Firewall Manager

AWS Firewall Manager inapunguza usimamizi na matengenezo ya AWS WAF, AWS Shield Advanced, vikundi vya usalama vya Amazon VPC na Orodha za Kudhibiti Upatikanaji wa Mtandao (ACLs), na AWS Network Firewall, AWS Route 53 Resolver DNS Firewall na firewalls za watoa huduma wa tatu kwenye akaunti na rasilimali nyingi. Inakuwezesha kusanidi sheria zako za firewall, ulinzi wa Shield Advanced, vikundi vya usalama vya VPC, na mipangilio ya Network Firewall mara moja tu, na huduma hiyo kutekeleza moja kwa moja sheria na ulinzi huu kwenye akaunti na rasilimali zako, pamoja na zile zilizoongezwa hivi karibuni.

Huduma hii inatoa uwezo wa kuunganisha na kulinda rasilimali maalum pamoja, kama vile zile zinazoshiriki lebo sawa au usambazaji wako wote wa CloudFront. Faida kubwa ya Firewall Manager ni uwezo wake wa kupanua ulinzi kiotomatiki kwa rasilimali zilizoongezwa hivi karibuni kwenye akaunti yako.

Kikundi cha sheria (mkusanyiko wa sheria za WAF) kinaweza kuingizwa kwenye Sera ya AWS Firewall Manager, ambayo kisha inalinganishwa na rasilimali maalum za AWS kama usambazaji wa CloudFront au balancers za mzigo wa maombi.

AWS Firewall Manager hutoa orodha za programu na itifaki zilizosimamiwa ili kusahilisha usanidi na usimamizi wa sera za vikundi vya usalama. Orodha hizi kuruhusu kufafanua itifaki na programu zinazoruhusiwa au zinazokataliwa na sera zako. Kuna aina mbili za orodha zilizosimamiwa:

• Orodha zilizosimamiwa na Firewall Manager: Orodha hizi ni pamoja na FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed na FMS-Default-Protocols-Allowed. Zinasimamiwa na Firewall Manager na zina programu na itifaki zinazotumiwa mara kwa mara ambazo zinapaswa kuruhusiwa au kukataliwa kwa umma. Haiwezekani kuzihariri au kuzifuta, hata hivyo, unaweza kuchagua toleo lake.

• Orodha zilizosimamiwa kwa kawaida: Unasimamia orodha hizi mwenyewe. Unaweza kuunda orodha za programu na itifaki zilizobinafsishwa kulingana na mahitaji ya shirika lako. Tofauti na orodha zilizosimamiwa na Firewall Manager, orodha hizi hazina toleo, lakini una udhibiti kamili juu ya orodha za kawaida, kuruhusu kuunda, kuhariri, na kufuta kama inavyotakiwa.

Ni muhimu kutambua kwamba sera za Firewall Manager zinaruhusu "Kuzuia" au "Hesabu" tu kwa vitendo vya kikundi cha sheria, bila chaguo la "Kuruhusu".

Mahitaji ya Awali

Hatua zifuatazo za awali lazima zikamilishwe kabla ya kuanza kusanidi Firewall Manager ili kuanza kulinda rasilimali za shirika lako kwa ufanisi. Hatua hizi hutoa usanidi wa msingi unaohitajika kwa Firewall Manager kutekeleza sera za usalama na kuhakikisha utii kote kwenye mazingira yako ya AWS:

1. Jiunge na sanidi AWS Organizations: Hakikisha akaunti yako ya AWS ni sehemu ya shirika la AWS Organizations ambapo sera za AWS Firewall Manager zimepangwa kutekelezwa. Hii inaruhusu usimamizi wa kati wa rasilimali na sera kote kwenye akaunti nyingi za AWS ndani ya shirika.

2. Unda Akaunti ya Msimamizi wa Kimsingi wa AWS Firewall Manager: Sanidi akaunti ya msimamizi wa msingi maalum kwa ajili ya kusimamia sera za usalama za Firewall Manager. Akaunti hii itakuwa na jukumu la kusanidi na kutekeleza sera za usalama kote kwenye shirika. Akaunti ya usimamizi wa shirika pekee ndiyo inayoweza kuunda akaunti za msimamizi wa msingi wa Firewall Manager.

