AWS - Firewall Manager Enum

Reading time: 17 minutes

Firewall Manager

AWS Firewall Manager pojednostavljuje upravljanje i održavanje AWS WAF, AWS Shield Advanced, Amazon VPC sigurnosnih grupa i mrežnih kontrolnih lista (ACL), kao i AWS Network Firewall, AWS Route 53 Resolver DNS Firewall i vatrozida trećih strana širom više naloga i resursa. Omogućava vam da konfigurišete pravila vatrozida, Shield Advanced zaštite, VPC sigurnosne grupe i postavke mrežnog vatrozida samo jednom, uz to što usluga automatski sprovodi ova pravila i zaštite širom vaših naloga i resursa, uključujući novododate.

Usluga nudi mogućnost da grupisete i zaštitite specifične resurse zajedno, kao što su oni koji dele zajedničku oznaku ili sve vaše CloudFront distribucije. Značajna prednost Firewall Manager-a je njegova sposobnost da automatski proširi zaštitu na novododate resurse u vašem nalogu.

Grupa pravila (kolekcija WAF pravila) može biti uključena u AWS Firewall Manager politiku, koja se zatim povezuje sa specifičnim AWS resursima kao što su CloudFront distribucije ili aplikacijski balansatori opterećenja.

AWS Firewall Manager pruža upravljane liste aplikacija i protokola kako bi pojednostavio konfiguraciju i upravljanje politikama sigurnosnih grupa. Ove liste vam omogućavaju da definišete protokole i aplikacije koje su dozvoljene ili zabranjene vašim politikama. Postoje dve vrste upravljanih lista:

• Upravljane liste Firewall Manager-a: Ove liste uključuju FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed i FMS-Default-Protocols-Allowed. Njima upravlja Firewall Manager i uključuju često korišćene aplikacije i protokole koji bi trebali biti dozvoljeni ili zabranjeni široj javnosti. Nije moguće uređivati ili brisati ove liste, međutim, možete odabrati njihovu verziju.
• Prilagođene upravljane liste: Ove liste upravljate sami. Možete kreirati prilagođene liste aplikacija i protokola prilagođene potrebama vaše organizacije. Za razliku od upravljanih lista Firewall Manager-a, ove liste nemaju verzije, ali imate potpunu kontrolu nad prilagođenim listama, što vam omogućava da ih kreirate, uređujete i brišete prema potrebi.

Važno je napomenuti da Firewall Manager politike dozvoljavaju samo "Block" ili "Count" akcije za grupu pravila, bez opcije "Allow".

Prerequisites

Sledeći koraci preduslova moraju biti završeni pre nego što nastavite sa konfiguracijom Firewall Manager-a kako biste efikasno zaštitili resurse vaše organizacije. Ovi koraci pružaju osnovnu postavku potrebnu za Firewall Manager da sprovodi sigurnosne politike i osigura usklađenost širom vašeg AWS okruženja:

1. Pridružite se i konfigurišite AWS Organizations: Osigurajte da je vaš AWS nalog deo AWS Organizations organizacije u kojoj su planirane AWS Firewall Manager politike. Ovo omogućava centralizovano upravljanje resursima i politikama širom više AWS naloga unutar organizacije.
2. Kreirajte AWS Firewall Manager Default Administrator Account: Uspostavite podrazumevani administratorski nalog posebno za upravljanje Firewall Manager sigurnosnim politikama. Ovaj nalog će biti odgovoran za konfiguraciju i sprovođenje sigurnosnih politika širom organizacije. Samo upravljački nalog organizacije može kreirati podrazumevane administratorske naloge Firewall Manager-a.
3. Omogućite AWS Config: Aktivirajte AWS Config kako biste obezbedili Firewall Manager-u potrebne podatke o konfiguraciji i uvide potrebne za efikasno sprovođenje sigurnosnih politika. AWS Config pomaže u analizi, reviziji, praćenju i reviziji konfiguracija resursa i promena, olakšavajući bolje upravljanje sigurnošću.
4. Za politike trećih strana, pretplatite se u AWS Marketplace i konfigurišite postavke trećih strana: Ako planirate da koristite politike vatrozida trećih strana, pretplatite se na njih u AWS Marketplace-u i konfigurišite potrebne postavke. Ovaj korak osigurava da Firewall Manager može integrisati i sprovoditi politike od pouzdanih dobavljača trećih strana.
5. Za politike mrežnog vatrozida i DNS vatrozida, omogućite deljenje resursa: Omogućite deljenje resursa posebno za politike mrežnog vatrozida i DNS vatrozida. Ovo omogućava Firewall Manager-u da primeni zaštitu vatrozida na VPC-ove i DNS rezoluciju vaše organizacije, poboljšavajući mrežnu sigurnost.
6. Da biste koristili AWS Firewall Manager u regionima koji su podrazumevano onemogućeni: Ako nameravate da koristite Firewall Manager u AWS regionima koji su podrazumevano onemogućeni, osigurajte da preduzmete potrebne korake da omogućite njegovu funkcionalnost u tim regionima. Ovo osigurava dosledno sprovođenje sigurnosti širom svih regiona u kojima vaša organizacija posluje.

