AWS - Firewall Manager Enum

Firewall Manager

AWS Firewall Manager कई खातों और संसाधनों में AWS WAF, AWS Shield Advanced, Amazon VPC security groups और Network Access Control Lists (ACLs), और AWS Network Firewall, AWS Route 53 Resolver DNS Firewall और तृतीय-पक्ष firewalls के प्रबंधन और रखरखाव को सरल बनाता है। यह आपको अपने firewall नियमों, Shield Advanced सुरक्षा, VPC security groups, और Network Firewall सेटिंग्स को केवल एक बार कॉन्फ़िगर करने की अनुमति देता है, सेवा स्वचालित रूप से इन नियमों और सुरक्षा को आपके खातों और संसाधनों में लागू करती है, जिसमें नए जोड़े गए भी शामिल हैं।

सेवा आपको विशिष्ट संसाधनों को एक साथ समूहित और सुरक्षित करने की क्षमता प्रदान करती है, जैसे कि वे जो एक सामान्य टैग साझा करते हैं या आपके सभी CloudFront वितरण। Firewall Manager का एक महत्वपूर्ण लाभ यह है कि यह स्वचालित रूप से नए जोड़े गए संसाधनों को सुरक्षा प्रदान करता है।

एक rule group (WAF नियमों का संग्रह) को AWS Firewall Manager Policy में शामिल किया जा सकता है, जिसे फिर CloudFront वितरण या application load balancers जैसे विशिष्ट AWS संसाधनों से जोड़ा जाता है।

AWS Firewall Manager managed application और protocol lists प्रदान करता है ताकि security group नीतियों के कॉन्फ़िगरेशन और प्रबंधन को सरल बनाया जा सके। ये सूचियाँ आपको उन प्रोटोकॉल और अनुप्रयोगों को परिभाषित करने की अनुमति देती हैं जिन्हें आपकी नीतियों द्वारा अनुमति या अस्वीकार किया गया है। दो प्रकार की managed lists हैं:

• Firewall Manager managed lists: इन सूचियों में FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed और FMS-Default-Protocols-Allowed शामिल हैं। इन्हें Firewall Manager द्वारा प्रबंधित किया जाता है और इसमें आमतौर पर उपयोग किए जाने वाले अनुप्रयोग और प्रोटोकॉल शामिल होते हैं जिन्हें आम जनता के लिए अनुमति या अस्वीकार किया जाना चाहिए। इन्हें संपादित या हटाया नहीं जा सकता है, हालांकि, आप इसके संस्करण का चयन कर सकते हैं।

• Custom managed lists: आप इन सूचियों को स्वयं प्रबंधित करते हैं। आप अपनी संगठन की आवश्यकताओं के अनुसार कस्टम अनुप्रयोग और प्रोटोकॉल सूचियाँ बना सकते हैं। Firewall Manager managed lists के विपरीत, इन सूचियों के संस्करण नहीं होते हैं, लेकिन आपके पास कस्टम सूचियों पर पूर्ण नियंत्रण होता है, जिससे आप आवश्यकतानुसार उन्हें बना, संपादित और हटा सकते हैं।

यह ध्यान रखना महत्वपूर्ण है कि Firewall Manager नीतियाँ केवल "Block" या "Count" क्रियाओं की अनुमति देती हैं किसी rule group के लिए, "Allow" विकल्प के बिना।

Prerequisites

Firewall Manager को कॉन्फ़िगर करने से पहले निम्नलिखित पूर्वापेक्षित चरणों को पूरा करना आवश्यक है ताकि आपके संगठन के संसाधनों की प्रभावी सुरक्षा सुनिश्चित की जा सके। ये चरण Firewall Manager को सुरक्षा नीतियों को लागू करने और आपके AWS वातावरण में अनुपालन सुनिश्चित करने के लिए आवश्यक बुनियादी सेटअप प्रदान करते हैं:

1. AWS Organizations में शामिल हों और कॉन्फ़िगर करें: सुनिश्चित करें कि आपका AWS खाता उस AWS Organizations संगठन का हिस्सा है जहाँ AWS Firewall Manager नीतियों को लागू करने की योजना है। यह संगठन के भीतर कई AWS खातों में संसाधनों और नीतियों के केंद्रीकृत प्रबंधन की अनुमति देता है।

