AWS - Firewall Manager Enum
Manager Firewalla
AWS Firewall Manager usprawnia zarządzanie i konserwację AWS WAF, AWS Shield Advanced, grupy zabezpieczeń Amazon VPC oraz listy kontroli dostępu do sieci (ACL), AWS Network Firewall, AWS Route 53 Resolver DNS Firewall oraz zapory zewnętrzne w wielu kontach i zasobach. Umożliwia konfigurowanie reguł zapory, ochrony Shield Advanced, grup zabezpieczeń VPC oraz ustawień zapory sieciowej tylko raz, a usługa automatycznie egzekwuje te reguły i ochrony we wszystkich kontach i zasobach, w tym nowo dodanych.
Usługa oferuje możliwość grupowania i zabezpieczania określonych zasobów razem, takich jak te, które mają wspólny tag lub wszystkie dystrybucje CloudFront. Istotną zaletą Firewall Managera jest jego zdolność do automatycznego rozszerzania ochrony na nowo dodane zasoby w Twoim koncie.
Grupa reguł (zbiór reguł WAF) może być włączona do polityki AWS Firewall Manager, która jest następnie powiązana z określonymi zasobami AWS, takimi jak dystrybucje CloudFront lub równoważniki obciążenia aplikacji.
AWS Firewall Manager dostarcza zarządzane listy aplikacji i protokołów w celu uproszczenia konfiguracji i zarządzania politykami grup zabezpieczeń. Te listy pozwalają zdefiniować protokoły i aplikacje zezwolone lub zabronione przez Twoje polityki. Istnieją dwa rodzaje zarządzanych list:
Zarządzane listy Firewall Managera: Te listy obejmują FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed i FMS-Default-Protocols-Allowed. Są zarządzane przez Firewall Managera i zawierają powszechnie używane aplikacje i protokoły, które powinny być zezwolone lub zabronione dla ogółu publiczności. Nie można ich edytować ani usuwać, jednak można wybrać ich wersję.
Niestandardowe zarządzane listy: Te listy zarządzasz samodzielnie. Możesz tworzyć niestandardowe listy aplikacji i protokołów dostosowane do potrzeb Twojej organizacji. W przeciwieństwie do zarządzanych list Firewall Managera, te listy nie mają wersji, ale masz pełną kontrolę nad niestandardowymi listami, co pozwala na ich tworzenie, edytowanie i usuwanie według potrzeb.
Warto zauważyć, że **polityki Firewall Managera pozwalają tylko na działania "Blokuj" lub "Licznik" dla grupy reguł, bez opcji "Zezwalaj".
Wymagania wstępne
Następujące kroki wstępne muszą zostać wykonane przed przejściem do konfigurowania Firewall Managera w celu skutecznego zabezpieczenia zasobów Twojej organizacji. Te kroki zapewniają podstawową konfigurację wymaganą do egzekwowania polityk zabezpieczeń przez Firewall Managera i zapewnienia zgodności w całym Twoim środowisku AWS:
Dołącz i skonfiguruj AWS Organizations: Upewnij się, że Twoje konto AWS jest częścią organizacji AWS Organizations, w której planowane jest wdrożenie polityk AWS Firewall Manager. Umożliwia to scentralizowane zarządzanie zasobami i politykami w wielu kontach AWS w ramach organizacji.
Utwórz domyślne konto administratora AWS Firewall Manager: Utwórz domyślne konto administratora specjalnie do zarządzania politykami zabezpieczeń Firewall Manager. To konto będzie odpowiedzialne za konfigurowanie i egzekwowanie polityk zabezpieczeń w całej organizacji. Tylko konto zarządzające organizacją może tworzyć domyślne konta administratora Firewall Managera.
Włącz AWS Config: Aktywuj AWS Config, aby dostarczyć Firewall Managerowi niezbędne dane konfiguracyjne i wgląd wymagany do skutecznego egzekwowania polityk zabezpieczeń. AWS Config pomaga analizować, audytować, monitorować i audytować konfiguracje i zmiany zasobów, ułatwiając lepsze zarządzanie bezpieczeństwem.
Dla polityk firm zewnętrznych, zasubskrybuj w AWS Marketplace i skonfiguruj ustawienia firm zewnętrznych: Jeśli planujesz korzystać z polityk zapór firm zewnętrznych, zasubskrybuj je w AWS Marketplace i skonfiguruj niezbędne ustawienia. Ten krok zapewnia, że Firewall Manager może integrować i egzekwować polityki od zaufanych dostawców firm zewnętrznych.
Dla polityk zapory sieciowej i zapory DNS, włącz udostępnianie zasobów: Włącz udostępnianie zasobów specjalnie dla polityk zapory sieciowej i zapory DNS. Pozwala to Firewall Managerowi zastosować ochronę zapory do VPC i rozdzielania DNS Twojej organizacji, zwiększając bezpieczeństwo sieci.