3. Wezesha AWS Config: Wezesha AWS Config ili kutoa Firewall Manager na data na ufahamu wa usanidi unaohitajika kutekeleza sera za usalama kwa ufanisi. AWS Config husaidia kuchambua, kukagua, kufuatilia na kuhakiki usanidi wa rasilimali na mabadiliko, ikirahisisha usimamizi bora wa usalama.

4. Kwa Sera za Watoa Huduma wa Tatu, Jiandikishe kwenye AWS Marketplace na Sanidi Mipangilio ya Watoa Huduma wa Tatu: Ikiwa unapanga kutumia sera za firewall za watoa huduma wa tatu, jiandikishe kwenye AWS Marketplace na sanidi mipangilio inayohitajika. Hatua hii inahakikisha kuwa Firewall Manager inaweza kuingiza na kutekeleza sera kutoka kwa wauzaji wa tatu walioaminika.

5. Kwa Sera za Network Firewall na DNS Firewall, wezesha ushirikiano wa rasilimali: Wezesha ushirikiano wa rasilimali kwa kusudi la sera za Network Firewall na DNS Firewall. Hii inaruhusu Firewall Manager kutumia ulinzi wa firewall kwa VPCs na azimio la DNS la shirika lako, ikiboresha usalama wa mtandao.

6. Ili kutumia AWS Firewall Manager katika Mikoa ambayo imelemazwa kwa chaguo-msingi: Ikiwa unakusudia kutumia Firewall Manager katika mikoa ya AWS ambayo imelemazwa kwa chaguo-msingi, hakikisha unachukua hatua zinazohitajika kuwezesha utendaji wake katika mikoa hiyo. Hii inahakikisha utekelezaji wa usalama unaofanana kote kwenye mikoa yote ambapo shirika lako linafanya kazi.

Kwa habari zaidi, angalia: Kuanza na Sera za AWS Firewall Manager AWS WAF.

Aina za sera za ulinzi

AWS Firewall Manager inasimamia aina kadhaa za sera kutekeleza udhibiti wa usalama kote kwenye vipengele tofauti vya miundombinu ya shirika lako:

1. Sera ya AWS WAF: Aina hii ya sera inasaidia AWS WAF na AWS WAF Classic. Unaweza kufafanua ni rasilimali zipi zinalindwa na sera. Kwa sera za AWS WAF, unaweza kubainisha vikundi vya sheria za kukimbia kwanza na mwisho katika ACL ya wavuti. Aidha, wamiliki wa akaunti wanaweza kuongeza sheria na vikundi vya sheria za kukimbia kati ya vikundi hivi.

2. Sera ya Shield Advanced: Sera hii inatumia ulinzi wa Shield Advanced kote kwenye shirika lako kwa aina zilizobainishwa za rasilimali. Inasaidia kulinda dhidi ya mashambulizi ya DDoS na vitisho vingine.

3. Sera ya Kikundi cha Usalama cha Amazon VPC: Kwa sera hii, unaweza kusimamia vikundi vya usalama vinavyotumiwa kote kwenye shirika lako, kutekeleza seti ya msingi ya sheria kote kwenye mazingira yako ya AWS kudhibiti upatikanaji wa mtandao.

4. Sera ya Orodha ya Kudhibiti Upatikanaji wa Mtandao wa Amazon VPC (ACL): Aina hii ya sera inakupa udhibiti juu ya ACL za mtandao zinazotumiwa katika shirika lako, kuruhusu kutekeleza seti ya msingi ya ACL za mtandao kote kwenye mazingira yako ya AWS.

5. Sera ya Network Firewall: Sera hii inatumia ulinzi wa AWS Network Firewall kwa VPCs za shirika lako, ikiboresha usalama wa mtandao kwa kuchuja trafiki kulingana na sheria zilizowekwa mapema.

6. Sera ya Amazon Route 53 Resolver DNS Firewall: Sera hii inatumia ulinzi wa DNS Firewall kwa VPCs za shirika lako, ikisaidia kuzuia majaribio ya azimio la kikoa yenye nia mbaya na kutekeleza sera za usalama kwa trafiki ya DNS.

