Güvenlik Duvarı Yöneticisi

AWS Güvenlik Duvarı Yöneticisi, AWS WAF, AWS Shield Advanced, Amazon VPC güvenlik grupları ve Ağ Erişim Kontrol Listeleri (ACL'ler), AWS Ağ Güvenlik Duvarı, AWS Route 53 Resolver DNS Güvenlik Duvarı ve üçüncü taraf güvenlik duvarları yönetimini ve bakımını kolaylaştırır. Birden fazla hesap ve kaynak üzerinde güvenlik duvarı kurallarını, Shield Advanced korumalarını, VPC güvenlik gruplarını ve Ağ Güvenlik Duvarı ayarlarını yalnızca bir kez yapılandırmanızı sağlar, hizmet bu kuralları ve korumaları otomatik olarak hesaplarınız ve kaynaklarınız üzerinde uygular, yeni eklenenler de dahil.

Hizmet, belirli kaynakları bir araya getirip koruma altına alma yeteneği sunar, örneğin aynı etiketi paylaşanları veya tüm CloudFront dağıtımlarınızı. Güvenlik Duvarı Yöneticisinin önemli bir avantajı, hesabınıza yeni eklenen kaynaklara koruma sağlama yeteneğidir.

Bir kural grubu (bir WAF kuralları koleksiyonu) bir AWS Güvenlik Duvarı Yöneticisi Politikasına dahil edilebilir, bu politika daha sonra CloudFront dağıtımları veya uygulama yük dengeleyicileri gibi belirli AWS kaynaklarına bağlanır.

AWS Güvenlik Duvarı Yöneticisi, güvenlik grup politikalarının yapılandırılmasını ve yönetilmesini kolaylaştırmak için yönetilen uygulama ve protokol listeleri sunar. Bu listeler, politikalarınızda izin verilen veya reddedilen protokoller ve uygulamaları tanımlamanıza olanak tanır. İki tür yönetilen liste vardır:

• Güvenlik Duvarı Yöneticisi tarafından yönetilen listeler: Bu listeler FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed ve FMS-Default-Protocols-Allowed'ı içerir. Bunlar Güvenlik Duvarı Yöneticisi tarafından yönetilir ve genel halka izin verilmesi veya reddedilmesi gereken yaygın olarak kullanılan uygulamaları ve protokolleri içerir. Bunları düzenleyemez veya silinemez, ancak sürümünü seçebilirsiniz.

• Özel yönetilen listeler: Bu listeleri kendiniz yönetirsiniz. Kuruluşunuzun ihtiyaçlarına uygun özel uygulama ve protokol listeleri oluşturabilirsiniz. Güvenlik Duvarı Yöneticisi tarafından yönetilen listelerin aksine, bu listelerin sürümleri yoktur, ancak özel listeler üzerinde tam kontrol sahibisiniz, gerektiğinde oluşturabilir, düzenleyebilir ve silebilirsiniz.

Önemli bir not olarak Güvenlik Duvarı Yöneticisi politikaları, bir kural grubu için yalnızca "Engelle" veya "Say" eylemlerine izin verir, "İzin Ver" seçeneği yoktur.

Önkoşullar

Kuruluşunuzun kaynaklarını etkili bir şekilde korumaya başlamak için Güvenlik Duvarı Yöneticisini yapılandırmadan önce tamamlanması gereken aşağıdaki önkoşullar adımları sağlar. Bu adımlar, Güvenlik Duvarı Yöneticisinin güvenlik politikalarını uygulamak ve AWS ortamınızda uyumluluğu sağlamak için gereken temel yapılandırmayı sağlar:

1. AWS Organizations'a katılın ve yapılandırın: AWS hesabınızın, AWS Güvenlik Duvarı Yöneticisi politikalarının uygulanması planlanan AWS Organizations organizasyonunun bir parçası olduğundan emin olun. Bu, organizasyon içindeki birden fazla AWS hesabı üzerinde merkezi yönetim sağlar.

2. Bir AWS Güvenlik Duvarı Yöneticisi Varsayılan Yönetici Hesabı Oluşturun: Güvenlik Duvarı Yöneticisi güvenlik politikalarını yönetmek için özel olarak oluşturulmuş bir varsayılan yönetici hesabı oluşturun. Bu hesap, organizasyon genelinde güvenlik politikalarını yapılandırmak ve uygulamaktan sorumlu olacaktır. Yalnızca organizasyonun yönetim hesabı Güvenlik Duvarı Yöneticisi varsayılan yönetici hesapları oluşturabilir.

