılarından politikaları entegre etmesini ve uygulamasını sağlar.
Ağ Güvenlik Duvarı ve DNS Güvenlik Duvarı Politikaları için kaynak paylaşımını etkinleştirin: Ağ Güvenlik Duvarı ve DNS Güvenlik Duvarı politikaları için özel olarak kaynak paylaşımını etkinleştirin. Bu, Güvenlik Duvarı Yöneticisinin organizasyonunuzun VPC'lerine ve DNS çözümlemesine güvenlik duvarı korumaları uygulamasına olanak tanır, ağ güvenliğini artırır.
Varsayılan olarak devre dışı bırakılan bölgelerde AWS Güvenlik Duvarı Yöneticisini kullanmak için: Varsayılan olarak devre dışı bırakılan AWS bölgelerinde Güvenlik Duvarı Yöneticisini kullanmayı planlıyorsanız, bu bölgelerde işlevselliğini etkinleştirmek için gerekli adımları atmanızı sağlayın. Bu, organizasyonunuzun faaliyet gösterdiği tüm bölgelerde tutarlı güvenlik uygulamasını sağlar.
Daha fazla bilgi için: AWS Güvenlik Duvarı Yöneticisi AWS WAF politikaları ile başlarken.
Koruma politikalarının türleri
AWS Güvenlik Duvarı Yöneticisi, organizasyonunuzun altyapısının farklı yönlerinde güvenlik kontrollerini uygulamak için çeşitli türde politikaları yönetir:
AWS WAF Politikası: Bu politika türü hem AWS WAF hem de AWS WAF Classic'i destekler. Politika tarafından korunan kaynakları tanımlayabilirsiniz. AWS WAF politikaları için, web ACL'de çalışacak kural gruplarını ilk ve son olarak belirleyebilirsiniz. Ayrıca, hesap sahipleri bu setler arasında çalışacak kurallar ve kural grupları ekleyebilir.
Shield Advanced Politikası: Bu politika, belirli kaynak türleri için organizasyonunuzda Shield Advanced korumalarını uygular. DDoS saldırılarına ve diğer tehditlere karşı koruma sağlar.
Amazon VPC Güvenlik Grubu Politikası: Bu politika ile organizasyonunuz genelinde kullanılan güvenlik gruplarını yönetebilir, AWS ortamınızda ağ erişimini kontrol etmek için temel bir kural setini zorlayabilirsiniz.
Amazon VPC Ağ Erişim Kontrol Listesi (ACL) Politikası: Bu politika türü, organizasyonunuzda kullanılan ağ ACL'ler üzerinde kontrol sağlar, AWS ortamınızda temel bir ağ ACL setini zorlamak için kullanılabilir.
Ağ Güvenlik Duvarı Politikası: Bu politika, organizasyonunuzun VPC'lerine AWS Ağ Güvenlik Duvarı koruması uygular, önceden tanımlanmış kurallara dayalı olarak trafiği filtreleyerek ağ güvenliğini artırır.
Amazon Route 53 Resolver DNS Güvenlik Duvarı Politikası: Bu politika, organizasyonunuzun VPC'lerine DNS Güvenlik Duvarı korumaları uygular, kötü niyetli alan çözümleme girişimlerini engellemeye ve DNS trafiği için güvenlik politikalarını zorlamaya yardımcı olur.
Üçüncü Taraf Güvenlik Duvarı Politikası: Bu politika türü, AWS Marketplace konsolu aracılığıyla abonelikle sunulan üçüncü taraf güvenlik duvarlarından korumaları uygular. Güvenilir satıcılardan ek güvenlik önlemlerini AWS ortamınıza entegre etmenizi sağlar.
Palo Alto Networks Cloud NGFW Politikası: Bu politika, Palo Alto Networks Cloud Next Generation Firewall (NGFW) korumalarını ve kural yığınlarını organizasyonunuzun VPC'lerine uygular, gelişmiş tehdit önleme ve uygulama düzeyinde güvenlik kontrolleri sağlar.
