Firewall Manager

AWS Firewall Manager vereinfacht das Management und die Wartung von AWS WAF, AWS Shield Advanced, Amazon VPC-Sicherheitsgruppen und Netzwerkzugriffssteuerungslisten (ACLs), AWS Network Firewall, AWS Route 53 Resolver DNS Firewall und Firewalls von Drittanbietern über mehrere Konten und Ressourcen hinweg. Es ermöglicht Ihnen, Ihre Firewall-Regeln, Shield Advanced-Schutzmaßnahmen, VPC-Sicherheitsgruppen und Netzwerk-Firewall-Einstellungen nur einmal zu konfigurieren, wobei der Dienst diese Regeln und Schutzmaßnahmen automatisch über Ihre Konten und Ressourcen hinweg durchsetzt, einschließlich neu hinzugefügter.

Der Dienst bietet die Möglichkeit, bestimmte Ressourcen zusammenzufassen und zu schützen, wie z. B. solche, die ein gemeinsames Tag teilen oder alle Ihre CloudFront-Verteilungen. Ein wesentlicher Vorteil des Firewall Managers ist seine Fähigkeit, den Schutz automatisch auf neu hinzugefügte Ressourcen in Ihrem Konto auszudehnen.

Eine Regelgruppe (eine Sammlung von WAF-Regeln) kann in eine AWS Firewall Manager-Richtlinie eingebunden werden, die dann mit spezifischen AWS-Ressourcen wie CloudFront-Verteilungen oder Anwendungs-Load-Balancern verknüpft ist.

AWS Firewall Manager bietet verwaltete Anwendungs- und Protokolllisten zur Vereinfachung der Konfiguration und Verwaltung von Sicherheitsgruppenrichtlinien. Diese Listen ermöglichen es Ihnen, die von Ihren Richtlinien erlaubten oder verweigerten Protokolle und Anwendungen zu definieren. Es gibt zwei Arten von verwalteten Listen:

• Firewall Manager verwaltete Listen: Diese Listen umfassen FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed und FMS-Default-Protocols-Allowed. Sie werden von Firewall Manager verwaltet und enthalten häufig verwendete Anwendungen und Protokolle, die der Allgemeinheit erlaubt oder verweigert werden sollten. Es ist nicht möglich, sie zu bearbeiten oder zu löschen, jedoch können Sie deren Version auswählen.

• Benutzerdefinierte verwaltete Listen: Diese Listen verwalten Sie selbst. Sie können benutzerdefinierte Anwendungs- und Protokolllisten erstellen, die auf die Bedürfnisse Ihrer Organisation zugeschnitten sind. Im Gegensatz zu den von Firewall Manager verwalteten Listen haben diese Listen keine Versionen, aber Sie haben die volle Kontrolle über benutzerdefinierte Listen, sodass Sie sie bei Bedarf erstellen, bearbeiten und löschen können.

Es ist wichtig zu beachten, dass Firewall Manager-Richtlinien nur "Block" oder "Count" Aktionen für eine Regelgruppe zulassen, ohne eine "Erlauben"-Option.

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie mit der Konfiguration des Firewall Managers beginnen können, um die Ressourcen Ihrer Organisation effektiv zu schützen. Diese Schritte stellen die grundlegende Einrichtung bereit, die für den Firewall Manager erforderlich ist, um Sicherheitsrichtlinien durchzusetzen und die Einhaltung in Ihrer AWS-Umgebung sicherzustellen:

1. Treten Sie AWS Organizations bei und konfigurieren Sie diese: Stellen Sie sicher, dass Ihr AWS-Konto Teil der AWS Organizations-Organisation ist, in der die AWS Firewall Manager-Richtlinien implementiert werden sollen. Dies ermöglicht eine zentrale Verwaltung von Ressourcen und Richtlinien über mehrere AWS-Konten innerhalb der Organisation.

2. Erstellen Sie ein Standardadministrator-Konto für AWS Firewall Manager: Richten Sie ein Standardadministrator-Konto ein, das speziell für die Verwaltung von Sicherheitsrichtlinien des Firewall Managers zuständig ist. Dieses Konto ist dafür verantwortlich, Sicherheitsrichtlinien in der Organisation zu konfigurieren und durchzusetzen. Nur das Verwaltungskonto der Organisation kann Standardadministrator-Konten für den Firewall Manager erstellen.