3. AWS Config'i Etkinleştirin: AWS Config'i etkinleştirerek, Güvenlik Duvarı Yöneticisine gerekli yapılandırma verilerini ve etkinlikleri sağlar, güvenlik politikalarını etkili bir şekilde uygulamak için gereken bilgileri sağlar. AWS Config, kaynak yapılandırmalarını ve değişikliklerini analiz etmeye, denetlemeye, izlemeye ve denetlemeye yardımcı olarak daha iyi güvenlik yönetimi sağlar.

4. Üçüncü Taraf Politikaları için AWS Marketplace'e Abone Olun ve Üçüncü Taraf Ayarlarını Yapılandırın: Üçüncü taraf güvenlik duvarı politikalarını kullanmayı planlıyorsanız, bunlara AWS Marketplace'de abone olun ve gerekli ayarları yapılandırın. Bu adım, Güvenlik Duvarı Yöneticisinin güvenilir üçüncü taraf satıcılarından politikaları entegre etmesini ve uygulamasını sağlar.

5. Ağ Güvenlik Duvarı ve DNS Güvenlik Duvarı Politikaları için kaynak paylaşımını etkinleştirin: Ağ Güvenlik Duvarı ve DNS Güvenlik Duvarı politikaları için özel olarak kaynak paylaşımını etkinleştirin. Bu, Güvenlik Duvarı Yöneticisinin organizasyonunuzun VPC'lerine ve DNS çözümlemesine güvenlik duvarı korumaları uygulamasına olanak tanır, ağ güvenliğini artırır.

6. Varsayılan olarak devre dışı bırakılan bölgelerde AWS Güvenlik Duvarı Yöneticisini kullanmak için: Varsayılan olarak devre dışı bırakılan AWS bölgelerinde Güvenlik Duvarı Yöneticisini kullanmayı planlıyorsanız, bu bölgelerde işlevselliğini etkinleştirmek için gerekli adımları atmanızı sağlayın. Bu, organizasyonunuzun faaliyet gösterdiği tüm bölgelerde tutarlı güvenlik uygulamasını sağlar.

Daha fazla bilgi için: AWS Güvenlik Duvarı Yöneticisi AWS WAF politikaları ile başlarken.

Koruma politikalarının türleri

AWS Güvenlik Duvarı Yöneticisi, organizasyonunuzun altyapısının farklı yönlerinde güvenlik kontrollerini uygulamak için çeşitli türde politikaları yönetir:

1. AWS WAF Politikası: Bu politika türü hem AWS WAF hem de AWS WAF Classic'i destekler. Politika tarafından korunan kaynakları tanımlayabilirsiniz. AWS WAF politikaları için, web ACL'de çalışacak kural gruplarını ilk ve son olarak belirleyebilirsiniz. Ayrıca, hesap sahipleri bu setler arasında çalışacak kurallar ve kural grupları ekleyebilir.

2. Shield Advanced Politikası: Bu politika, belirli kaynak türleri için organizasyonunuzda Shield Advanced korumalarını uygular. DDoS saldırılarına ve diğer tehditlere karşı koruma sağlar.

3. Amazon VPC Güvenlik Grubu Politikası: Bu politika ile organizasyonunuz genelinde kullanılan güvenlik gruplarını yönetebilir, AWS ortamınızda ağ erişimini kontrol etmek için temel bir kural setini zorlayabilirsiniz.

4. Amazon VPC Ağ Erişim Kontrol Listesi (ACL) Politikası: Bu politika türü, organizasyonunuzda kullanılan ağ ACL'ler üzerinde kontrol sağlar, AWS ortamınızda temel bir ağ ACL setini zorlamak için kullanılabilir.

5. Ağ Güvenlik Duvarı Politikası: Bu politika, organizasyonunuzun VPC'lerine AWS Ağ Güvenlik Duvarı koruması uygular, önceden tanımlanmış kurallara dayalı olarak trafiği filtreleyerek ağ güvenliğini artırır.

6. Amazon Route 53 Resolver DNS Güvenlik Duvarı Politikası: Bu politika, organizasyonunuzun VPC'lerine DNS Güvenlik Duvarı korumaları uygular, kötü niyetli alan çözümleme girişimlerini engellemeye ve DNS trafiği için güvenlik politikalarını zorlamaya yardımcı olur.

7. Üçüncü Taraf Güvenlik Duvarı Politikası: Bu politika türü, AWS Marketplace konsolu aracılığıyla abonelikle sunulan üçüncü taraf güvenlik duvarlarından korumaları uygular. Güvenilir satıcılardan ek güvenlik önlemlerini AWS ortamınıza entegre etmenizi sağlar.