Fortigate Cloud Native Firewall (CNF) as a Service Politikası: Bu politika, Fortigate Cloud Native Firewall (CNF) as a Service korumalarını uygular, endüstri lideri tehdit önleme, web uygulama güvenlik duvarı (WAF) ve bulut altyapıları için uyarlanmış API koruması sunar.
Yönetici hesapları
AWS Firewall Manager, yönetici kapsamı ve iki tür yönetici hesabı aracılığıyla kuruluşunuzdaki güvenlik duvarı kaynaklarını yönetmede esneklik sunar.
Yönetici kapsamı, bir Firewall Manager yöneticisinin yönetebileceği kaynakları tanımlar. Bir AWS Organizations yönetim hesabı, bir organizasyonu Firewall Manager'a kaydettikten sonra farklı yönetici kapsamlarına sahip ek yöneticiler oluşturabilir. Bu kapsamlar şunları içerebilir:
Yöneticinin politikaları uygulayabileceği hesaplar veya organizasyon birimleri (OUs).
Yöneticinin işlemler gerçekleştirebileceği bölgeler.
Yöneticinin yönetebileceği Firewall Manager politika türleri.
Yönetici kapsamı ya tam ya da kısıtlı olabilir. Tam kapsam, yöneticiye belirtilen tüm kaynak türlerine, bölgelere ve politika türlerine erişim sağlar. Buna karşılık, kısıtlı kapsam yalnızca belirli bir kaynak, bölge veya politika türü alt kümesine yönetici izni sağlar. Yöneticilere rollerini etkili bir şekilde yerine getirebilmeleri için ihtiyaçları olan izinleri vermek tavsiye edilir. Bir yöneticiye bu yönetici kapsamı koşullarının herhangi bir kombinasyonunu uygulayarak, en az ayrıcalık ilkesine uyulmasını sağlayabilirsiniz.
Belirli rolleri ve sorumlulukları yerine getiren iki farklı türde yönetici hesabı bulunmaktadır:
Varsayılan Yönetici:
Varsayılan yönetici hesabı, AWS Organizations organizasyonunun yönetim hesabı tarafından Firewall Manager'a kayıt sırasında oluşturulur.
Bu hesap, üçüncü taraf güvenlik duvarlarını yönetme yeteneğine sahiptir ve tam yönetici kapsamına sahiptir.
Firewall Manager için birincil yönetici hesabı olarak hizmet verir ve organizasyon genelinde güvenlik politikalarını yapılandırmak ve uygulamaktan sorumludur.
Varsayılan yönetici, tüm kaynak türlerine ve yönetici işlevlerine tam erişime sahip olmasına rağmen, organizasyon içinde birden fazla yönetici kullanılıyorsa aynı düzeyde işlem yapar.
Firewall Manager Yöneticileri:
Bu yöneticiler, AWS Organizations yönetim hesabı tarafından belirlenen yönetici kapsamı yapılandırmasına göre belirlenen kapsam içinde kaynakları yönetebilir.
Firewall Manager yöneticileri, güvenlik ve uyumluluk standartlarını korurken belirli rolleri yerine getirmek üzere organizasyon içinde oluşturulur.
Oluşturulduğunda, Firewall Manager, hesabın zaten devredilmiş bir yönetici olup olmadığını belirlemek için AWS Organizations ile kontrol eder. Değilse, Firewall Manager, hesabı Firewall Manager için bir devredilmiş yönetici olarak belirlemek üzere Organizations'ı arar.
Bu yönetici hesaplarını yönetmek, onları Firewall Manager içinde oluşturmak ve kuruluşun güvenlik gereksinimlerine ve en az ayrıcalık ilkesine göre yönetici kapsamlarını tanımlamakla ilgilidir. Uygun yönetici rolleri atayarak, organizasyonlar etkili güvenlik yönetimini sağlayabilir ve hassas kaynaklara erişim üzerinde granüler kontrolü koruyabilir.
