Firewall Menadžer

AWS Firewall Menadžer olakšava upravljanje i održavanje AWS WAF, AWS Shield Advanced, Amazon VPC sigurnosnim grupama i listama kontrola pristupa mreži (ACLs), AWS Network Firewall-om, AWS Route 53 Resolver DNS Firewall-om i firewall-ovima trećih strana preko više naloga i resursa. Omogućava vam da konfigurišete pravila vašeg firewall-a, Shield Advanced zaštite, VPC sigurnosne grupe i postavke Network Firewall-a samo jednom, sa uslugom koja automatski sprovodi ova pravila i zaštite preko vaših naloga i resursa, uključujući i novo dodate.

Usluga nudi mogućnost da grupiše i zaštiti određene resurse zajedno, poput onih koji dele zajedničku oznaku ili sve vaše CloudFront distribucije. Značajna prednost Firewall Menadžera je njegova sposobnost da automatski proširi zaštitu na novo dodate resurse u vašem nalogu.

Grupa pravila (kolekcija WAF pravila) može biti uključena u AWS Firewall Menadžer Politiku, koja je zatim povezana sa određenim AWS resursima kao što su CloudFront distribucije ili balanseri opterećenja aplikacija.

AWS Firewall Menadžer pruža upravljane liste aplikacija i protokola kako bi pojednostavio konfiguraciju i upravljanje sigurnosnim grupnim pravilima. Ove liste vam omogućavaju da definišete protokole i aplikacije koje su dozvoljene ili zabranjene od strane vaših pravila. Postoje dva tipa upravljanih lista:

• Firewall Menadžer upravljane liste: Ove liste uključuju FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed i FMS-Default-Protocols-Allowed. One su upravljane od strane Firewall Menadžera i uključuju često korišćene aplikacije i protokole koji bi trebalo da budu dozvoljeni ili zabranjeni široj javnosti. Nije moguće uređivati ili brisati ih, međutim, možete izabrati njihovu verziju.

• Upravljane liste po meri: Vi upravljate ovim listama sami. Možete kreirati liste aplikacija i protokola prilagođene potrebama vaše organizacije. Za razliku od Firewall Menadžer upravljanih lista, ove liste nemaju verzije, ali imate potpunu kontrolu nad listama po meri, što vam omogućava da ih kreirate, uređujete i brišete po potrebi.

Važno je napomenuti da Firewall Menadžer politike dozvoljavaju samo akcije "Blokiraj" ili "Broj" za grupu pravila, bez opcije "Dozvoli".

Preduslovi

Sledeći preduslovni koraci moraju biti završeni pre nego što nastavite sa konfigurisanjem Firewall Menadžera kako biste efikasno zaštitili resurse vaše organizacije. Ovi koraci obezbeđuju osnovnu postavku potrebnu za Firewall Menadžer kako bi sproveo sigurnosne politike i osigurao usklađenost širom vašeg AWS okruženja:

1. Pridružite se i konfigurišite AWS Organizacije: Proverite da li je vaš AWS nalog deo AWS Organizacija organizacije gde su planirane AWS Firewall Menadžer politike. Ovo omogućava centralizovano upravljanje resursima i politikama preko više AWS naloga unutar organizacije.

2. Kreirajte podrazumevani administratorski nalog AWS Firewall Menadžera: Uspostavite podrazumevani administratorski nalog posebno za upravljanje sigurnosnim politikama Firewall Menadžera. Ovaj nalog će biti odgovoran za konfigurisanje i sprovođenje sigurnosnih politika širom organizacije. Samo upravljački nalog organizacije može kreirati podrazumevane administratorske naloge Firewall Menadžera.

3. Omogućite AWS Config: Aktivirajte AWS Config kako biste Firewall Menadžeru obezbedili potrebne podatke o konfiguraciji i uvide potrebne za efikasno sprovođenje sigurnosnih politika. AWS Config pomaže u analizi, reviziji, praćenju i reviziji konfiguracija resursa i promena, olakšavajući bolje upravljanje sigurnošću.

4. Za politike trećih strana, Pretplatite se na AWS Marketplace i Konfigurišite Postavke Trećih Strana: Ako planirate da koristite politike trećih strana, pretplatite se na njih na AWS Marketplace-u i konfigurišite neophodne postavke. Ovaj korak osigurava da Firewall Menadžer može integrisati i sprovoditi politike od pouzdanih dobavljača trećih strana.

