Διαχείριση Πυρασφάλειας

Το AWS Firewall Manager διευκολύνει τη διαχείριση και τη συντήρηση του AWS WAF, AWS Shield Advanced, των ομάδων ασφαλείας Amazon VPC και των λιστών ελέγχου πρόσβασης δικτύου (ACLs) της AWS, καθώς και του AWS Network Firewall, του AWS Route 53 Resolver DNS Firewall και των φραγμάτων τρίτων σε πολλαπλούς λογαριασμούς και πόρους. Σας επιτρέπει να διαμορφώσετε τους κανόνες της πυρασφάλειάς σας, τις προστασίες Shield Advanced, τις ομάδες ασφαλείας VPC και τις ρυθμίσεις του Network Firewall μόνο μία φορά, με την υπηρεσία να επιβάλλει αυτόματα αυτούς τους κανόνες και προστασίες σε όλους τους λογαριασμούς και πόρους σας, συμπεριλαμβανομένων των νεοπροστεθέντων.

Η υπηρεσία προσφέρει τη δυνατότητα ομαδοποίησης και προστασίας συγκεκριμένων πόρων μαζί, όπως αυτών που μοιράζονται ένα κοινό ετικέτα ή όλων των διανομών CloudFront σας. Ένα σημαντικό πλεονέκτημα του Firewall Manager είναι η ικανότητά του να επεκτείνει αυτόματα την προστασία σε νεοπροστεθέντες πόρους στον λογαριασμό σας.

Μια ομάδα κανόνων (μια συλλογή κανόνων WAF) μπορεί να ενσωματωθεί σε μια Πολιτική AWS Firewall Manager, η οποία στη συνέχεια συνδέεται με συγκεκριμένους πόρους AWS, όπως οι διανομές CloudFront ή οι ισορροπητές φορτίου εφαρμογών.

Το AWS Firewall Manager παρέχει διαχειριζόμενες λίστες εφαρμογών και πρωτοκόλλων για την απλοποίηση της διαμόρφωσης και διαχείρισης των πολιτικών ομάδων ασφαλείας. Αυτές οι λίστες σάς επιτρέπουν να ορίσετε τα πρωτόκολλα και τις εφαρμογές που επιτρέπονται ή απαγορεύονται από τις πολιτικές σας. Υπάρχουν δύο τύποι διαχειριζόμενων λιστών:

• Διαχειριζόμενες λίστες του Firewall Manager: Αυτές οι λίστες περιλαμβάνουν τις FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed και FMS-Default-Protocols-Allowed. Διαχειρίζονται από τον Firewall Manager και περιλαμβάνουν εφαρμογές και πρωτόκολλα που χρησιμοποιούνται συχνά και που πρέπει να επιτρέπονται ή να απαγορεύονται στο γενικό κοινό. Δεν είναι δυνατή η επεξεργασία ή διαγραφή τους, ωστόσο, μπορείτε να επιλέξετε την έκδοσή τους.

• Προσαρμοσμένες διαχειριζόμενες λίστες: Διαχειρίζεστε αυτές τις λίστες μόνοι σας. Μπορείτε να δημιουργήσετε προσαρμοσμένες λίστες εφαρμογών και πρωτοκόλλων προσαρμοσμένες στις ανάγκες του οργανισμού σας. Σε αντίθεση με τις διαχειριζόμενες λίστες του Firewall Manager, αυτές οι λίστες δεν έχουν εκδόσεις, αλλά έχετε πλήρη έλεγχο επί των προσαρμοσμένων λιστών, επιτρέποντάς σας να τις δημιουργείτε, να τις επεξεργάζεστε και να τις διαγράφετε όπως απαιτείται.

Είναι σημαντικό να σημειωθεί ότι οι πολιτικές του Firewall Manager επιτρέπουν μόνο "Αποκλεισμό" ή "Μέτρηση" ενεργειών για μια ομάδα κανόνων, χωρίς επιλογή "Επιτρέπεται".

