Manager Firewalla

AWS Firewall Manager usprawnia zarządzanie i konserwację AWS WAF, AWS Shield Advanced, grupy zabezpieczeń Amazon VPC oraz listy kontroli dostępu do sieci (ACL), AWS Network Firewall, AWS Route 53 Resolver DNS Firewall oraz zapory zewnętrzne w wielu kontach i zasobach. Umożliwia konfigurowanie reguł zapory, ochrony Shield Advanced, grup zabezpieczeń VPC oraz ustawień zapory sieciowej tylko raz, a usługa automatycznie egzekwuje te reguły i ochrony we wszystkich kontach i zasobach, w tym nowo dodanych.

Usługa oferuje możliwość grupowania i zabezpieczania określonych zasobów razem, takich jak te, które mają wspólny tag lub wszystkie dystrybucje CloudFront. Istotną zaletą Firewall Managera jest jego zdolność do automatycznego rozszerzania ochrony na nowo dodane zasoby w Twoim koncie.

Grupa reguł (zbiór reguł WAF) może być włączona do polityki AWS Firewall Manager, która jest następnie powiązana z określonymi zasobami AWS, takimi jak dystrybucje CloudFront lub równoważniki obciążenia aplikacji.

AWS Firewall Manager dostarcza zarządzane listy aplikacji i protokołów w celu uproszczenia konfiguracji i zarządzania politykami grup zabezpieczeń. Te listy pozwalają zdefiniować protokoły i aplikacje zezwolone lub zabronione przez Twoje polityki. Istnieją dwa rodzaje zarządzanych list:

• Zarządzane listy Firewall Managera: Te listy obejmują FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed i FMS-Default-Protocols-Allowed. Są zarządzane przez Firewall Managera i zawierają powszechnie używane aplikacje i protokoły, które powinny być zezwolone lub zabronione dla ogółu publiczności. Nie można ich edytować ani usuwać, jednak można wybrać ich wersję.

• Niestandardowe zarządzane listy: Te listy zarządzasz samodzielnie. Możesz tworzyć niestandardowe listy aplikacji i protokołów dostosowane do potrzeb Twojej organizacji. W przeciwieństwie do zarządzanych list Firewall Managera, te listy nie mają wersji, ale masz pełną kontrolę nad niestandardowymi listami, co pozwala na ich tworzenie, edytowanie i usuwanie według potrzeb.

Warto zauważyć, że **polityki Firewall Managera pozwalają tylko na działania "Blokuj" lub "Licznik" dla grupy reguł, bez opcji "Zezwalaj".

Wymagania wstępne

Następujące kroki wstępne muszą zostać wykonane przed przejściem do konfigurowania Firewall Managera w celu skutecznego zabezpieczenia zasobów Twojej organizacji. Te kroki zapewniają podstawową konfigurację wymaganą do egzekwowania polityk zabezpieczeń przez Firewall Managera i zapewnienia zgodności w całym Twoim środowisku AWS:

1. Dołącz i skonfiguruj AWS Organizations: Upewnij się, że Twoje konto AWS jest częścią organizacji AWS Organizations, w której planowane jest wdrożenie polityk AWS Firewall Manager. Umożliwia to scentralizowane zarządzanie zasobami i politykami w wielu kontach AWS w ramach organizacji.

2. Utwórz domyślne konto administratora AWS Firewall Manager: Utwórz domyślne konto administratora specjalnie do zarządzania politykami zabezpieczeń Firewall Manager. To konto będzie odpowiedzialne za konfigurowanie i egzekwowanie polityk zabezpieczeń w całej organizacji. Tylko konto zarządzające organizacją może tworzyć domyślne konta administratora Firewall Managera.

3. Włącz AWS Config: Aktywuj AWS Config, aby dostarczyć Firewall Managerowi niezbędne dane konfiguracyjne i wgląd wymagany do skutecznego egzekwowania polityk zabezpieczeń. AWS Config pomaga analizować, audytować, monitorować i audytować konfiguracje i zmiany zasobów, ułatwiając lepsze zarządzanie bezpieczeństwem.

4. Dla polityk firm zewnętrznych, zasubskrybuj w AWS Marketplace i skonfiguruj ustawienia firm zewnętrznych: Jeśli planujesz korzystać z polityk zapór firm zewnętrznych, zasubskrybuj je w AWS Marketplace i skonfiguruj niezbędne ustawienia. Ten krok zapewnia, że Firewall Manager może integrować i egzekwować polityki od zaufanych dostawców firm zewnętrznych.