2. AWS Firewall Manager Default Administrator Account बनाएं: विशेष रूप से Firewall Manager सुरक्षा नीतियों के प्रबंधन के लिए एक डिफ़ॉल्ट व्यवस्थापक खाता स्थापित करें। यह खाता संगठन में सुरक्षा नीतियों को कॉन्फ़िगर और लागू करने के लिए जिम्मेदार होगा। केवल संगठन का प्रबंधन खाता Firewall Manager डिफ़ॉल्ट व्यवस्थापक खाते बना सकता है।

3. AWS Config सक्षम करें: AWS Config को सक्रिय करें ताकि Firewall Manager को आवश्यक कॉन्फ़िगरेशन डेटा और अंतर्दृष्टि प्रदान की जा सके जो सुरक्षा नीतियों को प्रभावी ढंग से लागू करने के लिए आवश्यक है। AWS Config संसाधन कॉन्फ़िगरेशन और परिवर्तनों का विश्लेषण, ऑडिट, मॉनिटर और ऑडिट करने में मदद करता है, जिससे बेहतर सुरक्षा प्रबंधन की सुविधा मिलती है।

4. तृतीय-पक्ष नीतियों के लिए, AWS Marketplace में सदस्यता लें और तृतीय-पक्ष सेटिंग्स कॉन्फ़िगर करें: यदि आप तृतीय-पक्ष firewall नीतियों का उपयोग करने की योजना बना रहे हैं, तो AWS Marketplace में उन्हें सब्सक्राइब करें और आवश्यक सेटिंग्स कॉन्फ़िगर करें। यह चरण सुनिश्चित करता है कि Firewall Manager विश्वसनीय तृतीय-पक्ष विक्रेताओं से नीतियों को एकीकृत और लागू कर सकता है।

5. Network Firewall और DNS Firewall नीतियों के लिए, संसाधन साझाकरण सक्षम करें: विशेष रूप से Network Firewall और DNS Firewall नीतियों के लिए संसाधन साझाकरण सक्षम करें। यह Firewall Manager को आपके संगठन के VPCs और DNS संकल्प पर firewall सुरक्षा लागू करने की अनुमति देता है, जिससे नेटवर्क सुरक्षा बढ़ती है।

6. उन क्षेत्रों में AWS Firewall Manager का उपयोग करने के लिए जो डिफ़ॉल्ट रूप से अक्षम हैं: यदि आप उन क्षेत्रों में Firewall Manager का उपयोग करने का इरादा रखते हैं जो डिफ़ॉल्ट रूप से अक्षम हैं, तो सुनिश्चित करें कि आप उन क्षेत्रों में इसकी कार्यक्षमता को सक्षम करने के लिए आवश्यक कदम उठाते हैं। यह सुनिश्चित करता है कि आपके संगठन के संचालन वाले सभी क्षेत्रों में लगातार सुरक्षा लागू हो।

अधिक जानकारी के लिए, देखें: Getting started with AWS Firewall Manager AWS WAF policies.

Types of protection policies

AWS Firewall Manager आपके संगठन के बुनियादी ढांचे के विभिन्न पहलुओं में सुरक्षा नियंत्रण लागू करने के लिए कई प्रकार की नीतियों का प्रबंधन करता है:

1. AWS WAF Policy: यह नीति प्रकार AWS WAF और AWS WAF Classic दोनों का समर्थन करता है। आप परिभाषित कर सकते हैं कि कौन से संसाधन नीति द्वारा संरक्षित हैं। AWS WAF नीतियों के लिए, आप वेब ACL में पहले और अंतिम चलने वाले rule groups के सेट निर्दिष्ट कर सकते हैं। इसके अतिरिक्त, खाता मालिक इन सेटों के बीच चलने के लिए नियम और rule groups जोड़ सकते हैं।

2. Shield Advanced Policy: यह नीति आपके संगठन में निर्दिष्ट संसाधन प्रकारों के लिए Shield Advanced सुरक्षा लागू करती है। यह DDoS हमलों और अन्य खतरों से बचाने में मदद करती है।