Za više informacija, proverite: Getting started with AWS Firewall Manager AWS WAF policies.

Types of protection policies

AWS Firewall Manager upravlja nekoliko vrsta politika za sprovođenje sigurnosnih kontrola širom različitih aspekata infrastrukture vaše organizacije:

1. AWS WAF Policy: Ova vrsta politike podržava i AWS WAF i AWS WAF Classic. Možete definisati koji resursi su zaštićeni politikom. Za AWS WAF politike, možete odrediti skupove grupa pravila koje će se izvršavati prve i poslednje u web ACL-u. Pored toga, vlasnici naloga mogu dodavati pravila i grupe pravila koja će se izvršavati između ovih skupova.
2. Shield Advanced Policy: Ova politika primenjuje Shield Advanced zaštite širom vaše organizacije za specificirane tipove resursa. Pomaže u zaštiti od DDoS napada i drugih pretnji.
3. Amazon VPC Security Group Policy: Sa ovom politikom, možete upravljati sigurnosnim grupama koje se koriste širom vaše organizacije, sprovodeći osnovni set pravila širom vašeg AWS okruženja kako biste kontrolisali mrežni pristup.
4. Amazon VPC Network Access Control List (ACL) Policy: Ova vrsta politike daje vam kontrolu nad mrežnim ACL-ima koji se koriste u vašoj organizaciji, omogućavajući vam da sprovodite osnovni set mrežnih ACL-a širom vašeg AWS okruženja.
5. Network Firewall Policy: Ova politika primenjuje AWS Network Firewall zaštitu na VPC-ove vaše organizacije, poboljšavajući mrežnu sigurnost filtriranjem saobraćaja na osnovu unapred definisanih pravila.
6. Amazon Route 53 Resolver DNS Firewall Policy: Ova politika primenjuje DNS Firewall zaštite na VPC-ove vaše organizacije, pomažući u blokiranju pokušaja zlonamerne rezolucije domena i sprovođenju sigurnosnih politika za DNS saobraćaj.
7. Third-Party Firewall Policy: Ova vrsta politike primenjuje zaštite od vatrozida trećih strana, koje su dostupne putem pretplate kroz AWS Marketplace konzolu. Omogućava vam da integrišete dodatne sigurnosne mere od pouzdanih dobavljača u vaše AWS okruženje.
8. Palo Alto Networks Cloud NGFW Policy: Ova politika primenjuje zaštite i pravila Palo Alto Networks Cloud Next Generation Firewall (NGFW) na VPC-ove vaše organizacije, pružajući naprednu prevenciju pretnji i kontrole sigurnosti na nivou aplikacija.
9. Fortigate Cloud Native Firewall (CNF) as a Service Policy: Ova politika primenjuje zaštite Fortigate Cloud Native Firewall (CNF) kao uslugu, nudeći vodeću prevenciju pretnji, vatrozid za web aplikacije (WAF) i zaštitu API-ja prilagođenu za cloud infrastrukture.

Administrator accounts

AWS Firewall Manager nudi fleksibilnost u upravljanju resursima vatrozida unutar vaše organizacije kroz svoj administrativni opseg i dva tipa administratorskih naloga.

Administrativni opseg definiše resurse kojima administrator Firewall Manager-a može upravljati. Nakon što AWS Organizations upravljački nalog uključi organizaciju u Firewall Manager, može kreirati dodatne administratore sa različitim administrativnim opsezima. Ovi opsezi mogu uključivati:

• Nalozi ili organizacione jedinice (OU) na koje administrator može primeniti politike.
• Regioni u kojima administrator može izvršavati akcije.
• Tipovi politika Firewall Manager-a kojima administrator može upravljati.