3. Aktivieren Sie AWS Config: Aktivieren Sie AWS Config, um dem Firewall Manager die erforderlichen Konfigurationsdaten und Einblicke bereitzustellen, die für die effektive Durchsetzung von Sicherheitsrichtlinien erforderlich sind. AWS Config hilft dabei, Ressourcenkonfigurationen und -änderungen zu analysieren, zu überprüfen, zu überwachen und zu überprüfen, was eine bessere Sicherheitsverwaltung ermöglicht.

4. Für Richtlinien von Drittanbietern, abonnieren Sie im AWS Marketplace und konfigurieren Sie die Einstellungen von Drittanbietern: Wenn Sie vorhaben, Richtlinien von Drittanbietern für Firewalls zu nutzen, abonnieren Sie diese im AWS Marketplace und konfigurieren Sie die erforderlichen Einstellungen. Dieser Schritt stellt sicher, dass der Firewall Manager Richtlinien von vertrauenswürdigen Drittanbietern integrieren und durchsetzen kann.

5. Für Netzwerk-Firewall- und DNS-Firewall-Richtlinien, aktivieren Sie die Ressourcenfreigabe: Aktivieren Sie die Ressourcenfreigabe speziell für Netzwerk-Firewall- und DNS-Firewall-Richtlinien. Dadurch kann der Firewall Manager Firewall-Schutzmaßnahmen auf die VPCs und die DNS-Auflösung Ihrer Organisation anwenden und die Netzwerksicherheit verbessern.

6. Um AWS Firewall Manager in standardmäßig deaktivierten Regionen zu verwenden: Wenn Sie beabsichtigen, den Firewall Manager in AWS-Regionen zu verwenden, die standardmäßig deaktiviert sind, stellen Sie sicher, dass Sie die erforderlichen Schritte unternehmen, um dessen Funktionalität in diesen Regionen zu aktivieren. Dies gewährleistet eine konsistente Sicherheitsdurchsetzung in allen Regionen, in denen Ihre Organisation tätig ist.

Weitere Informationen finden Sie unter: Erste Schritte mit AWS Firewall Manager AWS WAF-Richtlinien.

Arten von Schutzrichtlinien

AWS Firewall Manager verwaltet mehrere Arten von Richtlinien, um Sicherheitskontrollen über verschiedene Aspekte der Infrastruktur Ihrer Organisation durchzusetzen:

1. AWS WAF-Richtlinie: Dieser Richtlinientyp unterstützt sowohl AWS WAF als auch AWS WAF Classic. Sie können festlegen, welche Ressourcen durch die Richtlinie geschützt werden. Für AWS WAF-Richtlinien können Sie Sets von Regelgruppen festlegen, die zuerst und zuletzt im Web-ACL ausgeführt werden sollen. Darüber hinaus können Kontoinhaber Regeln und Regelgruppen hinzufügen, die zwischen diesen Sets ausgeführt werden sollen.

2. Shield Advanced-Richtlinie: Diese Richtlinie wendet Shield Advanced-Schutzmaßnahmen auf Ihre Organisation für bestimmte Ressourcentypen an. Sie hilft, sich gegen DDoS-Angriffe und andere Bedrohungen zu schützen.

3. Amazon VPC-Sicherheitsgruppenrichtlinie: Mit dieser Richtlinie können Sie Sicherheitsgruppen verwalten, die in Ihrer Organisation verwendet werden, und eine Grundmenge von Regeln in Ihrer AWS-Umgebung durchsetzen, um den Netzwerkzugriff zu steuern.

4. Amazon VPC-Netzwerkzugriffssteuerungslisten (ACL)-Richtlinie: Dieser Richtlinientyp gibt Ihnen die Kontrolle über Netzwerk-ACLs, die in Ihrer Organisation verwendet werden, und ermöglicht es Ihnen, eine Grundmenge von Netzwerk-ACLs in Ihrer AWS-Umgebung durchzusetzen.

5. Netzwerk-Firewall-Richtlinie: Diese Richtlinie wendet den AWS Network Firewall-Schutz auf die VPCs Ihrer Organisation an und verbessert die Netzwerksicherheit, indem der Datenverkehr basierend auf vordefinierten Regeln gefiltert wird.