5. Za politike Network Firewall-a i DNS Firewall-a, omogućite deljenje resursa: Omogućite deljenje resursa posebno za politike Network Firewall-a i DNS Firewall-a. Ovo omogućava Firewall Menadžeru da primeni firewall zaštite na VPC-ove vaše organizacije i DNS rezoluciju, poboljšavajući sigurnost mreže.

6. Da biste koristili AWS Firewall Menadžer u regionima koji su podrazumevano onemogućeni: Ako nameravate da koristite Firewall Menadžer u AWS regionima koji su podrazumevano onemogućeni, pobrinite se da preduzmete neophodne korake da omogućite njegovu funkcionalnost u tim regionima. Ovo osigurava dosledno sprovođenje sigurnosti širom svih regiona gde vaša organizacija posluje.

Za više informacija, proverite: Početak rada sa AWS Firewall Menadžer AWS WAF politikama.

Vrste politika zaštite

AWS Firewall Menadžer upravlja nekoliko vrsta politika kako bi sproveo sigurnosne kontrole širom različitih aspekata infrastrukture vaše organizacije:

1. AWS WAF Politika: Ovaj tip politike podržava kako AWS WAF tako i AWS WAF Classic. Možete definisati koje resurse štiti politika. Za AWS WAF politike, možete specificirati setove grupa pravila koje će se izvršavati prvo i poslednje u web ACL-u. Dodatno, vlasnici naloga mogu dodati pravila i grupe pravila koje će se izvršavati između ovih setova.

2. Shield Advanced Politika: Ova politika primenjuje Shield Advanced zaštite širom vaše organizacije za određene tipove resursa. Pomaže u zaštiti od DDoS napada i drugih pretnji.

3. Amazon VPC Sigurnosna Grupa Politika: Sa ovom politikom, možete upravljati sigurnosnim grupama korišćenim širom vaše organizacije, sprovodeći osnovni set pravila širom vašeg AWS okruženja kako biste kontrolisali pristup mreži.

4. Amazon VPC Lista Kontrola Pristupa Mreži (ACL) Politika: Ovaj tip politike vam daje kontrolu nad listama kontrola pristupa mreži korišćenim u vašoj organizaciji, omogućavajući vam da sprovedete osnovni set lista kontrola pristupa mreži širom vašeg AWS okruženja.

5. Network Firewall Politika: Ova politika primenjuje AWS Network Firewall zaštitu na VPC-ove vaše organizacije, poboljšavajući sigurnost mreže filtriranjem saobraćaja na osnovu unapred definisanih pravila.

6. Amazon Route 53 Resolver DNS Firewall Politika: Ova politika primenjuje DNS Firewall zaštite na VPC-ove vaše organizacije, pomažući u blokiranju pokušaja zlonamernog rešavanja domena i sprovođenju sigurnosnih politika za DNS saobraćaj.

7. Politika Firewall-a Trećih Strana: Ovaj tip politike primenjuje zaštite od firewall-a trećih strana, koje su dostupne putem pretplate preko AWS Marketplace konzole. Omogućava vam da integrišete dodatne sigurnosne mere od pouzdanih dobavljača u vaše AWS okruženje.

8. Palo Alto Networks Cloud NGFW Politika: Ova politika primenjuje Palo Alto Networks Cloud Next Generation Firewall (NGFW) zaštite i rulestacks na VPC-ove vaše organizacije, pružajući naprednu prevenciju pretnji i kontrole sigurnosti na nivou aplikacije.

9. Fortigate Cloud Native Firewall (CNF) as a Service Politika: Ova politika primenjuje Fortigate Cloud Native Firewall (CNF) as a Service zaštite, nudeći vodeću zaštitu od pretnji, web aplikacioni firewall (WAF) i zaštitu API-ja prilagođenu za cloud infrastrukture.

Administratorski nalozi

AWS Firewall Manager nudi fleksibilnost u upravljanju resursima zaštitnog zida unutar vaše organizacije putem svog administrativnog opsega i dva tipa administratorskih naloga.

Administrativni opseg definiše resurse koje Firewall Manager administrator može upravljati. Nakon što AWS Organizations upravljački nalog uključi organizaciju u Firewall Manager, može kreirati dodatne administratore sa različitim administrativnim opsezima. Ti opsezi mogu uključivati:

• Naloge ili organizacione jedinice (OJ) na koje administrator može primeniti politike.

• Regioni u kojima administrator može izvršavati akcije.

• Tipovi politika Firewall Manager-a koje administrator može upravljati.