Προαπαιτούμενα

Οι ακόλουθες προαπαιτούμενες ενέργειες πρέπει να ολοκληρωθούν πριν συνεχίσετε με τη ρύθμιση του Firewall Manager για να αρχίσετε να προστατεύετε αποτελεσματικά τους πόρους του οργανισμού σας. Αυτά τα βήματα παρέχουν τη θεμελιώδη ρύθμιση που απαιτείται για τον Firewall Manager ώστε να επιβάλει πολιτικές ασφαλείας και να διασφαλίσει τη συμμόρφωση σε όλο το περιβάλλον AWS σας:

1. Συμμετοχή και ρύθμιση των AWS Organizations: Βεβαιωθείτε ότι ο λογαριασμός AWS σας είναι μέρος του οργανισμού AWS Organizations όπου προγραμματίζεται να εφαρμοστούν οι πολιτικές του AWS Firewall Manager. Αυτό επιτρέπει την κεντρική διαχείριση των πόρων και των πολιτικών σε πολλαπλούς λογαριασμούς AWS εντός του οργανισμού.

2. Δημιουργία Προεπιλεγμένου Διαχειριστή Λογαριασμού AWS Firewall Manager: Δημιουργήστε έναν προεπιλεγμένο λογαριασμό διαχειριστή ειδικά για τη διαχείριση των πολιτικών ασφαλείας του Firewall Manager. Αυτός ο λογαριασμός θα είναι υπεύθυνος για τη διαμόρφωση και την επιβολή των πολιτικών ασφαλείας σε όλο τον οργανισμό. Μόνο ο λογαριασμός διαχείρισης του οργανισμού μπορεί να δημιουργήσει προεπιλεγμένους λογαριασμούς διαχειριστών του Firewall Manager.

3. Ενεργοποίηση του AWS Config: Ενεργοποιήστε το AWS Config για να παρέχετε στον Firewall Manager τα απαραίτητα δεδομένα ρύθμισης και εισαγωγές που απαιτούνται για την αποτελεσματική επιβολή των πολιτικών ασφαλείας. Το AWS Config βοηθά στην ανάλυση, ελέγχο, παρακολούθηση και ανάλυση των ρυθμίσεων και των αλλαγών πόρων, διευκολύνοντας την καλύτερη διαχείριση της ασφάλειας.

4. Για Πολιτικές Τρίτων, Εγγραφείτε στην AWS Marketplace και Ρυθμίστε τις Ρυθμίσεις Τρίτων: Αν σκοπεύετε να χρησιμοποιήσετε πολιτικές τρίτων φορέων πυρασφάλειας, εγγραφείτε σε αυτέ

Διαχειριστικοί λογαριασμοί

Το AWS Firewall Manager προσφέρει ευελιξία στη διαχείριση πόρων του τοίχου πυρασφάλειας στον οργανισμό σας μέσω του διοικητικού του πεδίου και δύο τύπων διαχειριστικών λογαριασμών.

Το διοικητικό πεδίο καθορίζει τους πόρους που μπορεί να διαχειριστεί ένας διαχειριστής του AWS Firewall Manager. Αφού ένα λογαριασμός διαχείρισης AWS Organizations ενσωματώσει έναν οργανισμό στον AWS Firewall Manager, μπορεί να δημιουργήσει επιπλέον διαχειριστές με διαφορετικά διοικητικά πεδία. Αυτά τα πεδία μπορεί να περιλαμβάνουν:

• Λογαριασμούς ή οργανωτικές μονάδες (OUs) στις οποίες ο διαχειριστής μπορεί να εφαρμόσει πολιτικές.

• Περιοχές όπου ο διαχειριστής μπορεί να εκτελέσει ενέργειες.

• Τύπους πολιτικής του AWS Firewall Manager που μπορεί να διαχειριστεί ο διαχειριστής.

Το διοικητικό πεδίο μπορεί να είναι είτε πλήρες είτε περιορισμένο. Το πλήρες πεδίο χορηγεί στον διαχειριστή πρόσβαση σε όλους τους καθορισμένους τύπους πόρων, περιοχές και τύπους πολιτικής. Αντίθετα, το περιορισμένο πεδίο παρέχει διοικητική άδεια μόνο για ένα υποσύνολο πόρων, περιοχών ή τύπων πολιτικής. Συνιστάται να χορηγούνται στους διαχειριστές μόνο οι άδειες που χρειάζονται για να εκπληρώσουν αποτελεσματικά τους ρόλους τους. Μπορείτε να εφαρμόσετε οποιαδήποτε συνδυασμό αυτών των διοικητικών πεδίων σε έναν διαχειριστή, εξασφαλίζοντας τη συμμόρφωση με την αρχή της ελάχιστης προνομιούχας πρόσβασης.