6. Amazon Route 53 Resolver DNS Firewall-Richtlinie: Diese Richtlinie wendet DNS Firewall-Schutzmaßnahmen auf die VPCs Ihrer Organisation an, um bösartige Domainauflösungsversuche zu blockieren und Sicherheitsrichtlinien für den DNS-Datenverkehr durchzusetzen.

7. Richtlinie für Firewalls von Drittanbietern: Dieser Richtlinientyp wendet Schutzmaßnahmen von Firewalls von Drittanbietern an, die über das AWS Marketplace-Konsole abonniert werden können. Sie ermöglicht es Ihnen, zusätzliche Sicherheitsmaßnahmen von vertrauenswürdigen Anbietern in Ihre AWS-Umgebung zu integrieren.

8. Palo Alto Networks Cloud NGFW-Richtlinie: Diese Richtlinie wendet Palo Alto Networks Cloud Next Generation Firewall (NGFW)-Schutzmaßnahmen und Regelstapel auf die VPCs Ihrer Organisation an und bietet erweiterte Bedrohungsprävention und Sicherheitskontrollen auf Anwendungsebene.

9. Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinie: Diese Richtlinie wendet Fortigate Cloud Native Firewall (CNF) as a Service-Schutzmaßnahmen an, die branchenführende Bedrohungsprävention, Web Application Firewall (WAF) und API-Schutz bieten, die speziell für Cloud-Infrastrukturen entwickelt wurden.

Administrator-Konten

AWS Firewall Manager bietet Flexibilität bei der Verwaltung von Firewall-Ressourcen innerhalb Ihrer Organisation durch ihren administrativen Umfang und zwei Arten von Administrator-Konten.

Der administrative Umfang definiert die Ressourcen, die ein Firewall Manager-Administrator verwalten kann. Nachdem ein AWS Organizations-Verwaltungskonto eine Organisation in den Firewall Manager aufgenommen hat, kann es zusätzliche Administratoren mit unterschiedlichen administrativen Umfängen erstellen. Diese Umfänge können umfassen:

• Konten oder organisatorische Einheiten (OUs), auf die der Administrator Richtlinien anwenden kann.

• Regionen, in denen der Administrator Aktionen ausführen kann.

• Firewall Manager-Richtlinientypen, die der Administrator verwalten kann.

Der administrative Umfang kann entweder vollständig oder eingeschränkt sein. Ein vollständiger Umfang gewährt dem Administrator Zugriff auf alle angegebenen Ressourcentypen, Regionen und Richtlinientypen. Im Gegensatz dazu gewährt ein eingeschränkter Umfang administrative Berechtigungen nur für eine Teilmenge von Ressourcen, Regionen oder Richtlinientypen. Es ist ratsam, Administratoren nur die Berechtigungen zu erteilen, die sie benötigen, um ihre Aufgaben effektiv zu erfüllen. Sie können eine beliebige Kombination dieser administrativen Umfangsbedingungen auf einen Administrator anwenden, um die Einhaltung des Prinzips des geringsten Privilegs sicherzustellen.

Es gibt zwei verschiedene Arten von Administrator-Konten, die jeweils spezifische Rollen und Verantwortlichkeiten erfüllen:

• Standardadministrator:

• Das Standardadministrator-Konto wird vom AWS Organizations-Verwaltungskonto der Organisation während des Onboarding-Prozesses zum Firewall Manager erstellt.

• Dieses Konto hat die Möglichkeit, Drittanbieter-Firewalls zu verwalten und besitzt einen vollen administrativen Umfang.

• Es dient als primäres Administrator-Konto für den Firewall Manager, das für die Konfiguration und Durchsetzung von Sicherheitsrichtlinien in der gesamten Organisation verantwortlich ist.

• Während der Standardadministrator vollen Zugriff auf alle Ressourcentypen und administrativen Funktionen hat, arbeitet er auf der gleichen Peer-Ebene wie andere Administratoren, wenn mehrere Administratoren in der Organisation eingesetzt werden.

• Firewall Manager-Administratoren:

• Diese Administratoren können Ressourcen innerhalb des vom AWS Organizations-Verwaltungskonto festgelegten Umfangs verwalten, wie in der Konfiguration des administrativen Umfangs definiert.