3. Amazon VPC Security Group Policy: इस नीति के साथ, आप अपने संगठन में उपयोग किए जाने वाले security groups का प्रबंधन कर सकते हैं, अपने AWS वातावरण में नेटवर्क एक्सेस को नियंत्रित करने के लिए नियमों का एक आधारभूत सेट लागू कर सकते हैं।

4. Amazon VPC Network Access Control List (ACL) Policy: यह नीति प्रकार आपको आपके संगठन में उपयोग किए जाने वाले network ACLs पर नियंत्रण देता है, जिससे आप अपने AWS वातावरण में नेटवर्क ACLs का एक आधारभूत सेट लागू कर सकते हैं।

5. Network Firewall Policy: यह नीति आपके संगठन के VPCs पर AWS Network Firewall सुरक्षा लागू करती है, पूर्वनिर्धारित नियमों के आधार पर ट्रैफ़िक को फ़िल्टर करके नेटवर्क सुरक्षा को बढ़ाती है।

6. Amazon Route 53 Resolver DNS Firewall Policy: यह नीति आपके संगठन के VPCs पर DNS Firewall सुरक्षा लागू करती है, दुर्भावनापूर्ण डोमेन संकल्प प्रयासों को अवरुद्ध करने और DNS ट्रैफ़िक के लिए सुरक्षा नीतियों को लागू करने में मदद करती है।

7. Third-Party Firewall Policy: यह नीति प्रकार तृतीय-पक्ष firewalls से सुरक्षा लागू करती है, जो AWS Marketplace कंसोल के माध्यम से सदस्यता द्वारा उपलब्ध हैं। यह आपको अपने AWS वातावरण में विश्वसनीय विक्रेताओं से अतिरिक्त सुरक्षा उपायों को एकीकृत करने की अनुमति देता है।

8. Palo Alto Networks Cloud NGFW Policy: यह नीति आपके संगठन के VPCs पर Palo Alto Networks Cloud Next Generation Firewall (NGFW) सुरक्षा और नियमों को लागू करती है, उन्नत खतरे की रोकथाम और अनुप्रयोग-स्तरीय सुरक्षा नियंत्रण प्रदान करती है।

9. Fortigate Cloud Native Firewall (CNF) as a Service Policy: यह नीति Fortigate Cloud Native Firewall (CNF) as a Service सुरक्षा लागू करती है, क्लाउड बुनियादी ढांचे के लिए उद्योग-अग्रणी खतरे की रोकथाम, वेब अनुप्रयोग firewall (WAF), और API सुरक्षा प्रदान करती है।

Administrator accounts

AWS Firewall Manager आपके संगठन के भीतर firewall संसाधनों के प्रबंधन में लचीलापन प्रदान करता है इसके प्रशासनिक दायरे और दो प्रकार के व्यवस्थापक खातों के माध्यम से।

प्रशासनिक दायरा उन संसाधनों को परिभाषित करता है जिन्हें एक Firewall Manager व्यवस्थापक प्रबंधित कर सकता है। एक AWS Organizations प्रबंधन खाता Firewall Manager में एक संगठन को ऑनबोर्ड करने के बाद, यह विभिन्न प्रशासनिक दायरों के साथ अतिरिक्त व्यवस्थापक बना सकता है। इन दायरों में शामिल हो सकते हैं:

• खाते या संगठनात्मक इकाइयाँ (OUs) जिन पर व्यवस्थापक नीतियाँ लागू कर सकता है।

• क्षेत्र जहाँ व्यवस्थापक क्रियाएँ कर सकता है।

• Firewall Manager नीति प्रकार जिन्हें व्यवस्थापक प्रबंधित कर सकता है।

प्रशासनिक दायरा या तो पूर्ण या प्रतिबंधित हो सकता है। पूर्ण दायरा व्यवस्थापक को सभी निर्दिष्ट संसाधन प्रकारों, क्षेत्रों, और नीति प्रकारों तक पहुंच प्रदान करता है। इसके विपरीत, प्रतिबंधित दायरा केवल संसाधनों, क्षेत्रों, या नीति प्रकारों के एक उपसमुच्चय तक प्रशासनिक अनुमति प्रदान करता है। यह सलाह दी जाती है कि व्यवस्थापकों को केवल उन अनुमतियों को प्रदान करें जिनकी उन्हें अपनी भूमिकाओं को प्रभावी ढंग से पूरा करने के लिए आवश्यकता है। आप किसी भी संयोजन में इन प्रशासनिक दायरा शर्तों को एक व्यवस्थापक पर लागू कर सकते हैं, न्यूनतम विशेषाधिकार के सिद्धांत का पालन करते हुए।

दो विशिष्ट प्रकार के व्यवस्थापक खाते हैं, प्रत्येक विशिष्ट भूमिकाओं और जिम्मेदारियों की सेवा करते हैं:

• Default Administrator:

• डिफ़ॉल्ट व्यवस्थापक खाता AWS Organizations संगठन के प्रबंधन खाते द्वारा Firewall Manager में ऑनबोर्डिंग प्रक्रिया के दौरान बनाया जाता है।

• इस खाते में तृतीय-पक्ष firewalls का प्रबंधन करने की क्षमता होती है और इसमें पूर्ण प्रशासनिक दायरा होता है।

• यह Firewall Manager के लिए प्राथमिक व्यवस्थापक खाता के रूप में कार्य करता है, जो संगठन में सुरक्षा नीतियों को कॉन्फ़िगर और लागू करने के लिए जिम्मेदार होता है।

• जबकि डिफ़ॉल्ट व्यवस्थापक के पास सभी संसाधन प्रकारों और प्रशासनिक कार्यक्षमताओं तक पूर्ण पहुंच होती है, यह संगठन के भीतर कई व्यवस्थापकों का उपयोग करने पर अन्य व्यवस्थापकों के समान स्तर पर कार्य करता है।

• Firewall Manager Administrators:

• ये व्यवस्थापक AWS Organizations प्रबंधन खाते द्वारा निर्दिष्ट दायरे के भीतर संसाधनों का प्रबंधन कर सकते हैं, जैसा कि प्रशासनिक दायरा कॉन्फ़िगरेशन द्वारा परिभाषित किया गया है।

• Firewall Manager व्यवस्थापक संगठन के भीतर विशिष्ट भूमिकाओं को पूरा करने के लिए बनाए जाते हैं, जिससे जिम्मेदारियों का वितरण होता है जबकि सुरक्षा और अनुपालन मानकों को बनाए रखा जाता है।

• निर्माण के समय, Firewall Manager AWS Organizations के साथ जांच करता है कि क्या खाता पहले से ही एक प्रतिनिधि व्यवस्थापक है। यदि नहीं, तो Firewall Manager Organizations को कॉल करता है ताकि खाते को Firewall Manager के लिए एक प्रतिनिधि व्यवस्थापक के रूप में नामित किया जा सके।

इन व्यवस्थापक खातों का प्रबंधन Firewall Manager के भीतर उन्हें बनाना और संगठन की सुरक्षा आवश्यकताओं और न्यूनतम विशेषाधिकार के सिद्धांत के अनुसार उनके प्रशासनिक दायरों को परिभाषित करना शामिल है। उपयुक्त प्रशासनिक भूमिकाओं को सौंपकर, संगठन प्रभावी सुरक्षा प्रबंधन सुनिश्चित कर सकते हैं जबकि संवेदनशील संसाधनों तक पहुंच पर सूक्ष्म नियंत्रण बनाए रख सकते हैं।

यह महत्वपूर्ण है कि केवल एक खाता संगठन के भीतर Firewall Manager डिफ़ॉल्ट व्यवस्थापक के रूप में कार्य कर सकता है, "पहले अंदर, आखिरी बाहर" के सिद्धांत का पालन करते हुए। एक नया डिफ़ॉल्ट व्यवस्थापक नामित करने के लिए, निम्नलिखित चरणों का पालन करना आवश्यक है:

• पहले, प्रत्येक Firewall Administrator व्यवस्थापक खाते को अपने खाते को रद्द करना होगा।