Bir organizasyon içinde yalnızca bir hesap, Firewall Manager varsayılan yöneticisi olarak hizmet edebilir ilkesini vurgulamak önemlidir, "ilk giren, son çıkar" ilkesine uygun olarak. Yeni bir varsayılan yönetici belirlemek için belirli adımlar izlenmelidir:
İlk olarak, her Firewall Yöneticisi yönetici hesabı kendi hesabını iptal etmelidir.
Ardından, mevcut varsayılan yönetici kendi hesabını iptal edebilir, böylece organizasyonu Firewall Manager'dan çıkarır. Bu süreç, iptal edilen hesap tarafından oluşturulan tüm Firewall Manager politikalarının silinmesine neden olur.
Son olarak, AWS Organizations yönetim hesabı, Firewall Manager varsayılan yöneticiyi belirlemelidir.
Numaralandırma
Saldırı Sonrası / Algılamayı Atlatma
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)fms:AssociateAdminAccount
iznine sahip bir saldırgan, Güvenlik Duvarı Yöneticisi varsayılan yönetici hesabını ayarlayabilir. fms:PutAdminAccount
izni ile bir saldırgan, Güvenlik Duvarı Yöneticisi yönetici hesabı oluşturabilir veya güncelleme yapabilir ve fms:DisassociateAdminAccount
izni ile potansiyel bir saldırgan mevcut Güvenlik Duvarı Yöneticisi yönetici hesabı ilişkisini kaldırabilir.
Güvenlik Duvarı Yöneticisi varsayılan yöneticisinin ilişkisinin çözülmesi ilk giren-son çıkar politikasını takip eder. Güvenlik Duvarı Yöneticisi yöneticilerinin hepsi çözülmelidir, ardından Güvenlik Duvarı Yöneticisi varsayılan yöneticisi hesabı çözülebilir.
Bir Güvenlik Duvarı Yöneticisi yöneticisi oluşturmak için PutAdminAccount kullanılarak, hesabın önceden AssociateAdminAccount kullanılarak Güvenlik Duvarı Yöneticisine katılan organizasyona ait olması gerekir.
Bir Güvenlik Duvarı Yöneticisi yönetici hesabı oluşturulabilir sadece organizasyonun yönetim hesabı tarafından yapılabilir.
Potansiyel Etki: Merkezi yönetimin kaybı, politika kaçınılması, uyumluluk ihlalleri ve çevredeki güvenlik kontrollerinin bozulması.
fms:PutPolicy
, fms:DeletePolicy
fms:PutPolicy
, fms:DeletePolicy
Bir saldırgan fms:PutPolicy
, fms:DeletePolicy
izinlerine sahipse bir AWS Firewall Manager politikası oluşturabilir, değiştirebilir veya kalıcı olarak silebilir.
Aşağıdaki gibi, algılamayı atlamak için izin verici bir güvenlik grubu aracılığıyla izin verici bir politika örneği olabilir:
Potansiyel Etki: Güvenlik kontrollerinin devre dışı bırakılması, politika kaçınılması, uyumluluk ihlalleri, operasyonel aksaklıklar ve ortamdaki potansiyel veri ihlalleri.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Bir saldırganın fms:BatchAssociateResource
ve fms:BatchDisassociateResource
izinleri ile sırasıyla bir Firewall Yöneticisi kaynak kümesinden kaynakları ilişkilendirebilir veya ilişkisiz hale getirebilir. Ayrıca, fms:PutResourceSet
ve fms:DeleteResourceSet
izinleri bir saldırganın bu kaynak kümelerini oluşturmasına, değiştirmesine veya silmesine izin verecektir.
