AWS - Firewall Manager Enum
Firewall Manager
AWS Firewall Manager vereinfacht das Management und die Wartung von AWS WAF, AWS Shield Advanced, Amazon VPC-Sicherheitsgruppen und Netzwerkzugriffssteuerungslisten (ACLs), AWS Network Firewall, AWS Route 53 Resolver DNS Firewall und Firewalls von Drittanbietern über mehrere Konten und Ressourcen hinweg. Es ermöglicht Ihnen, Ihre Firewall-Regeln, Shield Advanced-Schutzmaßnahmen, VPC-Sicherheitsgruppen und Netzwerk-Firewall-Einstellungen nur einmal zu konfigurieren, wobei der Dienst diese Regeln und Schutzmaßnahmen automatisch über Ihre Konten und Ressourcen hinweg durchsetzt, einschließlich neu hinzugefügter.
Der Dienst bietet die Möglichkeit, bestimmte Ressourcen zusammenzufassen und zu schützen, wie z. B. solche, die ein gemeinsames Tag teilen oder alle Ihre CloudFront-Verteilungen. Ein wesentlicher Vorteil des Firewall Managers ist seine Fähigkeit, den Schutz automatisch auf neu hinzugefügte Ressourcen in Ihrem Konto auszudehnen.
Eine Regelgruppe (eine Sammlung von WAF-Regeln) kann in eine AWS Firewall Manager-Richtlinie eingebunden werden, die dann mit spezifischen AWS-Ressourcen wie CloudFront-Verteilungen oder Anwendungs-Load-Balancern verknüpft ist.
AWS Firewall Manager bietet verwaltete Anwendungs- und Protokolllisten zur Vereinfachung der Konfiguration und Verwaltung von Sicherheitsgruppenrichtlinien. Diese Listen ermöglichen es Ihnen, die von Ihren Richtlinien erlaubten oder verweigerten Protokolle und Anwendungen zu definieren. Es gibt zwei Arten von verwalteten Listen:
Firewall Manager verwaltete Listen: Diese Listen umfassen FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed und FMS-Default-Protocols-Allowed. Sie werden von Firewall Manager verwaltet und enthalten häufig verwendete Anwendungen und Protokolle, die der Allgemeinheit erlaubt oder verweigert werden sollten. Es ist nicht möglich, sie zu bearbeiten oder zu löschen, jedoch können Sie deren Version auswählen.
Benutzerdefinierte verwaltete Listen: Diese Listen verwalten Sie selbst. Sie können benutzerdefinierte Anwendungs- und Protokolllisten erstellen, die auf die Bedürfnisse Ihrer Organisation zugeschnitten sind. Im Gegensatz zu den von Firewall Manager verwalteten Listen haben diese Listen keine Versionen, aber Sie haben die volle Kontrolle über benutzerdefinierte Listen, sodass Sie sie bei Bedarf erstellen, bearbeiten und löschen können.
Es ist wichtig zu beachten, dass Firewall Manager-Richtlinien nur "Block" oder "Count" Aktionen für eine Regelgruppe zulassen, ohne eine "Erlauben"-Option.
Voraussetzungen
Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie mit der Konfiguration des Firewall Managers beginnen können, um die Ressourcen Ihrer Organisation effektiv zu schützen. Diese Schritte stellen die grundlegende Einrichtung bereit, die für den Firewall Manager erforderlich ist, um Sicherheitsrichtlinien durchzusetzen und die Einhaltung in Ihrer AWS-Umgebung sicherzustellen:
Treten Sie AWS Organizations bei und konfigurieren Sie diese: Stellen Sie sicher, dass Ihr AWS-Konto Teil der AWS Organizations-Organisation ist, in der die AWS Firewall Manager-Richtlinien implementiert werden sollen. Dies ermöglicht eine zentrale Verwaltung von Ressourcen und Richtlinien über mehrere AWS-Konten innerhalb der Organisation.
Erstellen Sie ein Standardadministrator-Konto für AWS Firewall Manager: Richten Sie ein Standardadministrator-Konto ein, das speziell für die Verwaltung von Sicherheitsrichtlinien des Firewall Managers zuständig ist. Dieses Konto ist dafür verantwortlich, Sicherheitsrichtlinien in der Organisation zu konfigurieren und durchzusetzen. Nur das Verwaltungskonto der Organisation kann Standardadministrator-Konten für den Firewall Manager erstellen.