• Firewall Manager-Administratoren werden erstellt, um spezifische Rollen innerhalb der Organisation zu erfüllen, was eine Delegation von Verantwortlichkeiten ermöglicht, während Sicherheits- und Compliance-Standards eingehalten werden.

• Beim Erstellen überprüft der Firewall Manager bei AWS Organizations, ob das Konto bereits ein delegierter Administrator ist. Wenn nicht, ruft der Firewall Manager bei Organizations an, um das Konto als delegierten Administrator für den Firewall Manager zu kennzeichnen.

Die Verwaltung dieser Administrator-Konten umfasst deren Erstellung im Firewall Manager und die Definition ihrer administrativen Umfänge gemäß den Sicherheitsanforderungen der Organisation und dem Prinzip des geringsten Privilegs. Durch die Zuweisung geeigneter administrativer Rollen können Organisationen eine effektive Sicherheitsverwaltung sicherstellen und gleichzeitig eine granulare Kontrolle über den Zugriff auf sensible Ressourcen aufrechterhalten.

Es ist wichtig zu betonen, dass nur ein Konto innerhalb einer Organisation als Standardadministrator für den Firewall Manager fungieren kann, unter Einhaltung des Prinzips "first in, last out". Um einen neuen Standardadministrator zu bestimmen, müssen eine Reihe von Schritten befolgt werden:

• Zunächst muss jedes Firewall-Manager-Administrator-Konto sein eigenes Konto widerrufen.

• Dann kann der bestehende Standardadministrator sein eigenes Konto widerrufen und die Organisation effektiv vom Firewall Manager abmelden. Dieser Vorgang führt zur Löschung aller vom widerrufenen Konto erstellten Firewall-Manager-Richtlinien.

• Abschließend muss das AWS Organizations-Verwaltungskonto den Firewall Manager-Standardadministrator bestimmen.

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post-Exploitation / Umgehung der Erkennung

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Ein Angreifer mit der Berechtigung fms:AssociateAdminAccount könnte das Standard-Administratorkonto des Firewall-Managers festlegen. Mit der Berechtigung fms:PutAdminAccount könnte ein Angreifer ein Firewall-Manager-Administratorkonto erstellen oder aktualisieren, und mit der Berechtigung fms:DisassociateAdminAccount könnte ein potenzieller Angreifer die aktuelle Zuordnung des Firewall-Manager-Administratorkontos entfernen.

• Die Trennung des Standard-Administrators des Firewall-Managers folgt der First-In-Last-Out-Richtlinie. Alle Firewall-Manager-Administratoren müssen sich trennen, bevor der Standard-Administrator des Firewall-Managers das Konto trennen kann.

• Um einen Firewall-Manager-Administrator durch PutAdminAccount zu erstellen, muss das Konto der Organisation angehören, die zuvor mit AssociateAdminAccount beim Firewall-Manager an Bord gegangen ist.

• Die Erstellung eines Firewall-Manager-Administratorkontos kann nur vom Managementkonto der Organisation durchgeführt werden.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potenzielle Auswirkungen: Verlust der zentralisierten Verwaltung, Umgehung von Richtlinien, Verstoß gegen Compliance und Störung der Sicherheitskontrollen innerhalb der Umgebung.

fms:PutPolicy, fms:DeletePolicy

Ein Angreifer mit den Berechtigungen fms:PutPolicy und fms:DeletePolicy könnte eine AWS Firewall Manager-Richtlinie erstellen, ändern oder dauerhaft löschen.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Ein Beispiel für eine großzügige Richtlinie durch eine großzügige Sicherheitsgruppe, um die Erkennung zu umgehen, könnte folgende sein:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potenzielle Auswirkungen: Abbau von Sicherheitskontrollen, Umgehung von Richtlinien, Verstoß gegen Compliance, Betriebsunterbrechungen und potenzielle Datenverstöße innerhalb der Umgebung.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Ein Angreifer mit den Berechtigungen fms:BatchAssociateResource und fms:BatchDisassociateResource kann Ressourcen mit einem Firewall Manager-Ressourcensatz verknüpfen oder davon trennen. Darüber hinaus würde es einem Angreifer mit den Berechtigungen fms:PutResourceSet und fms:DeleteResourceSet ermöglichen, diese Ressourcensätze im AWS Firewall Manager zu erstellen, zu ändern oder zu löschen.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potenzielle Auswirkungen: Die Hinzufügung einer unnötigen Menge von Elementen zu einem Ressourcensatz erhöht das Rauschen im Service und kann potenziell zu einem DoS führen. Darüber hinaus könnten Änderungen an den Ressourcensätzen zu einer Ressourcenunterbrechung, zur Umgehung von Richtlinien, zur Verletzung von Compliance-Vorschriften und zur Störung von Sicherheitskontrollen in der Umgebung führen.