Administrativni opseg može biti ili potpun ili ograničen. Potpuni opseg daje administratoru pristup svim navedenim tipovima resursa, regionima i tipovima politika. Nasuprot tome, ograničeni opseg pruža administrativnu dozvolu samo za podskup resursa, regiona ili tipova politika. Preporučljivo je dodeliti administratorima samo dozvole koje su im potrebne da bi efikasno obavljali svoje uloge. Možete primeniti bilo koju kombinaciju ovih uslova administrativnog opsega administratoru, osiguravajući poštovanje principa najmanjih privilegija.

Postoje dva različita tipa administratorskih naloga, svaki obavljajući specifične uloge i odgovornosti:

• Podrazumevani administrator:

• Podrazumevani administratorski nalog kreira AWS Organizations upravljački nalog organizacije tokom procesa uključivanja u Firewall Manager.

• Ovaj nalog ima mogućnost upravljanja spoljnim zaštitnim zidovima i poseduje potpuni administrativni opseg.

• Služi kao primarni administratorski nalog za Firewall Manager, odgovoran za konfigurisanje i sprovođenje sigurnosnih politika širom organizacije.

• Iako podrazumevani administrator ima pun pristup svim tipovima resursa i administrativnim funkcijama, funkcioniše na istom nivou kao i drugi administratori ako se koristi više administratora unutar organizacije.

• Administratori Firewall Manager-a:

• Ovi administratori mogu upravljati resursima unutar opsega određenog od strane AWS Organizations upravljačkog naloga, kako je definisano konfiguracijom administrativnog opsega.

• Administratori Firewall Manager-a se kreiraju da bi obavljali specifične uloge unutar organizacije, omogućavajući delegiranje odgovornosti dok se održavaju sigurnosni i usklađenost standardi.

• Prilikom kreiranja, Firewall Manager proverava sa AWS Organizations da bi utvrdio da li je nalog već delegirani administrator. Ako nije, Firewall Manager poziva Organizations da odredi nalog kao delegiranog administratora za Firewall Manager.

Upravljanje ovim administratorskim nalozima uključuje njihovo kreiranje unutar Firewall Manager-a i definisanje njihovih administrativnih opsega prema sigurnosnim zahtevima organizacije i principu najmanjih privilegija. Dodelom odgovarajućih administratorskih uloga, organizacije mogu osigurati efikasno upravljanje sigurnošću dok održavaju granularnu kontrolu nad pristupom osetljivim resursima.

Važno je istaći da samo jedan nalog unutar organizacije može služiti kao podrazumevani administrator Firewall Manager-a, pridržavajući se principa "prvi unutra, poslednji napolje". Da bi se odredio novi podrazumevani administrator, mora se pratiti serija koraka:

• Prvo, svaki Firewall Administrator administratorski nalog mora opozvati svoj nalog.

• Zatim, postojeći podrazumevani administrator može opozvati svoj nalog, efikasno isključujući organizaciju iz Firewall Manager-a. Ovaj proces rezultira brisanjem svih Firewall Manager politika kreiranih od strane opozvanog naloga.

• Da bi se završilo, AWS Organizations upravljački nalog mora odrediti podrazumevanog administratora Firewall Manager-a.

Enumeracija

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Eksploatacija / Zaobilaženje Detekcije

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Napadač sa dozvolom fms:AssociateAdminAccount bio bi u mogućnosti da postavi podrazumevani administratorski nalog Firewall Manager-a. Sa dozvolom fms:PutAdminAccount, napadač bi bio u mogućnosti da kreira ili ažurira administratorski nalog Firewall Manager-a, a sa dozvolom fms:DisassociateAdminAccount, potencijalni napadač bi mogao ukloniti trenutnu asocijaciju administratorskog naloga Firewall Manager-a.

• Razdvajanje podrazumevanog administratora Firewall Manager-a prati politiku "prvi unutra, poslednji napolje". Svi administratori Firewall Manager-a moraju biti razdvojeni pre nego što podrazumevani administrator Firewall Manager-a može razdvojiti nalog.

• Da bi se kreirao administratorski nalog Firewall Manager-a pomoću PutAdminAccount, nalog mora pripadati organizaciji koja je prethodno uključena u Firewall Manager korišćenjem AssociateAdminAccount.