Aktivieren Sie AWS Config: Aktivieren Sie AWS Config, um dem Firewall Manager die erforderlichen Konfigurationsdaten und Einblicke bereitzustellen, die für die effektive Durchsetzung von Sicherheitsrichtlinien erforderlich sind. AWS Config hilft dabei, Ressourcenkonfigurationen und -änderungen zu analysieren, zu überprüfen, zu überwachen und zu überprüfen, was eine bessere Sicherheitsverwaltung ermöglicht.
Für Richtlinien von Drittanbietern, abonnieren Sie im AWS Marketplace und konfigurieren Sie die Einstellungen von Drittanbietern: Wenn Sie vorhaben, Richtlinien von Drittanbietern für Firewalls zu nutzen, abonnieren Sie diese im AWS Marketplace und konfigurieren Sie die erforderlichen Einstellungen. Dieser Schritt stellt sicher, dass der Firewall Manager Richtlinien von vertrauenswürdigen Drittanbietern integrieren und durchsetzen kann.
Für Netzwerk-Firewall- und DNS-Firewall-Richtlinien, aktivieren Sie die Ressourcenfreigabe: Aktivieren Sie die Ressourcenfreigabe speziell für Netzwerk-Firewall- und DNS-Firewall-Richtlinien. Dadurch kann der Firewall Manager Firewall-Schutzmaßnahmen auf die VPCs und die DNS-Auflösung Ihrer Organisation anwenden und die Netzwerksicherheit verbessern.
Um AWS Firewall Manager in standardmäßig deaktivierten Regionen zu verwenden: Wenn Sie beabsichtigen, den Firewall Manager in AWS-Regionen zu verwenden, die standardmäßig deaktiviert sind, stellen Sie sicher, dass Sie die erforderlichen Schritte unternehmen, um dessen Funktionalität in diesen Regionen zu aktivieren. Dies gewährleistet eine konsistente Sicherheitsdurchsetzung in allen Regionen, in denen Ihre Organisation tätig ist.
Weitere Informationen finden Sie unter: Erste Schritte mit AWS Firewall Manager AWS WAF-Richtlinien.
Arten von Schutzrichtlinien
AWS Firewall Manager verwaltet mehrere Arten von Richtlinien, um Sicherheitskontrollen über verschiedene Aspekte der Infrastruktur Ihrer Organisation durchzusetzen:
AWS WAF-Richtlinie: Dieser Richtlinientyp unterstützt sowohl AWS WAF als auch AWS WAF Classic. Sie können festlegen, welche Ressourcen durch die Richtlinie geschützt werden. Für AWS WAF-Richtlinien können Sie Sets von Regelgruppen festlegen, die zuerst und zuletzt im Web-ACL ausgeführt werden sollen. Darüber hinaus können Kontoinhaber Regeln und Regelgruppen hinzufügen, die zwischen diesen Sets ausgeführt werden sollen.
Shield Advanced-Richtlinie: Diese Richtlinie wendet Shield Advanced-Schutzmaßnahmen auf Ihre Organisation für bestimmte Ressourcentypen an. Sie hilft, sich gegen DDoS-Angriffe und andere Bedrohungen zu schützen.
Amazon VPC-Sicherheitsgruppenrichtlinie: Mit dieser Richtlinie können Sie Sicherheitsgruppen verwalten, die in Ihrer Organisation verwendet werden, und eine Grundmenge von Regeln in Ihrer AWS-Umgebung durchsetzen, um den Netzwerkzugriff zu steuern.
Amazon VPC-Netzwerkzugriffssteuerungslisten (ACL)-Richtlinie: Dieser Richtlinientyp gibt Ihnen die Kontrolle über Netzwerk-ACLs, die in Ihrer Organisation verwendet werden, und ermöglicht es Ihnen, eine Grundmenge von Netzwerk-ACLs in Ihrer AWS-Umgebung durchzusetzen.
Netzwerk-Firewall-Richtlinie: Diese Richtlinie wendet den AWS Network Firewall-Schutz auf die VPCs Ihrer Organisation an und verbessert die Netzwerksicherheit, indem der Datenverkehr basierend auf vordefinierten Regeln gefiltert wird.