7. Sera ya Firewall ya Watoa Huduma wa Tatu: Aina hii ya sera inatumia ulinzi kutoka kwa firewalls za watoa huduma wa tatu, ambazo zinapatikana kwa usajili kupitia konsoli ya AWS Marketplace. Inakuruhusu kuingiza hatua za usalama zaidi kutoka kwa wauzaji wa kuaminika ndani ya mazingira yako ya AWS.

8. Sera ya Palo Alto Networks Cloud NGFW: Sera hii inatumia ulinzi wa Palo Alto Networks Cloud Next Generation Firewall (NGFW) na mizunguko ya sheria kwa VPCs za shirika lako, ikitoa kinga ya tishio ya juu na udhibiti wa usalama wa programu kwa ngazi ya juu.

9. Sera ya Fortigate Cloud Native Firewall (CNF) kama Huduma: Sera hii inatumia ulinzi wa Fortigate Cloud Native Firewall (CNF) kama Huduma, ikitoa kinga ya tishio ya juu, firewall ya wavuti (WAF), na ulinzi wa API uliobinafsishwa kwa miundombinu ya wingu.

Akaunti za Wasimamizi

AWS Firewall Manager inatoa uwezo wa kusimamia rasilimali za firewall ndani ya shirika lako kupitia wigo wake wa utawala na aina mbili za akaunti za wasimamizi.

Wigo wa utawala unafafanua rasilimali ambazo msimamizi wa Firewall Manager anaweza kusimamia. Baada ya akaunti ya usimamizi ya Shirika la AWS kujiunga na shirika kwa Firewall Manager, inaweza kuunda wasimamizi wengine wenye viwango tofauti vya utawala. Viwango hivi vinaweza kujumuisha:

• Akaunti au vitengo vya shirika (OUs) ambavyo msimamizi anaweza kutumia sera.

• Mikoa ambapo msimamizi anaweza kutekeleza hatua.

• Aina za sera za Firewall Manager ambazo msimamizi anaweza kusimamia.

Wigo wa utawala unaweza kuwa kamili au mdogo. Wigo kamili unampa msimamizi ufikiaji wa aina zote zilizotajwa za rasilimali, mikoa, na aina za sera. Kinyume chake, wigo mdogo hutoa idhini ya utawala kwa sehemu tu ya rasilimali, mikoa, au aina za sera. Ni vyema kutoa idhini kwa wasimamizi tu wanachohitaji kutekeleza majukumu yao kwa ufanisi. Unaweza kutumia kombinisheni yoyote ya hali hizi za wigo wa utawala kwa msimamizi, kuhakikisha kufuata kanuni ya idhini ndogo.

Kuna aina mbili tofauti za akaunti za wasimamizi, kila moja ikitoa majukumu na majukumu maalum:

• Msimamizi wa Mfumo wa Kimsingi:

• Akaunti ya msimamizi wa msingi inaundwa na akaunti ya usimamizi ya Shirika la AWS wakati wa mchakato wa kujiunga na Firewall Manager.

• Akaunti hii ina uwezo wa kusimamia firewall za watoa huduma wa tatu na ina wigo kamili wa utawala.

• Inatumika kama akaunti kuu ya msimamizi wa Firewall Manager, inayowajibika kwa kusanidi na kutekeleza sera za usalama kote kwenye shirika.

• Ingawa msimamizi wa msingi ana ufikiaji kamili wa aina zote za rasilimali na utendaji wa utawala, inafanya kazi kwa kiwango sawa na wasimamizi wengine ikiwa wasimamizi wengi wanatumika ndani ya shirika.

• Wasimamizi wa Mfumo wa Kizuizi:

• Wasimamizi hawa wanaweza kusimamia rasilimali ndani ya wigo uliowekwa na akaunti ya usimamizi ya Shirika la AWS, kama ilivyoelezwa na usanidi wa wigo wa utawala.

• Wasimamizi wa Firewall Manager wanajengwa ili kutimiza majukumu maalum ndani ya shirika, kuruhusu kugawanya majukumu wakati wa kudumisha viwango vya usalama na uthibitisho.

• Baada ya uundaji, Firewall Manager huchunguza na AWS Organizations ili kubaini ikiwa akaunti tayari ni msimamizi aliyeteuliwa. Ikiwa sivyo, Firewall Manager huita Shirika la AWS ili kuteua akaunti kama msimamizi aliyeteuliwa kwa Firewall Manager.