5. Dla polityk zapory sieciowej i zapory DNS, włącz udostępnianie zasobów: Włącz udostępnianie zasobów specjalnie dla polityk zapory sieciowej i zapory DNS. Pozwala to Firewall Managerowi zastosować ochronę zapory do VPC i rozdzielania DNS Twojej organizacji, zwiększając bezpieczeństwo sieci.

6. Aby używać AWS Firewall Managera w regionach domyślnie wyłączonych: Jeśli planujesz korzystać z Firewall Managera w regionach AWS, które są domyślnie wyłączone, upewnij się, że podejmujesz niezbędne kroki, aby włączyć jego funkcjonalność w tych regionach. Zapewnia to spójne egzekwowanie zabezpieczeń we wszystkich regionach, w których działa Twoja organizacja.

Więcej informacji znajdziesz tutaj: Rozpoczęcie pracy z politykami AWS Firewall Manager AWS WAF.

Rodzaje polityk ochronnych

AWS Firewall Manager zarządza kilkoma rodzajami polityk w celu egzekwowania kontroli zabezpieczeń w różnych aspektach infrastruktury Twojej organizacji:

1. Polityka AWS WAF: Ten rodzaj polityki obsługuje zarówno AWS WAF, jak i AWS WAF Classic. Możesz zdefiniować, które zasoby są chronione przez politykę. Dla polityk AWS WAF możesz określić zestawy grup reguł do uruchomienia jako pierwsze i ostatnie w ACL sieci web. Dodatkowo właściciele kont mogą dodać reguły i grupy reguł do uruchomienia między tymi zestawami.

2. Polityka Shield Advanced: Ta polityka stosuje ochrony Shield Advanced w całej organizacji dla określonych typów zasobów. Pomaga zabezpieczyć przed atakami DDoS i innymi zagrożeniami.

3. Polityka grupy zabezpieczeń Amazon VPC: Dzięki tej polityce możesz zarządzać grupami zabezpieczeń używanymi w całej organizacji, egzekwując podstawowy zestaw reguł w całym środowisku AWS w celu kontrolowania dostępu do sieci.

4. Polityka listy kontroli dostępu do sieci Amazon VPC (ACL): Ten rodzaj polityki daje Ci kontrolę nad listami kontroli dostępu do sieci używanymi w Twojej organizacji, pozwalając na egzekwowanie podstawowego zestawu list kontroli dostępu do sieci w całym środowisku AWS.

5. Polityka zapory sieciowej: Ta polityka stosuje ochronę zapory sieciowej AWS do VPC Twojej organizacji, zwiększając bezpieczeństwo sieci poprzez filtrowanie ruchu na podstawie predefiniowanych reguł.

6. Polityka zapory DNS Route 53 Resolver Amazon: Ta polityka stosuje ochrony zapory DNS do VPC Twojej organizacji, pomagając blokować próby rozwiązania złośliwych domen i egzekwować polityki zabezpieczeń dla ruchu DNS.

7. Polityka zapory firm zewnętrznych: Ten rodzaj polityki stosuje ochrony z zapór firm zewnętrznych, które są dostępne na subskrypcję za pośrednictwem konsoli AWS Marketplace. Pozwala to na integrację dodatkowych środków bezpieczeństwa od zaufanych dostawców w Twoje środowisko AWS.

8. Polityka Palo Alto Networks Cloud NGFW: Ta polityka stosuje ochrony Palo Alto Networks Cloud Next Generation Firewall (NGFW) i stosy reguł do VPC Twojej organizacji, zapewniając zaawansowaną ochronę przed zagrożeniami i kontrolę bezpieczeństwa na poziomie aplikacji.

9. Polityka Fortigate Cloud Native Firewall (CNF) as a Service: Ta polityka stosuje ochrony Fortigate Cloud Native Firewall (CNF) as a Service, oferując wiodącą w branży ochronę przed zagrożeniami, zapórę aplikacji internetowych (WAF) i ochronę interfejsu API dostosowaną do infrastruktur chmurowych.

Konta administratorów

AWS Firewall Manager oferuje elastyczność w zarządzaniu zasobami zapory ogniowej w Twojej organizacji poprzez swoje zakresy administracyjne i dwa rodzaje kont administratorów.

Zakres administracyjny definiuje zasoby, którymi może zarządzać administrator Firewall Managera. Po tym, jak konto zarządzające organizacją AWS Organizations dołączy organizację do Firewall Managera, może ono utworzyć dodatkowych administratorów o różnych zakresach administracyjnych. Te zakresy mogą obejmować:

• Konta lub jednostki organizacyjne (OUs), do których administrator może stosować zasady.

• Regiony, w których administrator może wykonywać działania.

• Typy zasad Firewall Managera, którymi administrator może zarządzać.