Υπάρχουν δύο διακριτοί τύποι διαχειριστικών λογαριασμών, ο καθένας εξυπηρετώντας συγκεκριμένους ρόλους και ευθύνες:

• Προεπιλεγμένος Διαχειριστής:

• Ο προεπιλεγμένος λογαριασμός διαχειριστή δημιουργείται από τον λογαριασμό διαχείρισης του οργανισμού AWS Organizations κατά τη διαδικασία ενσωμάτωσης στον AWS Firewall Manager.

• Αυτός ο λογαριασμός έχει τη δυνατότητα να διαχειρίζεται τοίχους πυρασφάλειας τρίτων και διαθέτει πλήρες διοικητικό πεδίο.

• Λειτουργεί ως κύριος λογαριασμός διαχειριστή για τον AWS Firewall Manager, υπεύθυνος για τη διαμόρφωση και την επιβολή πολιτικών ασφαλείας σε ολόκληρο τον οργανισμό.

• Ενώ ο προεπιλεγμένος διαχειριστής έχει πλήρη πρόσβαση σε όλους τους τύπους πόρων και διοικητικές λειτουργίες, λειτουργεί στον ίδιο επίπεδο με άλλους διαχειριστές αν χρησιμοποιούνται πολλοί διαχειριστές εντός του οργανισμού.

• Διαχειριστές του Firewall Manager:

• Αυτοί οι διαχειριστές μπορούν να διαχειριστούν πόρους εντός του πεδίου που καθορίζεται από τον λογαριασμό διαχείρισης του AWS Organizations, όπως ορίζεται από τη διαμόρφωση του διοικητικού πεδίου.

• Οι διαχειριστές του Firewall Manager δημιουργούνται για να εκπληρώσουν συγκεκριμένους ρόλους εντός του οργανισμού, επιτρέποντας την ανάθεση ευθυνών ενώ διατηρούνται πρότυπα ασφάλειας και συμμόρφωσης.

• Κατά τη δημιουργία, το Firewall Manager ελέγχει με το AWS Organizations για να προσδιορίσει εάν ο λογαριασμός είναι ήδη αναθεωρημένος διαχειριστής. Αν όχι, το Firewall Manager καλεί το Organizations να ορίσει τον λογαριασμό ως αναθεωρημένο διαχειριστή για τον Firewall Manager.

Η διαχείριση αυτών των διαχειριστικών λογαριασμών περιλαμβάνει τη δημιουργία τους εντός του Firewall Manager και τον καθορισμό των διοικητικών τους πεδίων σύμφωνα με τις απαιτήσεις ασφαλείας του οργανισμού και την αρχή της ελάχιστης προνομιούχας πρόσβασης. Με την ανάθεση κατάλληλων διοικητικών ρόλων, οι οργανισμοί μπορούν να εξασφαλίσουν την αποτελεσματική διαχείριση της ασφάλειας διατηρώντας παράλληλα λεπτομερή έλεγχο επί της πρόσβασης σε ευαίσθητους πόρους.

Είναι σημαντικό να τονίσουμε ότι μόνο ένας λογαριασμός εντός ενός οργανισμού μπορεί να λειτουργήσει ως προεπιλεγμένος διαχειριστής του Firewall Manager, τηρώντας την αρχή του "πρώτος μέσα, τελευταίος έξω". Για να οριστεί ένας νέος προεπιλεγμένος διαχειριστής, πρέπει να ακολουθηθεί μια σειρά από βήματα:

• Πρώτα, κάθε λογαριασμός διαχειριστή του Firewall πρέπει να ανακαλέσει τον δικό του λογαριασμό.

• Στη συνέχεια, ο υπάρχων προεπιλεγμένος διαχειριστής μπορεί να ανακαλέσει τον δικό του λογαριασμό, αποσυνδέοντας αποτελεσματικά τον οργανισμό από τον AWS Firewall Manager. Αυτή η διαδικασία οδηγεί στη διαγραφή όλων των πολιτικών του AWS Firewall Manager που δημιουργήθηκαν από τον ανακληθέντα λογαριασμό.

• Για να ολοκληρωθεί, ο λογαριασμός διαχείρισης του AWS Organizations πρέπει να ορίσει τον προεπιλεγμένο διαχειριστή του Firewall Manager.