Potansiyel Etki: Bir kaynak kümesine gereksiz miktarda öğe eklenmesi, Hizmetteki gürültü seviyesini artırarak potansiyel olarak bir DoS'a neden olabilir. Ayrıca, kaynak kümelerinin değişiklikleri, bir kaynak kesintisine, politika kaçırma, uyumluluk ihlallerine ve ortamdaki güvenlik kontrollerinin bozulmasına yol açabilir.
fms:PutAppsList
, fms:DeleteAppsList
fms:PutAppsList
, fms:DeleteAppsList
fms:PutAppsList
ve fms:DeleteAppsList
izinlerine sahip bir saldırgan, AWS Firewall Manager'dan uygulama listeleri oluşturabilir, değiştirebilir veya silebilir. Bu kritik olabilir, çünkü yetkisiz uygulamalara genel halka erişim izni verilebilir veya yetkili uygulamalara erişim engellenebilir, böylece bir DoS'a neden olabilir.
Potansiyel Etki: Bu, ortam içinde yapılandırma hatalarına, politika kaçınmalarına, uyumluluk ihlallerine ve güvenlik kontrollerinin bozulmasına neden olabilir.
fms:PutProtocolsList
, fms:DeleteProtocolsList
fms:PutProtocolsList
, fms:DeleteProtocolsList
fms:PutProtocolsList
ve fms:DeleteProtocolsList
izinlerine sahip bir saldırgan, AWS Firewall Manager'dan protokol listeleri oluşturabilir, değiştirebilir veya silebilir. Uygulama listeleriyle benzer şekilde, yetkisiz protokoller genel halk tarafından kullanılabilir veya yetkili protokollerin kullanımı reddedilebilir, bu da bir Hizmet Reddi saldırısına neden olabilir.
Potansiyel Etki: Bu, ortam içinde yapılandırma hatalarına, politika kaçınmalarına, uyumluluk ihlallerine ve güvenlik kontrollerinin bozulmasına neden olabilir.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
fms:PutNotificationChannel
ve fms:DeleteNotificationChannel
izinlerine sahip bir saldırgan, Firewall Manager'ın SNS günlüklerini kaydetmek için kullandığı IAM rolünü ve Amazon Simple Notification Service (SNS) konusunu silip belirleyebilir.
fms:PutNotificationChannel
'ı konsol dışında kullanmak için, belirtilen SnsRoleName'in SNS günlüklerini yayınlamasına izin veren SNS konusunun erişim politikasını yapılandırmanız gerekir. Sağlanan SnsRoleName, AWSServiceRoleForFMS
dışındaki bir rol ise, Firewall Manager hizmet başlığının bu role geçmesine izin vermek için yapılandırılmış bir güven ilişkisi gerektirir.
Bir SNS erişim politikasını yapılandırma hakkında bilgi için:
Potansiyel Etki: Bu potansiyel olarak güvenlik uyarılarının kaçırılmasına, gecikmiş olay yanıtlarına, potansiyel veri ihlallerine ve ortam içindeki işletme kesintilerine yol açabilir.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Bir saldırgan fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
izinlerine sahipse, üçüncü taraf güvenlik duvarlarını AWS Güvenlik Duvarı Yöneticisi aracılığıyla merkezi olarak yönetmeye bağlayabilir veya bağlantısını çözebilir.
Yalnızca varsayılan yönetici üçüncü taraf güvenlik duvarları oluşturabilir ve yönetebilir.
```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potansiyel Etki:** Bağlantının kesilmesi, bir politika kaçınma, uyumluluk ihlalleri ve çevredeki güvenlik kontrollerinin bozulmasına yol açabilir. Öte yandan bağlantı, maliyet ve bütçe tahsisinin bozulmasına neden olabilir.
fms:TagResource
, fms:UntagResource
fms:TagResource
, fms:UntagResource
Saldırgan, Firewall Yöneticisi kaynaklarından etiket ekleyebilir, değiştirebilir veya kaldırabilir; bu da kuruluşunuzun maliyet tahsisini, kaynak izleme ve etiketlere dayalı erişim kontrol politikalarını bozabilir.
Potansiyel Etki: Maliyet tahsisi, kaynak izleme ve etiket tabanlı erişim kontrol politikalarının bozulması.
Referanslar
Last updated