Usimamizi wa akaunti hizi za wasimamizi unahusisha kuziunda ndani ya Firewall Manager na kufafanua wigo wao wa utawala kulingana na mahitaji ya usalama ya shirika na kanuni ya idhini ndogo. Kwa kuteua majukumu sahihi ya utawala, mashirika yanaweza kuhakikisha usimamizi wa usalama wenye ufanisi wakati wa kudumisha udhibiti wa kina juu ya ufikiaji wa rasilimali nyeti.

Ni muhimu kusisitiza kwamba akaunti moja tu ndani ya shirika inaweza kutumika kama msimamizi wa msingi wa Firewall Manager, kufuata kanuni ya "kwanza kuingia, mwisho kutoka". Ili kuteua msimamizi mpya wa msingi, hatua kadhaa lazima zichukuliwe:

• Kwanza, kila akaunti ya msimamizi wa Firewall lazima iache akaunti yao wenyewe.

• Kisha, msimamizi wa sasa wa msingi anaweza kufuta akaunti yao wenyewe, kwa ufanisi kujiondoa kutoka kwa shirika kutoka kwa Firewall Manager. Mchakato huu husababisha kufutwa kwa sera zote za Firewall Manager zilizoundwa na akaunti iliyofutwa.

• Kukamilisha, akaunti ya usimamizi ya Shirika la AWS lazima iteue msimamizi wa msingi wa Firewall Manager.

Uorodheshaji

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Baada ya Uvamizi / Kupita Uchunguzi

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Mvamizi mwenye ruhusa ya fms:AssociateAdminAccount angekuwa na uwezo wa kuweka akaunti ya msimamizi wa msingi wa Firewall Manager. Kwa ruhusa ya fms:PutAdminAccount, mvamizi angekuwa na uwezo wa kuunda au kusasisha akaunti ya msimamizi wa Firewall Manager na kwa ruhusa ya fms:DisassociateAdminAccount, mvamizi wa uwezekano angeondoa ushirikiano wa akaunti ya msimamizi wa sasa wa Firewall Manager.

• Kutenganisha msimamizi wa msingi wa Firewall Manager kufuata sera ya kwanza kuingia mwisho kutoka. Wote wasimamizi wa Firewall Manager lazima wajitenganishe kabla ya msimamizi wa msingi wa Firewall Manager kuweza kujitenga na akaunti.

• Ili kuunda msimamizi wa Firewall Manager kwa njia ya PutAdminAccount, akaunti lazima iwe ya shirika lililopokelewa awali kwa Firewall Manager kwa kutumia AssociateAdminAccount.

• Kuunda akaunti ya msimamizi wa Firewall Manager inaweza kufanywa tu na akaunti ya usimamizi ya shirika.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Athari Inayoweza Kutokea: Upotevu wa usimamizi wa kati, ukiukaji wa sera, uvunjaji wa utii, na kuvuruga udhibiti wa usalama ndani ya mazingira.

fms:PutPolicy, fms:DeletePolicy

Mshambuliaji mwenye ruhusa za fms:PutPolicy, fms:DeletePolicy angekuwa na uwezo wa kuunda, kuhariri au kufuta kwa kudumu sera ya Meneja wa Kizuizi cha AWS.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Mfano wa sera ya kuruhusu kupitia kikundi cha usalama cha kuruhusu, ili kudukua ugunduzi, inaweza kuwa ifuatayo:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Athari Inayowezekana: Kuvuruga udhibiti wa usalama, ukiukaji wa sera, uvunjaji wa utii, kuvuruga shughuli za uendeshaji, na uvujaji wa data unaowezekana ndani ya mazingira.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Mshambuliaji mwenye ruhusa za fms:BatchAssociateResource na fms:BatchDisassociateResource angekuwa na uwezo wa kuunganisha au kutoa uhusiano wa rasilimali kutoka kwa seti ya rasilimali ya Meneja wa Firewall mtawalia. Aidha, ruhusa za fms:PutResourceSet na fms:DeleteResourceSet zingemruhusu mshambuliaji kuunda, kurekebisha, au kufuta seti hizi za rasilimali kutoka kwa Meneja wa Firewall wa AWS.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Athari Inayoweza Kutokea: Kuongezwa kwa idadi isiyohitajika ya vitu kwenye seti ya rasilimali itaongeza kiwango cha kelele katika Huduma na kusababisha DoS. Aidha, mabadiliko ya seti za rasilimali yanaweza kusababisha kuvurugika kwa rasilimali, ukiukaji wa sera, uvunjaji wa uthibitishaji wa utii, na kuvuruga udhibiti wa usalama ndani ya mazingira.