• Kreiranje administratorskog naloga Firewall Manager-a može obaviti samo upravljački nalog organizacije.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potencijalni uticaj: Gubitak centralizovanog upravljanja, izbegavanje pravila, kršenje usaglašenosti i narušavanje sigurnosnih kontrola unutar okruženja.

fms:PutPolicy, fms:DeletePolicy

Napadač sa dozvolama fms:PutPolicy, fms:DeletePolicy bio bi u mogućnosti da kreira, modifikuje ili trajno obriše AWS Firewall Manager pravilo.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Primer dozvoljene politike kroz dozvolnu sigurnosnu grupu, kako bi se izbeglo otkrivanje, mogao bi biti sledeći:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potencijalni uticaj: Rasklapanje sigurnosnih kontrola, izbegavanje pravila, kršenje usaglašenosti, operativne smetnje i potencijalno curenje podataka unutar okruženja.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Napadač sa dozvolama fms:BatchAssociateResource i fms:BatchDisassociateResource bio bi u mogućnosti da poveže ili razdvoji resurse iz skupa resursa Firewall Manager-a, respektivno. Pored toga, dozvole fms:PutResourceSet i fms:DeleteResourceSet omogućile bi napadaču da kreira, modifikuje ili obriše ove skupove resursa iz AWS Firewall Manager-a.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potencijalni uticaj: Dodavanje nepotrebnog broja stavki u skup resursa povećaće nivo buke u Servisu, potencijalno izazivajući DoS. Pored toga, promene u skupovima resursa mogu dovesti do poremećaja resursa, izbegavanja politika, kršenja usaglašenosti i poremećaja sigurnosnih kontrola unutar okruženja.

fms:PutAppsList, fms:DeleteAppsList

Napadač sa dozvolama fms:PutAppsList i fms:DeleteAppsList bio bi u mogućnosti da kreira, modifikuje ili obriše liste aplikacija iz AWS Firewall Manager-a. Ovo može biti kritično, jer neovlašćene aplikacije mogu dobiti pristup opštoj javnosti, ili pristup ovlašćenim aplikacijama može biti uskraćen, izazivajući DoS.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Potencijalni uticaj: Ovo bi moglo rezultirati neispravnim konfiguracijama, izbegavanjem pravila, kršenjem usaglašenosti i narušavanjem sigurnosnih kontrola unutar okruženja.

fms:PutProtocolsList, fms:DeleteProtocolsList

Napadač sa dozvolama fms:PutProtocolsList i fms:DeleteProtocolsList bio bi u mogućnosti da kreira, modifikuje ili obriše liste protokola iz AWS Firewall Manager-a. Slično kao sa listama aplikacija, ovo bi moglo biti kritično jer neovlašćeni protokoli mogu biti korišćeni od strane opšte javnosti, ili korišćenje odobrenih protokola može biti odbijeno, uzrokujući DoS.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potencijalni uticaj: Ovo bi moglo rezultirati nepravilnim konfiguracijama, izbegavanjem pravila, kršenjem usaglašenosti i narušavanjem sigurnosnih kontrola unutar okruženja.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Napadač sa dozvolama fms:PutNotificationChannel i fms:DeleteNotificationChannel bio bi u mogućnosti da obriše i odredi IAM ulogu i Amazon Simple Notification Service (SNS) temu koju Firewall Manager koristi za beleženje SNS zapisa.

Da biste koristili fms:PutNotificationChannel van konzole, potrebno je postaviti pristupnu politiku teme SNS, omogućavajući određenoj SnsRoleName da objavljuje SNS zapise. Ako je pruženi SnsRoleName uloga koja nije AWSServiceRoleForFMS, potrebno je konfigurisati poverenički odnos koji dozvoljava Firewall Manager servisnom principalu fms.amazonaws.com da preuzme ovu ulogu.

Za informacije o konfigurisanju pristupne politike SNS:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potencijalni uticaj: Ovo bi potencijalno moglo dovesti do propuštanja sigurnosnih upozorenja, odloženog odgovora na incidente, potencijalnih povreda podataka i operativnih poremećaja unutar okruženja.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Napadač sa dozvolama fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall bio bi u mogućnosti da poveže ili razdvoji treće strane vatrozide koji se upravljaju centralno putem AWS Firewall Manager-a.

```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potencijalni uticaj:** Raskidanje veze bi dovelo do izbegavanja politike, kršenja usaglašenosti i poremećaja sigurnosnih kontrola unutar okruženja. S druge strane, veza bi dovela do poremećaja alokacije troškova i budžeta.

fms:TagResource, fms:UntagResource

Napadač bi mogao da dodaje, menja ili uklanja oznake sa resursa Firewall Manager-a, poremetivši alokaciju troškova, praćenje resursa i politike kontrole pristupa vaše organizacije na osnovu oznaka.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potencijalni uticaj: Poremećaj alokacije troškova, praćenja resursa i politika kontrole pristupa zasnovanih na oznakama.

Reference

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html