• फिर, मौजूदा डिफ़ॉल्ट व्यवस्थापक को अपने खाते को रद्द करना होगा, जिससे संगठन को Firewall Manager से ऑफ़बोर्ड किया जा सके। इस प्रक्रिया के परिणामस्वरूप रद्द किए गए खाते द्वारा बनाई गई सभी Firewall Manager नीतियों को हटा दिया जाएगा।

• अंत में, AWS Organizations प्रबंधन खाते को Firewall Manager डिफ़ॉल्ट व्यवस्थापक को नामित करना होगा।

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

एक हमलावर जिसके पास fms:AssociateAdminAccount अनुमति है, वह Firewall Manager डिफ़ॉल्ट प्रशासक खाता सेट कर सकता है। fms:PutAdminAccount अनुमति के साथ, एक हमलावर Firewall Manager प्रशासक खाता बना या अपडेट कर सकता है और fms:DisassociateAdminAccount अनुमति के साथ, एक संभावित हमलावर वर्तमान Firewall Manager प्रशासक खाता संघ को हटा सकता है।

• Firewall Manager डिफ़ॉल्ट प्रशासक का विघटन पहले-आखिरी-आउट नीति का पालन करता है। सभी Firewall Manager प्रशासकों को विघटित करना होगा इससे पहले कि Firewall Manager डिफ़ॉल्ट प्रशासक खाता विघटित कर सके।

• PutAdminAccount द्वारा Firewall Manager प्रशासक बनाने के लिए, खाता उस संगठन का होना चाहिए जिसे पहले AssociateAdminAccount का उपयोग करके Firewall Manager में शामिल किया गया था।

• Firewall Manager प्रशासक खाता केवल संगठन के प्रबंधन खाते द्वारा ही बनाया जा सकता है।

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

संभावित प्रभाव: केंद्रीकृत प्रबंधन का नुकसान, नीति से बचाव, अनुपालन उल्लंघन, और वातावरण के भीतर सुरक्षा नियंत्रणों का विघटन।

fms:PutPolicy, fms:DeletePolicy

एक हमलावर जिसके पास fms:PutPolicy, fms:DeletePolicy अनुमतियाँ हैं, वह एक AWS Firewall Manager नीति को बना, संशोधित या स्थायी रूप से हटा सकता है।

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

एक उदाहरण अनुमति देने वाली नीति का, अनुमति देने वाले सुरक्षा समूह के माध्यम से, जो डिटेक्शन को बायपास करने के लिए हो सकता है, निम्नलिखित हो सकता है:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

संभावित प्रभाव: सुरक्षा नियंत्रणों का विघटन, नीति से बचाव, अनुपालन उल्लंघन, परिचालन में व्यवधान, और पर्यावरण के भीतर संभावित डेटा उल्लंघन।

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

एक हमलावर जिसके पास fms:BatchAssociateResource और fms:BatchDisassociateResource अनुमतियाँ हैं, वह क्रमशः Firewall Manager संसाधन सेट से संसाधनों को जोड़ने या हटाने में सक्षम होगा। इसके अलावा, fms:PutResourceSet और fms:DeleteResourceSet अनुमतियाँ हमलावर को AWS Firewall Manager से इन संसाधन सेटों को बनाने, संशोधित करने या हटाने की अनुमति देंगी।

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

संभावित प्रभाव: संसाधन सेट में अनावश्यक मात्रा में आइटम जोड़ने से सेवा में शोर का स्तर बढ़ जाएगा, जिससे संभावित रूप से DoS हो सकता है। इसके अलावा, संसाधन सेट में बदलाव से संसाधन में व्यवधान, नीति से बचाव, अनुपालन उल्लंघन, और वातावरण के भीतर सुरक्षा नियंत्रणों में व्यवधान हो सकता है।

fms:PutAppsList, fms:DeleteAppsList

fms:PutAppsList और fms:DeleteAppsList अनुमतियों के साथ एक हमलावर AWS Firewall Manager से एप्लिकेशन सूचियों को बना, संशोधित या हटा सकता है। यह महत्वपूर्ण हो सकता है, क्योंकि अनधिकृत एप्लिकेशन को सार्वजनिक रूप से पहुंच की अनुमति दी जा सकती है, या अधिकृत एप्लिकेशन की पहुंच को अस्वीकार किया जा सकता है, जिससे DoS हो सकता है।