Amazon Route 53 Resolver DNS Firewall-Richtlinie: Diese Richtlinie wendet DNS Firewall-Schutzmaßnahmen auf die VPCs Ihrer Organisation an, um bösartige Domainauflösungsversuche zu blockieren und Sicherheitsrichtlinien für den DNS-Datenverkehr durchzusetzen.
Richtlinie für Firewalls von Drittanbietern: Dieser Richtlinientyp wendet Schutzmaßnahmen von Firewalls von Drittanbietern an, die über das AWS Marketplace-Konsole abonniert werden können. Sie ermöglicht es Ihnen, zusätzliche Sicherheitsmaßnahmen von vertrauenswürdigen Anbietern in Ihre AWS-Umgebung zu integrieren.
Palo Alto Networks Cloud NGFW-Richtlinie: Diese Richtlinie wendet Palo Alto Networks Cloud Next Generation Firewall (NGFW)-Schutzmaßnahmen und Regelstapel auf die VPCs Ihrer Organisation an und bietet erweiterte Bedrohungsprävention und Sicherheitskontrollen auf Anwendungsebene.
Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinie: Diese Richtlinie wendet Fortigate Cloud Native Firewall (CNF) as a Service-Schutzmaßnahmen an, die branchenführende Bedrohungsprävention, Web Application Firewall (WAF) und API-Schutz bieten, die speziell für Cloud-Infrastrukturen entwickelt wurden.
Administrator-Konten
AWS Firewall Manager bietet Flexibilität bei der Verwaltung von Firewall-Ressourcen innerhalb Ihrer Organisation durch ihren administrativen Umfang und zwei Arten von Administrator-Konten.
Der administrative Umfang definiert die Ressourcen, die ein Firewall Manager-Administrator verwalten kann. Nachdem ein AWS Organizations-Verwaltungskonto eine Organisation in den Firewall Manager aufgenommen hat, kann es zusätzliche Administratoren mit unterschiedlichen administrativen Umfängen erstellen. Diese Umfänge können umfassen:
Konten oder organisatorische Einheiten (OUs), auf die der Administrator Richtlinien anwenden kann.
Regionen, in denen der Administrator Aktionen ausführen kann.
Firewall Manager-Richtlinientypen, die der Administrator verwalten kann.
Der administrative Umfang kann entweder vollständig oder eingeschränkt sein. Ein vollständiger Umfang gewährt dem Administrator Zugriff auf alle angegebenen Ressourcentypen, Regionen und Richtlinientypen. Im Gegensatz dazu gewährt ein eingeschränkter Umfang administrative Berechtigungen nur für eine Teilmenge von Ressourcen, Regionen oder Richtlinientypen. Es ist ratsam, Administratoren nur die Berechtigungen zu erteilen, die sie benötigen, um ihre Aufgaben effektiv zu erfüllen. Sie können eine beliebige Kombination dieser administrativen Umfangsbedingungen auf einen Administrator anwenden, um die Einhaltung des Prinzips des geringsten Privilegs sicherzustellen.
Es gibt zwei verschiedene Arten von Administrator-Konten, die jeweils spezifische Rollen und Verantwortlichkeiten erfüllen:
Standardadministrator:
Das Standardadministrator-Konto wird vom AWS Organizations-Verwaltungskonto der Organisation während des Onboarding-Prozesses zum Firewall Manager erstellt.
Dieses Konto hat die Möglichkeit, Drittanbieter-Firewalls zu verwalten und besitzt einen vollen administrativen Umfang.
Es dient als primäres Administrator-Konto für den Firewall Manager, das für die Konfiguration und Durchsetzung von Sicherheitsrichtlinien in der gesamten Organisation verantwortlich ist.
Während der Standardadministrator vollen Zugriff auf alle Ressourcentypen und administrativen Funktionen hat, arbeitet er auf der gleichen Peer-Ebene wie andere Administratoren, wenn mehrere Administratoren in der Organisation eingesetzt werden.
Firewall Manager-Administratoren:
Diese Administratoren können Ressourcen innerhalb des vom AWS Organizations-Verwaltungskonto festgelegten Umfangs verwalten, wie in der Konfiguration des administrativen Umfangs definiert.
Firewall Manager-Administratoren werden erstellt, um spezifische Rollen innerhalb der Organisation zu erfüllen, was eine Delegation von Verantwortlichkeiten ermöglicht, während Sicherheits- und Compliance-Standards eingehalten werden.