Aby używać AWS Firewall Managera w regionach domyślnie wyłączonych: Jeśli planujesz korzystać z Firewall Managera w regionach AWS, które są domyślnie wyłączone, upewnij się, że podejmujesz niezbędne kroki, aby włączyć jego funkcjonalność w tych regionach. Zapewnia to spójne egzekwowanie zabezpieczeń we wszystkich regionach, w których działa Twoja organizacja.
Więcej informacji znajdziesz tutaj: Rozpoczęcie pracy z politykami AWS Firewall Manager AWS WAF.
Rodzaje polityk ochronnych
AWS Firewall Manager zarządza kilkoma rodzajami polityk w celu egzekwowania kontroli zabezpieczeń w różnych aspektach infrastruktury Twojej organizacji:
Polityka AWS WAF: Ten rodzaj polityki obsługuje zarówno AWS WAF, jak i AWS WAF Classic. Możesz zdefiniować, które zasoby są chronione przez politykę. Dla polityk AWS WAF możesz określić zestawy grup reguł do uruchomienia jako pierwsze i ostatnie w ACL sieci web. Dodatkowo właściciele kont mogą dodać reguły i grupy reguł do uruchomienia między tymi zestawami.
Polityka Shield Advanced: Ta polityka stosuje ochrony Shield Advanced w całej organizacji dla określonych typów zasobów. Pomaga zabezpieczyć przed atakami DDoS i innymi zagrożeniami.
Polityka grupy zabezpieczeń Amazon VPC: Dzięki tej polityce możesz zarządzać grupami zabezpieczeń używanymi w całej organizacji, egzekwując podstawowy zestaw reguł w całym środowisku AWS w celu kontrolowania dostępu do sieci.
Polityka listy kontroli dostępu do sieci Amazon VPC (ACL): Ten rodzaj polityki daje Ci kontrolę nad listami kontroli dostępu do sieci używanymi w Twojej organizacji, pozwalając na egzekwowanie podstawowego zestawu list kontroli dostępu do sieci w całym środowisku AWS.
Polityka zapory sieciowej: Ta polityka stosuje ochronę zapory sieciowej AWS do VPC Twojej organizacji, zwiększając bezpieczeństwo sieci poprzez filtrowanie ruchu na podstawie predefiniowanych reguł.
Polityka zapory DNS Route 53 Resolver Amazon: Ta polityka stosuje ochrony zapory DNS do VPC Twojej organizacji, pomagając blokować próby rozwiązania złośliwych domen i egzekwować polityki zabezpieczeń dla ruchu DNS.
Polityka zapory firm zewnętrznych: Ten rodzaj polityki stosuje ochrony z zapór firm zewnętrznych, które są dostępne na subskrypcję za pośrednictwem konsoli AWS Marketplace. Pozwala to na integrację dodatkowych środków bezpieczeństwa od zaufanych dostawców w Twoje środowisko AWS.
Polityka Palo Alto Networks Cloud NGFW: Ta polityka stosuje ochrony Palo Alto Networks Cloud Next Generation Firewall (NGFW) i stosy reguł do VPC Twojej organizacji, zapewniając zaawansowaną ochronę przed zagrożeniami i kontrolę bezpieczeństwa na poziomie aplikacji.
Polityka Fortigate Cloud Native Firewall (CNF) as a Service: Ta polityka stosuje ochrony Fortigate Cloud Native Firewall (CNF) as a Service, oferując wiodącą w branży ochronę przed zagrożeniami, zapórę aplikacji internetowych (WAF) i ochronę interfejsu API dostosowaną do infrastruktur chmurowych.
Konta administratorów
AWS Firewall Manager oferuje elastyczność w zarządzaniu zasobami zapory ogniowej w Twojej organizacji poprzez swoje zakresy administracyjne i dwa rodzaje kont administratorów.
Zakres administracyjny definiuje zasoby, którymi może zarządzać administrator Firewall Managera. Po tym, jak konto zarządzające organizacją AWS Organizations dołączy organizację do Firewall Managera, może ono utworzyć dodatkowych administratorów o różnych zakresach administracyjnych. Te zakresy mogą obejmować:
Konta lub jednostki organizacyjne (OUs), do których administrator może stosować zasady.
Regiony, w których administrator może wykonywać działania.
Typy zasad Firewall Managera, którymi administrator może zarządzać.
Zakres administracyjny może być albo pełny, albo ograniczony. Pełny zakres przyznaje administratorowi dostęp do wszystkich określonych typów zasobów, regionów i typów zasad. W przeciwieństwie do tego, ograniczony zakres zapewnia uprawnienia administracyjne tylko do podzbioru zasobów, regionów lub typów zasad. Zaleca się przyznawanie administratorom tylko tych uprawnień, których potrzebują do skutecznego wykonywania swoich ról. Można zastosować dowolną kombinację tych warunków zakresu administracyjnego do administratora, zapewniając przestrzeganie zasady najmniejszych uprawnień.