fms:PutAppsList, fms:DeleteAppsList

Mshambuliaji mwenye ruhusa za fms:PutAppsList na fms:DeleteAppsList angekuwa na uwezo wa kuunda, kuhariri, au kufuta orodha za programu kutoka kwa Meneja wa Kizuizi cha AWS. Hii inaweza kuwa muhimu, kwani programu zisizoidhinishwa zinaweza kuruhusiwa kupata umma kwa ujumla, au upatikanaji wa programu zilizoidhinishwa unaweza kukataliwa, kusababisha DoS.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Athari Inayowezekana: Hii inaweza kusababisha upangaji mbaya, ukiukaji wa sera, uvunjaji wa utii, na kuvuruga udhibiti wa usalama ndani ya mazingira.

fms:PutProtocolsList, fms:DeleteProtocolsList

Mshambuliaji mwenye ruhusa za fms:PutProtocolsList na fms:DeleteProtocolsList angekuwa na uwezo wa kuunda, kuhariri au kufuta orodha za itifaki kutoka kwa Meneja wa Kizuizi cha AWS. Vivyo hivyo kama ilivyo na orodha za programu, hii inaweza kuwa muhimu tangu itifaki zisizoidhinishwa zinaweza kutumiwa na umma kwa ujumla, au matumizi ya itifaki zilizoidhinishwa yanaweza kukataliwa, kusababisha DoS.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Athari Inayowezekana: Hii inaweza kusababisha upangaji mbaya, ukiukaji wa sera, uvunjaji wa utii, na kuvuruga udhibiti wa usalama ndani ya mazingira.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Mshambuliaji mwenye ruhusa za fms:PutNotificationChannel na fms:DeleteNotificationChannel angekuwa na uwezo wa kufuta na kuteua jukumu la IAM na mada ya Huduma Rahisi ya Arifa ya Amazon (SNS) ambayo Meneja wa Firewall hutumia kurekodi magogo ya SNS.

Ili kutumia fms:PutNotificationChannel nje ya konsoli, unahitaji kuweka sera ya ufikiaji wa mada ya SNS, kuruhusu SnsRoleName iliyospecifika kutuma magogo ya SNS. Ikiwa SnsRoleName iliyotolewa ni jukumu lingine isipokuwa AWSServiceRoleForFMS, inahitaji uhusiano wa uaminifu uliowekwa kuruhusu mhimili wa huduma ya Meneja wa Firewall fms.amazonaws.com kudai jukumu hili.

Kwa habari kuhusu upangaji wa sera ya ufikiaji wa SNS:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Athari Inayowezekana: Hii inaweza kusababisha kukosa tahadhari za usalama, kucheleweshwa kwa majibu ya tukio, uvujaji wa data uwezekano wa kuvurugika kwa shughuli ndani ya mazingira.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Mshambuliaji mwenye ruhusa za fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall angekuwa na uwezo wa kuunganisha au kutoa uhusiano wa firewalls za mtu wa tatu kutoka kusimamiwa kwa kati kupitia AWS Firewall Manager.

```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Athari Inayoweza Kutokea:** Kuvunjika kwa uhusiano kutasababisha kukiuka sera, uvunjaji wa utii, na kuvuruga udhibiti wa usalama ndani ya mazingira. Uunganisho kwa upande mwingine utasababisha kuvuruga kwa mgawo wa gharama na bajeti.

fms:TagResource, fms:UntagResource

Mshambuliaji angekuwa na uwezo wa kuongeza, kuhariri, au kuondoa vitambulisho kutoka kwa rasilimali za Meneja wa Firewall, kuvuruga mgawo wa gharama wa shirika lako, ufuatiliaji wa rasilimali, na sera za kudhibiti upatikanaji kulingana na vitambulisho.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Athari Inayoweza Kutokea: Kuvuruga mgawanyo wa gharama, ufuatiliaji wa rasilimali, na sera za udhibiti wa ufikiaji kulingana na lebo.

Marejeo

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html