Beim Erstellen überprüft der Firewall Manager bei AWS Organizations, ob das Konto bereits ein delegierter Administrator ist. Wenn nicht, ruft der Firewall Manager bei Organizations an, um das Konto als delegierten Administrator für den Firewall Manager zu kennzeichnen.
Die Verwaltung dieser Administrator-Konten umfasst deren Erstellung im Firewall Manager und die Definition ihrer administrativen Umfänge gemäß den Sicherheitsanforderungen der Organisation und dem Prinzip des geringsten Privilegs. Durch die Zuweisung geeigneter administrativer Rollen können Organisationen eine effektive Sicherheitsverwaltung sicherstellen und gleichzeitig eine granulare Kontrolle über den Zugriff auf sensible Ressourcen aufrechterhalten.
Es ist wichtig zu betonen, dass nur ein Konto innerhalb einer Organisation als Standardadministrator für den Firewall Manager fungieren kann, unter Einhaltung des Prinzips "first in, last out". Um einen neuen Standardadministrator zu bestimmen, müssen eine Reihe von Schritten befolgt werden:
Zunächst muss jedes Firewall-Manager-Administrator-Konto sein eigenes Konto widerrufen.
Dann kann der bestehende Standardadministrator sein eigenes Konto widerrufen und die Organisation effektiv vom Firewall Manager abmelden. Dieser Vorgang führt zur Löschung aller vom widerrufenen Konto erstellten Firewall-Manager-Richtlinien.
Abschließend muss das AWS Organizations-Verwaltungskonto den Firewall Manager-Standardadministrator bestimmen.
Enumeration
Post-Exploitation / Umgehung der Erkennung
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Ein Angreifer mit der Berechtigung fms:AssociateAdminAccount
könnte das Standard-Administratorkonto des Firewall-Managers festlegen. Mit der Berechtigung fms:PutAdminAccount
könnte ein Angreifer ein Firewall-Manager-Administratorkonto erstellen oder aktualisieren, und mit der Berechtigung fms:DisassociateAdminAccount
könnte ein potenzieller Angreifer die aktuelle Zuordnung des Firewall-Manager-Administratorkontos entfernen.
Die Trennung des Standard-Administrators des Firewall-Managers folgt der First-In-Last-Out-Richtlinie. Alle Firewall-Manager-Administratoren müssen sich trennen, bevor der Standard-Administrator des Firewall-Managers das Konto trennen kann.
Um einen Firewall-Manager-Administrator durch PutAdminAccount zu erstellen, muss das Konto der Organisation angehören, die zuvor mit AssociateAdminAccount beim Firewall-Manager an Bord gegangen ist.
Die Erstellung eines Firewall-Manager-Administratorkontos kann nur vom Managementkonto der Organisation durchgeführt werden.
Potenzielle Auswirkungen: Verlust der zentralisierten Verwaltung, Umgehung von Richtlinien, Verstoß gegen Compliance und Störung der Sicherheitskontrollen innerhalb der Umgebung.
fms:PutPolicy
, fms:DeletePolicy
fms:PutPolicy
, fms:DeletePolicy
Ein Angreifer mit den Berechtigungen fms:PutPolicy
und fms:DeletePolicy
könnte eine AWS Firewall Manager-Richtlinie erstellen, ändern oder dauerhaft löschen.
Ein Beispiel für eine großzügige Richtlinie durch eine großzügige Sicherheitsgruppe, um die Erkennung zu umgehen, könnte folgende sein:
Potenzielle Auswirkungen: Abbau von Sicherheitskontrollen, Umgehung von Richtlinien, Verstoß gegen Compliance, Betriebsunterbrechungen und potenzielle Datenverstöße innerhalb der Umgebung.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Ein Angreifer mit den Berechtigungen fms:BatchAssociateResource
und fms:BatchDisassociateResource
kann Ressourcen mit einem Firewall Manager-Ressourcensatz verknüpfen oder davon trennen. Darüber hinaus würde es einem Angreifer mit den Berechtigungen fms:PutResourceSet
und fms:DeleteResourceSet
ermöglichen, diese Ressourcensätze im AWS Firewall Manager zu erstellen, zu ändern oder zu löschen.