Istnieją dwa różne rodzaje kont administratorów, z których każde pełni określone role i odpowiedzialności:
Domyślny administrator:
Domyślne konto administratora jest tworzone przez konto zarządzające organizacją AWS Organizations podczas procesu dołączania do Firewall Managera.
To konto ma zdolność do zarządzania zaporami innych firm i posiada pełny zakres administracyjny.
Służy jako główne konto administratora dla Firewall Managera, odpowiedzialne za konfigurowanie i egzekwowanie zasad bezpieczeństwa w całej organizacji.
Podczas gdy domyślny administrator ma pełny dostęp do wszystkich typów zasobów i funkcji administracyjnych, działa na tym samym poziomie rówieśniczym co inni administratorzy, jeśli w organizacji jest wykorzystywanych kilku administratorów.
Administratorzy Firewall Managera:
Ci administratorzy mogą zarządzać zasobami w zakresie określonym przez konto zarządzające organizacją AWS Organizations, zdefiniowanym przez konfigurację zakresu administracyjnego.
Administratorzy Firewall Managera są tworzeni, aby spełniać określone role w organizacji, umożliwiając delegowanie odpowiedzialności przy jednoczesnym zachowaniu standardów bezpieczeństwa i zgodności.
Po utworzeniu Firewall Manager sprawdza z AWS Organizations, czy konto jest już delegowanym administratorem. Jeśli nie, Firewall Manager wywołuje Organizations, aby wskazać konto jako delegowanego administratora dla Firewall Managera.
Zarządzanie tymi kontami administratorów polega na ich tworzeniu w Firewall Managerze i definiowaniu ich zakresów administracyjnych zgodnie z wymaganiami bezpieczeństwa organizacji i zasadą najmniejszych uprawnień. Przypisując odpowiednie role administracyjne, organizacje mogą zapewnić skuteczne zarządzanie bezpieczeństwem, jednocześnie zachowując szczegółową kontrolę nad dostępem do wrażliwych zasobów.
Warto podkreślić, że tylko jedno konto w organizacji może pełnić rolę domyślnego administratora Firewall Managera, przestrzegając zasady "pierwszy wchodzi, ostatni wychodzi". Aby wskazać nowego domyślnego administratora, należy przejść przez serię kroków:
Po pierwsze, każde konto administratora Firewall musi wycofać swoje własne konto.
Następnie istniejący domyślny administrator może wycofać swoje własne konto, efektywnie wyłączając organizację z Firewall Managera. Ten proces skutkuje usunięciem wszystkich zasad Firewall Managera utworzonych przez wycofane konto.
Na zakończenie konto zarządzające organizacją AWS Organizations musi wskazać domyślnego administratora Firewall Managera.
Wyliczanie
Post Eksploatacja / Ominięcie Wykrywania
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Atakujący posiadający uprawnienia fms:AssociateAdminAccount
będzie mógł ustawić domyślne konto administratora Firewall Manager. Dzięki uprawnieniom fms:PutAdminAccount
atakujący będzie mógł utworzyć lub zaktualizować konto administratora Firewall Manager, a dzięki uprawnieniom fms:DisassociateAdminAccount
potencjalny atakujący mógłby usunąć powiązanie bieżącego konta administratora Firewall Manager.
Rozwiązanie domyślnego administratora Firewall Manager podlega zasadzie "pierwszy wchodzi, ostatni wychodzi". Wszyscy administratorzy Firewall Manager muszą zostać rozwiązani przed tym, jak domyślny administrator Firewall Manager może rozwiązać konto.
Aby utworzyć konto administratora Firewall Manager za pomocą PutAdminAccount, konto musi należeć do organizacji, która została wcześniej dołączona do Firewall Manager za pomocą AssociateAdminAccount.
Utworzenie konta administratora Firewall Manager może być dokonane tylko przez konto zarządzające organizacją.
Potencjalne skutki: Utrata scentralizowanego zarządzania, unikanie zasad, naruszenia zgodności oraz zakłócenie kontroli bezpieczeństwa w środowisku.
fms:PutPolicy
, fms:DeletePolicy
fms:PutPolicy
, fms:DeletePolicy
Atakujący posiadający uprawnienia fms:PutPolicy
, fms:DeletePolicy
będzie mógł tworzyć, modyfikować lub trwale usuwać politykę AWS Firewall Manager.