Zakres administracyjny może być albo pełny, albo ograniczony. Pełny zakres przyznaje administratorowi dostęp do wszystkich określonych typów zasobów, regionów i typów zasad. W przeciwieństwie do tego, ograniczony zakres zapewnia uprawnienia administracyjne tylko do podzbioru zasobów, regionów lub typów zasad. Zaleca się przyznawanie administratorom tylko tych uprawnień, których potrzebują do skutecznego wykonywania swoich ról. Można zastosować dowolną kombinację tych warunków zakresu administracyjnego do administratora, zapewniając przestrzeganie zasady najmniejszych uprawnień.

Istnieją dwa różne rodzaje kont administratorów, z których każde pełni określone role i odpowiedzialności:

• Domyślny administrator:

• Domyślne konto administratora jest tworzone przez konto zarządzające organizacją AWS Organizations podczas procesu dołączania do Firewall Managera.

• To konto ma zdolność do zarządzania zaporami innych firm i posiada pełny zakres administracyjny.

• Służy jako główne konto administratora dla Firewall Managera, odpowiedzialne za konfigurowanie i egzekwowanie zasad bezpieczeństwa w całej organizacji.

• Podczas gdy domyślny administrator ma pełny dostęp do wszystkich typów zasobów i funkcji administracyjnych, działa na tym samym poziomie rówieśniczym co inni administratorzy, jeśli w organizacji jest wykorzystywanych kilku administratorów.

• Administratorzy Firewall Managera:

• Ci administratorzy mogą zarządzać zasobami w zakresie określonym przez konto zarządzające organizacją AWS Organizations, zdefiniowanym przez konfigurację zakresu administracyjnego.

• Administratorzy Firewall Managera są tworzeni, aby spełniać określone role w organizacji, umożliwiając delegowanie odpowiedzialności przy jednoczesnym zachowaniu standardów bezpieczeństwa i zgodności.

• Po utworzeniu Firewall Manager sprawdza z AWS Organizations, czy konto jest już delegowanym administratorem. Jeśli nie, Firewall Manager wywołuje Organizations, aby wskazać konto jako delegowanego administratora dla Firewall Managera.

Zarządzanie tymi kontami administratorów polega na ich tworzeniu w Firewall Managerze i definiowaniu ich zakresów administracyjnych zgodnie z wymaganiami bezpieczeństwa organizacji i zasadą najmniejszych uprawnień. Przypisując odpowiednie role administracyjne, organizacje mogą zapewnić skuteczne zarządzanie bezpieczeństwem, jednocześnie zachowując szczegółową kontrolę nad dostępem do wrażliwych zasobów.

Warto podkreślić, że tylko jedno konto w organizacji może pełnić rolę domyślnego administratora Firewall Managera, przestrzegając zasady "pierwszy wchodzi, ostatni wychodzi". Aby wskazać nowego domyślnego administratora, należy przejść przez serię kroków:

• Po pierwsze, każde konto administratora Firewall musi wycofać swoje własne konto.

• Następnie istniejący domyślny administrator może wycofać swoje własne konto, efektywnie wyłączając organizację z Firewall Managera. Ten proces skutkuje usunięciem wszystkich zasad Firewall Managera utworzonych przez wycofane konto.

• Na zakończenie konto zarządzające organizacją AWS Organizations musi wskazać domyślnego administratora Firewall Managera.

Wyliczanie

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Eksploatacja / Ominięcie Wykrywania

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Atakujący posiadający uprawnienia fms:AssociateAdminAccount będzie mógł ustawić domyślne konto administratora Firewall Manager. Dzięki uprawnieniom fms:PutAdminAccount atakujący będzie mógł utworzyć lub zaktualizować konto administratora Firewall Manager, a dzięki uprawnieniom fms:DisassociateAdminAccount potencjalny atakujący mógłby usunąć powiązanie bieżącego konta administratora Firewall Manager.

• Rozwiązanie domyślnego administratora Firewall Manager podlega zasadzie "pierwszy wchodzi, ostatni wychodzi". Wszyscy administratorzy Firewall Manager muszą zostać rozwiązani przed tym, jak domyślny administrator Firewall Manager może rozwiązać konto.

• Aby utworzyć konto administratora Firewall Manager za pomocą PutAdminAccount, konto musi należeć do organizacji, która została wcześniej dołączona do Firewall Manager za pomocą AssociateAdminAccount.