Administrativni opseg može biti potpun ili ograničen. Potpuni opseg daje administratoru pristup svim specificiranim tipovima resursa, regionima i tipovima politika. Nasuprot tome, ograničeni opseg pruža administrativna prava samo na podskup resursa, regiona ili tipova politika. Preporučuje se da se administratorima dodele samo prava koja su im potrebna da efikasno obavljaju svoje uloge. Možete primeniti bilo koju kombinaciju ovih uslova administrativnog opsega na administratora, osiguravajući pridržavanje principa minimalnih privilegija.

Postoje dva različita tipa administratorskih naloga, svaki sa specifičnim ulogama i odgovornostima:

• Default Administrator:
• Podrazumevani administratorski nalog kreira upravljački nalog AWS Organizations organizacije tokom procesa uključivanja u Firewall Manager.
• Ovaj nalog ima sposobnost da upravlja vatrozidima trećih strana i poseduje potpuni administrativni opseg.
• Služi kao primarni administratorski nalog za Firewall Manager, odgovoran za konfiguraciju i sprovođenje sigurnosnih politika širom organizacije.
• Dok podrazumevani administrator ima potpuni pristup svim tipovima resursa i administrativnim funkcionalnostima, deluje na istom nivou kao i drugi administratori ako se više administratora koristi unutar organizacije.
• Firewall Manager Administrators:
• Ovi administratori mogu upravljati resursima unutar opsega koji je odredio upravljački nalog AWS Organizations, kako je definisano konfiguracijom administrativnog opsega.
• Administratori Firewall Manager-a se kreiraju kako bi ispunili specifične uloge unutar organizacije, omogućavajući delegaciju odgovornosti dok se održavaju standardi sigurnosti i usklađenosti.
• Nakon kreiranja, Firewall Manager proverava sa AWS Organizations da li je nalog već delegirani administrator. Ako nije, Firewall Manager poziva Organizations da odredi nalog kao delegiranog administratora za Firewall Manager.

Upravljanje ovim administratorskim nalozima uključuje njihovo kreiranje unutar Firewall Manager-a i definisanje njihovih administrativnih opsega prema sigurnosnim zahtevima organizacije i principu minimalnih privilegija. Dodeljivanjem odgovarajućih administrativnih uloga, organizacije mogu osigurati efikasno upravljanje sigurnošću dok održavaju granularnu kontrolu nad pristupom osetljivim resursima.

Važno je naglasiti da samo jedan nalog unutar organizacije može služiti kao podrazumevani administrator Firewall Manager-a, pridržavajući se principa "prvi unutra, poslednji napolju". Da biste odredili novog podrazumevanog administratora, mora se slediti niz koraka:

• Prvo, svaki Firewall Administrator administratorski nalog mora opozvati svoj nalog.
• Zatim, postojeći podrazumevani administrator može opozvati svoj nalog, efektivno isključujući organizaciju iz Firewall Manager-a. Ovaj proces rezultira brisanjem svih Firewall Manager politika koje je kreirao opozvani nalog.
• Na kraju, upravljački nalog AWS Organizations mora odrediti podrazumevanog administratora Firewall Manager-a.

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Napadač sa fms:AssociateAdminAccount dozvolom bi mogao da postavi podrazumevani administratorski nalog Firewall Manager-a. Sa fms:PutAdminAccount dozvolom, napadač bi mogao da kreira ili ažurira administratorski nalog Firewall Manager-a, a sa fms:DisassociateAdminAccount dozvolom, potencijalni napadač bi mogao da ukloni trenutnu asocijaciju administratorskog naloga Firewall Manager-a.

• Uklanjanje asocijacije podrazumevanog administratora Firewall Manager-a prati politiku prvi unutra, poslednji napolje. Svi administratori Firewall Manager-a moraju da se uklone pre nego što podrazumevani administrator Firewall Manager-a može da ukloni nalog.
• Da bi se kreirao administrator Firewall Manager-a putem PutAdminAccount, nalog mora pripadati organizaciji koja je prethodno onboardovana na Firewall Manager koristeći AssociateAdminAccount.
• Kreiranje administratorskog naloga Firewall Manager-a može se izvršiti samo od strane upravljačkog naloga organizacije.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potencijalni uticaj: Gubitak centralizovanog upravljanja, izbegavanje politika, kršenje usklađenosti i ometanje bezbednosnih kontrola unutar okruženja.