Przykład polityki permisywnej poprzez grupę zezwalającą, w celu obejścia detekcji, mógłby być następujący:
Potencjalne skutki: Demontaż kontroli bezpieczeństwa, unikanie zasad, naruszenia zgodności, zakłócenia operacyjne oraz potencjalne naruszenia danych w środowisku.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Atakujący posiadający uprawnienia fms:BatchAssociateResource
i fms:BatchDisassociateResource
będzie mógł odpowiednio łączyć lub rozłączać zasoby z zestawu zasobów Firewall Manager. Ponadto uprawnienia fms:PutResourceSet
i fms:DeleteResourceSet
pozwolą atakującemu tworzyć, modyfikować lub usuwać te zestawy zasobów z AWS Firewall Manager.
Potencjalne skutki: Dodanie zbędnego zestawu elementów do zbioru zasobów zwiększy poziom hałasu w Usłudze, potencjalnie powodując DoS. Ponadto zmiany w zestawach zasobów mogą prowadzić do zakłóceń zasobów, unikania polityki, naruszeń zgodności oraz zakłóceń w kontrolach bezpieczeństwa w środowisku.
fms:PutAppsList
, fms:DeleteAppsList
fms:PutAppsList
, fms:DeleteAppsList
Atakujący posiadający uprawnienia fms:PutAppsList
i fms:DeleteAppsList
będzie mógł tworzyć, modyfikować lub usuwać listy aplikacji z AWS Firewall Manager. Może to być krytyczne, ponieważ nieautoryzowanym aplikacjom może być udzielony dostęp do ogółu publicznego, lub dostęp do autoryzowanych aplikacji może zostać zablokowany, powodując DoS.
Potencjalne skutki: To może skutkować błędnymi konfiguracjami, unikaniem zasad, naruszeniami zgodności i zakłóceniem kontroli bezpieczeństwa w środowisku.
fms:PutProtocolsList
, fms:DeleteProtocolsList
fms:PutProtocolsList
, fms:DeleteProtocolsList
Atakujący posiadający uprawnienia fms:PutProtocolsList
i fms:DeleteProtocolsList
będzie mógł tworzyć, modyfikować lub usuwać listy protokołów z AWS Firewall Manager. Podobnie jak w przypadku list aplikacji, może to być krytyczne, ponieważ nieautoryzowane protokoły mogą być używane przez ogół użytkowników, lub użycie autoryzowanych protokołów może zostać zablokowane, co prowadzi do ataku typu DoS.
Potencjalne skutki: Może to skutkować błędnymi konfiguracjami, unikaniem zasad, naruszeniami zgodności oraz zakłóceniem kontroli bezpieczeństwa w środowisku.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Atakujący posiadający uprawnienia fms:PutNotificationChannel
oraz fms:DeleteNotificationChannel
mógłby usunąć i wyznaczyć rolę IAM oraz temat Amazon Simple Notification Service (SNS), który Firewall Manager używa do rejestrowania logów SNS.
Aby użyć fms:PutNotificationChannel
poza konsolą, należy skonfigurować polisę dostępu do tematu SNS, pozwalając określonej nazwie SnsRoleName na publikowanie logów SNS. Jeśli podana nazwa SnsRoleName jest rolą inną niż AWSServiceRoleForFMS
, wymagane jest skonfigurowanie relacji zaufania umożliwiającej usłudze Firewall Manager na przejęcie tej roli.
Aby uzyskać informacje na temat konfigurowania polisy dostępu do SNS:
urlhttps://github.com/HackTricks-wiki/hacktricks-cloud/blob/pl/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.mdPotencjalne skutki: To potencjalnie mogłoby prowadzić do pominięcia alertów bezpieczeństwa, opóźnionej reakcji na incydent, potencjalnych wycieków danych i zakłóceń operacyjnych w środowisku.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Atakujący posiadający uprawnienia fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
byłby w stanie skojarzyć lub rozłączyć zapory sieciowe innych dostawców z zarządzaniem centralnym za pośrednictwem AWS Firewall Manager.
Tylko domyślny administrator może tworzyć i zarządzać zaporami sieciowymi innych dostawców.
```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potencjalny wpływ:** Rozłączenie spowodowałoby unikanie zasad, naruszenia zgodności oraz zakłócenia kontroli bezpieczeństwa w środowisku. Z kolei połączenie doprowadziłoby do zakłócenia alokacji kosztów i budżetu.
fms:TagResource
, fms:UntagResource
fms:TagResource
, fms:UntagResource
Atakujący byłby w stanie dodać, zmodyfikować lub usunąć tagi z zasobów Firewall Manager, zakłócając alokację kosztów, śledzenie zasobów oraz polityki kontroli dostępu opartej na tagach.
Potencjalny wpływ: Zakłócenie alokacji kosztów, śledzenia zasobów oraz polityk kontroli dostępu opartych na tagach.
Odnośniki
Last updated