Απαρίθμηση

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Ένας επιτιθέμενος με την άδεια fms:AssociateAdminAccount θα μπορούσε να ορίσει τον προεπιλεγμένο λογαριασμό διαχειριστή του Διαχειριστή Τοίχου Προστασίας. Με την άδεια fms:PutAdminAccount, ένας επιτιθέμενος θα μπορούσε να δημιουργήσει ή να ενημερώσει έναν λογαριασμό διαχειριστή του Διαχειριστή Τοίχου Προστασίας και με την άδεια fms:DisassociateAdminAccount, ένας πιθανός επιτιθέμενος θα μπορούσε να αφαιρέσει τη συσχέτιση του τρέχοντος λογαριασμού διαχειριστή του Διαχειριστή Τοίχου Προστασίας.

• Η αποσύνδεση του προεπιλεγμένου διαχειριστή του Διαχειριστή Τοίχου Προστασίας ακολουθεί την πολιτική πρώτος-μέσα-τελευταίος. Όλοι οι διαχειριστές του Διαχειριστή Τοίχου Προστασίας πρέπει να αποσυσχετιστούν πριν ο προεπιλεγμένος διαχειριστής του Διαχειριστή Τοίχου Προστασίας μπορέσει να αποσυσχετιστεί από τον λογαριασμό.

• Για τη δημιουργία ενός λογαριασμού διαχειριστή του Διαχειριστή Τοίχου Προστασίας με την εντολή PutAdminAccount, ο λογαριασμός πρέπει να ανήκει στον οργανισμό που προηγουμένως είχε ενταχθεί στον Διαχειριστή Τοίχου Προστασίας χρησιμοποιώντας την εντολή AssociateAdminAccount.

• Η δημιουργία ενός λογαριασμού διαχειριστή του Διαχειριστή Τοίχου Προστασίας μπορεί να γίνει μόνο από το λογαριασμό διαχείρισης του οργανισμού.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Πιθανή Επίπτωση: Απώλεια κεντρικής διαχείρισης, αποφυγή πολιτικής, παραβάσεις συμμόρφωσης και διαταραχή των ελέγχων ασφαλείας εντός του περιβάλλοντος.

fms:PutPolicy, fms:DeletePolicy

Ένας επιτιθέμενος με τις άδειες fms:PutPolicy, fms:DeletePolicy θα μπορούσε να δημιουργήσει, να τροποποιήσει ή να διαγράψει μόνιμα μια πολιτική του AWS Firewall Manager.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Ένα παράδειγμα ενός επιεικούς πολιτικής μέσω ενεργειακής ομάδας ασφαλείας, προκειμένου να παρακαμφθεί η ανίχνευση, θα μπορούσε να είναι το ακόλουθο:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Πιθανή Επίπτωση: Κατάργηση των ελέγχων ασφαλείας, αποφυγή πολιτικής, παραβάσεις συμμόρφωσης, λειτουργικές διακοπές και πιθανές διαρροές δεδομένων εντός του περιβάλλοντος.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Ένας επιτιθέμενος με τα δικαιώματα fms:BatchAssociateResource και fms:BatchDisassociateResource θα μπορούσε να συσχετίσει ή να αποσυσχετίσει πόρους από ένα σύνολο πόρων του Διαχειριστή Τοίχου Πυρασφάλειας αντίστοιχα. Επιπλέον, τα δικαιώματα fms:PutResourceSet και fms:DeleteResourceSet θα επιτρέψουν σε έναν επιτιθέμενο να δημιουργήσει, να τροποποιήσει ή να διαγράψει αυτά τα σύνολα πόρων από τον Διαχειριστή Τοίχου Πυρασφάλειας του AWS.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Πιθανή Επίπτωση: Η προσθήκη ενός περιττού ποσού στοιχείων σε ένα σύνολο πόρων θα αυξήσει το επίπεδο θορύβου στην Υπηρεσία, προκαλώντας πιθανώς ένα DoS. Επιπλέον, οι αλλαγές στα σύνολα πόρων θα μπορούσαν να οδηγήσουν σε διακοπή πόρων, αποφυγή πολιτικής, παραβίαση συμμόρφωσης και διαταραχή των ελέγχων ασφαλείας εντός του περιβάλλοντος.