fms:PutPolicy, fms:DeletePolicy

Napadač sa fms:PutPolicy, fms:DeletePolicy dozvolama mogao bi da kreira, menja ili trajno obriše AWS Firewall Manager politiku.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Primer permisivne politike kroz permisivnu sigurnosnu grupu, kako bi se zaobišla detekcija, mogao bi biti sledeći:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": [
"AWS::EC2::Instance",
"AWS::EC2::NetworkInterface",
"AWS::EC2::SecurityGroup",
"AWS::ElasticLoadBalancingV2::LoadBalancer",
"AWS::ElasticLoadBalancing::LoadBalancer"
],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potencijalni uticaj: Demontiranje bezbednosnih kontrola, izbegavanje politika, kršenje usklađenosti, operativne smetnje i potencijalni curenja podataka unutar okruženja.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Napadač sa fms:BatchAssociateResource i fms:BatchDisassociateResource dozvolama mogao bi da poveže ili odvoji resurse iz skupa resursa Firewall Manager-a. Pored toga, fms:PutResourceSet i fms:DeleteResourceSet dozvole bi omogućile napadaču da kreira, menja ili briše ove skupove resursa iz AWS Firewall Manager-a.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potencijalni uticaj: Dodavanje nepotrebne količine stavki u skup resursa povećaće nivo buke u Servisu, potencijalno uzrokujući DoS. Pored toga, promene u skupovima resursa mogle bi dovesti do prekida resursa, izbegavanja politika, kršenja usklađenosti i prekida bezbednosnih kontrola unutar okruženja.

fms:PutAppsList, fms:DeleteAppsList

Napadač sa fms:PutAppsList i fms:DeleteAppsList dozvolama mogao bi da kreira, menja ili briše liste aplikacija iz AWS Firewall Manager-a. Ovo bi moglo biti kritično, jer bi neovlašćene aplikacije mogle dobiti pristup javnosti, ili bi pristup ovlašćenim aplikacijama mogao biti odbijen, uzrokujući DoS.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Potencijalni uticaj: Ovo bi moglo rezultirati pogrešnim konfiguracijama, izbegavanjem politika, kršenjem usklađenosti i prekidom bezbednosnih kontrola unutar okruženja.

fms:PutProtocolsList, fms:DeleteProtocolsList

Napadač sa fms:PutProtocolsList i fms:DeleteProtocolsList dozvolama mogao bi da kreira, menja ili briše liste protokola iz AWS Firewall Manager-a. Slično kao sa listama aplikacija, ovo bi moglo biti kritično jer bi neovlašćeni protokoli mogli biti korišćeni od strane šire javnosti, ili bi korišćenje ovlašćenih protokola moglo biti onemogućeno, uzrokujući DoS.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potencijalni uticaj: Ovo može rezultirati pogrešnim konfiguracijama, izbegavanjem politika, kršenjem usklađenosti i prekidom bezbednosnih kontrola unutar okruženja.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Napadač sa fms:PutNotificationChannel i fms:DeleteNotificationChannel dozvolama mogao bi da obriše i odredi IAM ulogu i Amazon Simple Notification Service (SNS) temu koju Firewall Manager koristi za snimanje SNS logova.

Da biste koristili fms:PutNotificationChannel van konzole, potrebno je da postavite pristupnu politiku SNS teme, omogućavajući specificiranoj SnsRoleName da objavljuje SNS logove. Ako je pružena SnsRoleName uloga drugačija od AWSServiceRoleForFMS, zahteva odnos poverenja konfigurisan da dozvoli Firewall Manager servisnom principalu fms.amazonaws.com da preuzme ovu ulogu.

Za informacije o konfigurisanju pristupne politike SNS:

AWS - SNS Enum

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potencijalni uticaj: Ovo bi potencijalno moglo dovesti do propuštanja sigurnosnih upozorenja, kašnjenja u odgovoru na incidente, potencijalnih curenja podataka i operativnih prekida unutar okruženja.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Napadač sa fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall dozvolama bi mogao da poveže ili odvoji treće strane vatrozide od centralnog upravljanja putem AWS Firewall Manager-a.

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

Potencijalni uticaj: Dezintegracija bi dovela do izbegavanja politike, kršenja usklađenosti i prekida bezbednosnih kontrola unutar okruženja. Asocijacija, s druge strane, bi dovela do prekida raspodele troškova i budžeta.

fms:TagResource, fms:UntagResource

Napadač bi mogao da doda, izmeni ili ukloni oznake sa resursa Firewall Manager-a, ometajući raspodelu troškova vaše organizacije, praćenje resursa i politike kontrole pristupa zasnovane na oznakama.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potencijalni uticaj: Poremećaj u alokaciji troškova, praćenju resursa i politikama kontrole pristupa zasnovanim na oznakama.

Reference

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html
• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html
• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html