Potenzielle Auswirkungen: Die Hinzufügung einer unnötigen Menge von Elementen zu einem Ressourcensatz erhöht das Rauschen im Service und kann potenziell zu einem DoS führen. Darüber hinaus könnten Änderungen an den Ressourcensätzen zu einer Ressourcenunterbrechung, zur Umgehung von Richtlinien, zur Verletzung von Compliance-Vorschriften und zur Störung von Sicherheitskontrollen in der Umgebung führen.
fms:PutAppsList
, fms:DeleteAppsList
fms:PutAppsList
, fms:DeleteAppsList
Ein Angreifer mit den Berechtigungen fms:PutAppsList
und fms:DeleteAppsList
kann Anwendungslisten von AWS Firewall Manager erstellen, ändern oder löschen. Dies könnte kritisch sein, da nicht autorisierten Anwendungen möglicherweise Zugriff auf die Allgemeinheit gewährt wird oder der Zugriff auf autorisierte Anwendungen verweigert wird, was zu einem DoS führen könnte.
Potenzielle Auswirkungen: Dies könnte zu Fehlkonfigurationen, Umgehung von Richtlinien, Verstößen gegen die Compliance und Störungen von Sicherheitskontrollen in der Umgebung führen.
fms:PutProtocolsList
, fms:DeleteProtocolsList
fms:PutProtocolsList
, fms:DeleteProtocolsList
Ein Angreifer mit den Berechtigungen fms:PutProtocolsList
und fms:DeleteProtocolsList
könnte Protokolllisten von AWS Firewall Manager erstellen, ändern oder löschen. Ähnlich wie bei Anwendungslisten könnte dies kritisch sein, da nicht autorisierte Protokolle von der Allgemeinheit verwendet oder die Verwendung autorisierter Protokolle verweigert werden könnten, was zu einem DoS führen könnte.
Potenzielle Auswirkungen: Dies könnte zu Fehlkonfigurationen, Umgehung von Richtlinien, Verstößen gegen die Compliance und zur Beeinträchtigung von Sicherheitskontrollen in der Umgebung führen.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Ein Angreifer mit den Berechtigungen fms:PutNotificationChannel
und fms:DeleteNotificationChannel
könnte die IAM-Rolle und das Amazon Simple Notification Service (SNS)-Thema löschen und festlegen, die Firewall Manager verwendet, um SNS-Protokolle aufzuzeichnen.
Um fms:PutNotificationChannel
außerhalb der Konsole zu verwenden, müssen Sie die Zugriffsrichtlinie des SNS-Themas einrichten, die es dem angegebenen SnsRoleName erlaubt, SNS-Protokolle zu veröffentlichen. Wenn der bereitgestellte SnsRoleName eine Rolle ist, die nicht der AWSServiceRoleForFMS
entspricht, ist eine Vertrauensbeziehung erforderlich, die konfiguriert ist, um dem Firewall Manager-Dienstprinzipal fms.amazonaws.com zu gestatten, diese Rolle anzunehmen.
Für Informationen zur Konfiguration einer SNS-Zugriffsrichtlinie:
Potenzielle Auswirkungen: Dies könnte potenziell zu fehlenden Sicherheitswarnungen, verzögerter Reaktion auf Vorfälle, potenziellen Datenverlusten und Betriebsunterbrechungen in der Umgebung führen.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Ein Angreifer mit den Berechtigungen fms:AssociateThirdPartyFirewall
und fms:DisssociateThirdPartyFirewall
könnte Drittanbieter-Firewalls mit dem AWS Firewall Manager zentral verwalten oder die Verknüpfung aufheben.
Nur der Standardadministrator kann Drittanbieter-Firewalls erstellen und verwalten.
```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potenzielle Auswirkungen:** Die Trennung würde zu einer Umgehung der Richtlinien, Verstößen gegen die Compliance und zur Störung der Sicherheitskontrollen in der Umgebung führen. Die Assoziation hingegen würde zu einer Störung der Kosten- und Budgetzuweisung führen.
fms:TagResource
, fms:UntagResource
fms:TagResource
, fms:UntagResource
Ein Angreifer könnte Tags zu Firewall Manager-Ressourcen hinzufügen, ändern oder entfernen, was die Kostenzuweisung, die Ressourcenverfolgung und die Zugriffskontrollrichtlinien Ihrer Organisation auf der Grundlage von Tags stören würde.
Potenzielle Auswirkungen: Störung der Kostenzuweisung, Ressourcenverfolgung und tagbasierten Zugriffskontrollrichtlinien.
Referenzen
Last updated