• Utworzenie konta administratora Firewall Manager może być dokonane tylko przez konto zarządzające organizacją.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potencjalne skutki: Utrata scentralizowanego zarządzania, unikanie zasad, naruszenia zgodności oraz zakłócenie kontroli bezpieczeństwa w środowisku.

fms:PutPolicy, fms:DeletePolicy

Atakujący posiadający uprawnienia fms:PutPolicy, fms:DeletePolicy będzie mógł tworzyć, modyfikować lub trwale usuwać politykę AWS Firewall Manager.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Przykład polityki permisywnej poprzez grupę zezwalającą, w celu obejścia detekcji, mógłby być następujący:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potencjalne skutki: Demontaż kontroli bezpieczeństwa, unikanie zasad, naruszenia zgodności, zakłócenia operacyjne oraz potencjalne naruszenia danych w środowisku.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Atakujący posiadający uprawnienia fms:BatchAssociateResource i fms:BatchDisassociateResource będzie mógł odpowiednio łączyć lub rozłączać zasoby z zestawu zasobów Firewall Manager. Ponadto uprawnienia fms:PutResourceSet i fms:DeleteResourceSet pozwolą atakującemu tworzyć, modyfikować lub usuwać te zestawy zasobów z AWS Firewall Manager.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potencjalne skutki: Dodanie zbędnego zestawu elementów do zbioru zasobów zwiększy poziom hałasu w Usłudze, potencjalnie powodując DoS. Ponadto zmiany w zestawach zasobów mogą prowadzić do zakłóceń zasobów, unikania polityki, naruszeń zgodności oraz zakłóceń w kontrolach bezpieczeństwa w środowisku.

fms:PutAppsList, fms:DeleteAppsList

Atakujący posiadający uprawnienia fms:PutAppsList i fms:DeleteAppsList będzie mógł tworzyć, modyfikować lub usuwać listy aplikacji z AWS Firewall Manager. Może to być krytyczne, ponieważ nieautoryzowanym aplikacjom może być udzielony dostęp do ogółu publicznego, lub dostęp do autoryzowanych aplikacji może zostać zablokowany, powodując DoS.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Potencjalne skutki: To może skutkować błędnymi konfiguracjami, unikaniem zasad, naruszeniami zgodności i zakłóceniem kontroli bezpieczeństwa w środowisku.

fms:PutProtocolsList, fms:DeleteProtocolsList

Atakujący posiadający uprawnienia fms:PutProtocolsList i fms:DeleteProtocolsList będzie mógł tworzyć, modyfikować lub usuwać listy protokołów z AWS Firewall Manager. Podobnie jak w przypadku list aplikacji, może to być krytyczne, ponieważ nieautoryzowane protokoły mogą być używane przez ogół użytkowników, lub użycie autoryzowanych protokołów może zostać zablokowane, co prowadzi do ataku typu DoS.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potencjalne skutki: Może to skutkować błędnymi konfiguracjami, unikaniem zasad, naruszeniami zgodności oraz zakłóceniem kontroli bezpieczeństwa w środowisku.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Atakujący posiadający uprawnienia fms:PutNotificationChannel oraz fms:DeleteNotificationChannel mógłby usunąć i wyznaczyć rolę IAM oraz temat Amazon Simple Notification Service (SNS), który Firewall Manager używa do rejestrowania logów SNS.

Aby użyć fms:PutNotificationChannel poza konsolą, należy skonfigurować polisę dostępu do tematu SNS, pozwalając określonej nazwie SnsRoleName na publikowanie logów SNS. Jeśli podana nazwa SnsRoleName jest rolą inną niż AWSServiceRoleForFMS, wymagane jest skonfigurowanie relacji zaufania umożliwiającej usłudze Firewall Manager na przejęcie tej roli.

Aby uzyskać informacje na temat konfigurowania polisy dostępu do SNS:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potencjalne skutki: To potencjalnie mogłoby prowadzić do pominięcia alertów bezpieczeństwa, opóźnionej reakcji na incydent, potencjalnych wycieków danych i zakłóceń operacyjnych w środowisku.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Atakujący posiadający uprawnienia fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall byłby w stanie skojarzyć lub rozłączyć zapory sieciowe innych dostawców z zarządzaniem centralnym za pośrednictwem AWS Firewall Manager.

```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potencjalny wpływ:** Rozłączenie spowodowałoby unikanie zasad, naruszenia zgodności oraz zakłócenia kontroli bezpieczeństwa w środowisku. Z kolei połączenie doprowadziłoby do zakłócenia alokacji kosztów i budżetu.

fms:TagResource, fms:UntagResource

Atakujący byłby w stanie dodać, zmodyfikować lub usunąć tagi z zasobów Firewall Manager, zakłócając alokację kosztów, śledzenie zasobów oraz polityki kontroli dostępu opartej na tagach.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potencjalny wpływ: Zakłócenie alokacji kosztów, śledzenia zasobów oraz polityk kontroli dostępu opartych na tagach.

Odnośniki

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html