fms:PutAppsList, fms:DeleteAppsList

Ένας επιτιθέμενος με τις άδειες fms:PutAppsList και fms:DeleteAppsList θα μπορούσε να δημιουργήσει, να τροποποιήσει ή να διαγράψει λίστες εφαρμογών από τον AWS Firewall Manager. Αυτό θα μπορούσε να είναι κρίσιμο, καθώς μη εξουσιοδοτημένες εφαρμογές θα μπορούσαν να επιτραπούν πρόσβαση στο γενικό κοινό, ή η πρόσβαση σε εξουσιοδοτημένες εφαρμογές θα μπορούσε να αρνηθεί, προκαλώντας ένα DoS.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Πιθανές Επιπτώσεις: Αυτό θα μπορούσε να οδηγήσει σε λανθασμένες ρυθμίσεις, αποφυγή πολιτικής, παραβιάσεις συμμόρφωσης και διαταραχή των ελέγχων ασφαλείας εντός του περιβάλλοντος.

fms:PutProtocolsList, fms:DeleteProtocolsList

Ένας επιτιθέμενος με τις άδειες fms:PutProtocolsList και fms:DeleteProtocolsList θα μπορούσε να δημιουργήσει, να τροποποιήσει ή να διαγράψει λίστες πρωτοκόλλων από τον AWS Firewall Manager. Με παρόμοιο τρόπο με τις λίστες εφαρμογών, αυτό θα μπορούσε να είναι κρίσιμο εφόσον μη εξουσιοδοτημένα πρωτόκολλα θα μπορούσαν να χρησιμοποιηθούν από το γενικό κοινό, ή η χρήση εξουσιοδοτημένων πρωτοκόλλων θα μπορούσε να αρνηθεί, προκαλώντας ένα DoS.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Πιθανή Επίπτωση: Αυτό θα μπορούσε να οδηγήσει σε λανθασμένες ρυθμίσεις, αποφυγή πολιτικής, παραβιάσεις συμμόρφωσης και διαταραχή των ελέγχων ασφαλείας εντός του περιβάλλοντος.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Ένας επιτιθέμενος με τις άδειες fms:PutNotificationChannel και fms:DeleteNotificationChannel θα μπορούσε να διαγράψει και να ορίσει τον ρόλο IAM και το θέμα Amazon Simple Notification Service (SNS) που χρησιμοποιεί ο Firewall Manager για την καταγραφή των SNS logs.

Για να χρησιμοποιήσετε το fms:PutNotificationChannel εκτός της κονσόλας, πρέπει να ρυθμίσετε την πολιτική πρόσβασης του θέματος SNS, επιτρέποντας στο καθορισμένο SnsRoleName να δημοσιεύει τα SNS logs. Αν το παρεχόμενο SnsRoleName είναι ένας ρόλος διαφορετικός από τον AWSServiceRoleForFMS, απαιτείται μια σχέση εμπιστοσύνης που έχει ρυθμιστεί για να επιτρέπει στον κύριο υπηρεσίας του Firewall Manager fms.amazonaws.com να υποθέσει αυτόν τον ρόλο.

Για πληροφορίες σχετικά με τη ρύθμιση μιας πολιτικής πρόσβασης SNS:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Πιθανές Επιπτώσεις: Αυτό θα μπορούσε να οδηγήσει σε αναποτελεσματικές ασφαλείας ειδοποιήσεις, καθυστερημένη ανταπόκριση σε περιστατικά, πιθανές διαρροές δεδομένων και λειτουργικές διακοπές εντός του περιβάλλοντος.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Ένας επιτιθέμενος με τις άδειες fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall θα μπορούσε να συσχετίσει ή να αποσυσχετίσει τρίτες πυρασφάλειες από τον κεντρικό έλεγχο μέσω του AWS Firewall Manager.

```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Πιθανή Επίδραση:** Η αποσύνδεση θα οδηγούσε σε αποφυγή πολιτικής, παραβάσεις συμμόρφωσης και διαταραχή των ελέγχων ασφαλείας εντός του περιβάλλοντος. Η σύνδεση από την άλλη θα οδηγούσε σε διαταραχή της κατανομής κόστους και προϋπολογισμού.

fms:TagResource, fms:UntagResource

Ένας επιτιθέμενος θα μπορούσε να προσθέσει, να τροποποιήσει ή να αφαιρέσει ετικέτες από τους πόρους του Διαχειριστή Τοίχου Προστασίας, διαταράσσοντας την κατανομή κόστους, την παρακολούθηση πόρων και τις πολιτικές ελέγχου πρόσβασης βασισμένες σε ετικέτες.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Πιθανή Επίπτωση: Διαταραχή της κατανομής του κόστους, της παρακολούθησης πόρων και των πολιτικών ελέγχου πρόσβασης βασισμένων σε ετικέτες.

Αναφορές

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html