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

संभावित प्रभाव: इससे गलत कॉन्फ़िगरेशन, नीति उल्लंघन, अनुपालन उल्लंघन, और पर्यावरण के भीतर सुरक्षा नियंत्रणों में व्यवधान हो सकता है।

fms:PutProtocolsList, fms:DeleteProtocolsList

एक हमलावर जिसके पास fms:PutProtocolsList और fms:DeleteProtocolsList अनुमतियाँ हैं, वह AWS Firewall Manager से प्रोटोकॉल सूचियों को बना, संशोधित या हटा सकता है। इसी तरह जैसे एप्लिकेशन सूचियों के साथ होता है, यह महत्वपूर्ण हो सकता है क्योंकि अनधिकृत प्रोटोकॉल का उपयोग आम जनता द्वारा किया जा सकता है, या अधिकृत प्रोटोकॉल के उपयोग को अस्वीकार किया जा सकता है, जिससे DoS हो सकता है।

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

संभावित प्रभाव: इससे गलत कॉन्फ़िगरेशन, नीति से बचाव, अनुपालन उल्लंघन, और पर्यावरण के भीतर सुरक्षा नियंत्रणों में व्यवधान हो सकता है।

fms:PutNotificationChannel, fms:DeleteNotificationChannel

एक हमलावर जिसके पास fms:PutNotificationChannel और fms:DeleteNotificationChannel अनुमतियाँ हैं, वह IAM भूमिका और Amazon Simple Notification Service (SNS) विषय को हटा और निर्दिष्ट कर सकता है जिसका उपयोग Firewall Manager SNS लॉग रिकॉर्ड करने के लिए करता है।

कंसोल के बाहर fms:PutNotificationChannel का उपयोग करने के लिए, आपको SNS विषय की एक्सेस नीति सेट करनी होगी, जिससे निर्दिष्ट SnsRoleName को SNS लॉग प्रकाशित करने की अनुमति मिलती है। यदि प्रदान किया गया SnsRoleName AWSServiceRoleForFMS के अलावा कोई अन्य भूमिका है, तो इसे Firewall Manager सेवा प्रिंसिपल fms.amazonaws.com को इस भूमिका को ग्रहण करने की अनुमति देने के लिए एक ट्रस्ट संबंध कॉन्फ़िगर करने की आवश्यकता होती है।

SNS एक्सेस नीति को कॉन्फ़िगर करने के बारे में जानकारी के लिए:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

संभावित प्रभाव: इससे सुरक्षा अलर्ट छूट सकते हैं, घटना प्रतिक्रिया में देरी हो सकती है, संभावित डेटा उल्लंघन और पर्यावरण के भीतर परिचालन व्यवधान हो सकते हैं।

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

एक हमलावर जिसके पास fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall अनुमतियाँ हैं, वह AWS Firewall Manager के माध्यम से केंद्रीकृत रूप से प्रबंधित होने वाले तृतीय-पक्ष फायरवॉल को जोड़ या हटा सकता है।

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

संभावित प्रभाव: असोसिएशन हटाने से नीति का उल्लंघन, अनुपालन उल्लंघन, और पर्यावरण के भीतर सुरक्षा नियंत्रणों में व्यवधान हो सकता है। दूसरी ओर, असोसिएशन से लागत और बजट आवंटन में व्यवधान हो सकता है।

fms:TagResource, fms:UntagResource

एक हमलावर Firewall Manager संसाधनों से टैग जोड़ने, संशोधित करने, या हटाने में सक्षम होगा, जिससे आपकी संगठन की लागत आवंटन, संसाधन ट्रैकिंग, और टैग पर आधारित एक्सेस नियंत्रण नीतियों में व्यवधान हो सकता है।

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

संभावित प्रभाव: लागत आवंटन, संसाधन ट्रैकिंग, और टैग-आधारित एक्सेस नियंत्रण नीतियों का विघटन।

संदर्भ

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html