fms:PutAppsList, fms:DeleteAppsList

Ein Angreifer mit den Berechtigungen fms:PutAppsList und fms:DeleteAppsList kann Anwendungslisten von AWS Firewall Manager erstellen, ändern oder löschen. Dies könnte kritisch sein, da nicht autorisierten Anwendungen möglicherweise Zugriff auf die Allgemeinheit gewährt wird oder der Zugriff auf autorisierte Anwendungen verweigert wird, was zu einem DoS führen könnte.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Potenzielle Auswirkungen: Dies könnte zu Fehlkonfigurationen, Umgehung von Richtlinien, Verstößen gegen die Compliance und Störungen von Sicherheitskontrollen in der Umgebung führen.

fms:PutProtocolsList, fms:DeleteProtocolsList

Ein Angreifer mit den Berechtigungen fms:PutProtocolsList und fms:DeleteProtocolsList könnte Protokolllisten von AWS Firewall Manager erstellen, ändern oder löschen. Ähnlich wie bei Anwendungslisten könnte dies kritisch sein, da nicht autorisierte Protokolle von der Allgemeinheit verwendet oder die Verwendung autorisierter Protokolle verweigert werden könnten, was zu einem DoS führen könnte.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potenzielle Auswirkungen: Dies könnte zu Fehlkonfigurationen, Umgehung von Richtlinien, Verstößen gegen die Compliance und zur Beeinträchtigung von Sicherheitskontrollen in der Umgebung führen.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Ein Angreifer mit den Berechtigungen fms:PutNotificationChannel und fms:DeleteNotificationChannel könnte die IAM-Rolle und das Amazon Simple Notification Service (SNS)-Thema löschen und festlegen, die Firewall Manager verwendet, um SNS-Protokolle aufzuzeichnen.

Um fms:PutNotificationChannel außerhalb der Konsole zu verwenden, müssen Sie die Zugriffsrichtlinie des SNS-Themas einrichten, die es dem angegebenen SnsRoleName erlaubt, SNS-Protokolle zu veröffentlichen. Wenn der bereitgestellte SnsRoleName eine Rolle ist, die nicht der AWSServiceRoleForFMS entspricht, ist eine Vertrauensbeziehung erforderlich, die konfiguriert ist, um dem Firewall Manager-Dienstprinzipal fms.amazonaws.com zu gestatten, diese Rolle anzunehmen.

Für Informationen zur Konfiguration einer SNS-Zugriffsrichtlinie:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potenzielle Auswirkungen: Dies könnte potenziell zu fehlenden Sicherheitswarnungen, verzögerter Reaktion auf Vorfälle, potenziellen Datenverlusten und Betriebsunterbrechungen in der Umgebung führen.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Ein Angreifer mit den Berechtigungen fms:AssociateThirdPartyFirewall und fms:DisssociateThirdPartyFirewall könnte Drittanbieter-Firewalls mit dem AWS Firewall Manager zentral verwalten oder die Verknüpfung aufheben.

```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potenzielle Auswirkungen:** Die Trennung würde zu einer Umgehung der Richtlinien, Verstößen gegen die Compliance und zur Störung der Sicherheitskontrollen in der Umgebung führen. Die Assoziation hingegen würde zu einer Störung der Kosten- und Budgetzuweisung führen.

fms:TagResource, fms:UntagResource

Ein Angreifer könnte Tags zu Firewall Manager-Ressourcen hinzufügen, ändern oder entfernen, was die Kostenzuweisung, die Ressourcenverfolgung und die Zugriffskontrollrichtlinien Ihrer Organisation auf der Grundlage von Tags stören würde.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potenzielle Auswirkungen: Störung der Kostenzuweisung, Ressourcenverfolgung und tagbasierten Zugriffskontrollrichtlinien.

Referenzen

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html