8. Palo Alto Networks Cloud NGFW Politikası: Bu politika, Palo Alto Networks Cloud Next Generation Firewall (NGFW) korumalarını ve kural yığınlarını organizasyonunuzun VPC'lerine uygular, gelişmiş tehdit önleme ve uygulama düzeyinde güvenlik kontrolleri sağlar.

9. Fortigate Cloud Native Firewall (CNF) as a Service Politikası: Bu politika, Fortigate Cloud Native Firewall (CNF) as a Service korumalarını uygular, endüstri lideri tehdit önleme, web uygulama güvenlik duvarı (WAF) ve bulut altyapıları için uyarlanmış API koruması sunar.

Yönetici hesapları

AWS Firewall Manager, yönetici kapsamı ve iki tür yönetici hesabı aracılığıyla kuruluşunuzdaki güvenlik duvarı kaynaklarını yönetmede esneklik sunar.

Yönetici kapsamı, bir Firewall Manager yöneticisinin yönetebileceği kaynakları tanımlar. Bir AWS Organizations yönetim hesabı, bir organizasyonu Firewall Manager'a kaydettikten sonra farklı yönetici kapsamlarına sahip ek yöneticiler oluşturabilir. Bu kapsamlar şunları içerebilir:

• Yöneticinin politikaları uygulayabileceği hesaplar veya organizasyon birimleri (OUs).

• Yöneticinin işlemler gerçekleştirebileceği bölgeler.

• Yöneticinin yönetebileceği Firewall Manager politika türleri.

Yönetici kapsamı ya tam ya da kısıtlı olabilir. Tam kapsam, yöneticiye belirtilen tüm kaynak türlerine, bölgelere ve politika türlerine erişim sağlar. Buna karşılık, kısıtlı kapsam yalnızca belirli bir kaynak, bölge veya politika türü alt kümesine yönetici izni sağlar. Yöneticilere rollerini etkili bir şekilde yerine getirebilmeleri için ihtiyaçları olan izinleri vermek tavsiye edilir. Bir yöneticiye bu yönetici kapsamı koşullarının herhangi bir kombinasyonunu uygulayarak, en az ayrıcalık ilkesine uyulmasını sağlayabilirsiniz.

Belirli rolleri ve sorumlulukları yerine getiren iki farklı türde yönetici hesabı bulunmaktadır:

• Varsayılan Yönetici:

• Varsayılan yönetici hesabı, AWS Organizations organizasyonunun yönetim hesabı tarafından Firewall Manager'a kayıt sırasında oluşturulur.

• Bu hesap, üçüncü taraf güvenlik duvarlarını yönetme yeteneğine sahiptir ve tam yönetici kapsamına sahiptir.

• Firewall Manager için birincil yönetici hesabı olarak hizmet verir ve organizasyon genelinde güvenlik politikalarını yapılandırmak ve uygulamaktan sorumludur.

• Varsayılan yönetici, tüm kaynak türlerine ve yönetici işlevlerine tam erişime sahip olmasına rağmen, organizasyon içinde birden fazla yönetici kullanılıyorsa aynı düzeyde işlem yapar.

• Firewall Manager Yöneticileri:

• Bu yöneticiler, AWS Organizations yönetim hesabı tarafından belirlenen yönetici kapsamı yapılandırmasına göre belirlenen kapsam içinde kaynakları yönetebilir.

• Firewall Manager yöneticileri, güvenlik ve uyumluluk standartlarını korurken belirli rolleri yerine getirmek üzere organizasyon içinde oluşturulur.

• Oluşturulduğunda, Firewall Manager, hesabın zaten devredilmiş bir yönetici olup olmadığını belirlemek için AWS Organizations ile kontrol eder. Değilse, Firewall Manager, hesabı Firewall Manager için bir devredilmiş yönetici olarak belirlemek üzere Organizations'ı arar.

Bu yönetici hesaplarını yönetmek, onları Firewall Manager içinde oluşturmak ve kuruluşun güvenlik gereksinimlerine ve en az ayrıcalık ilkesine göre yönetici kapsamlarını tanımlamakla ilgilidir. Uygun yönetici rolleri atayarak, organizasyonlar etkili güvenlik yönetimini sağlayabilir ve hassas kaynaklara erişim üzerinde granüler kontrolü koruyabilir.

Bir organizasyon içinde yalnızca bir hesap, Firewall Manager varsayılan yöneticisi olarak hizmet edebilir ilkesini vurgulamak önemlidir, "ilk giren, son çıkar" ilkesine uygun olarak. Yeni bir varsayılan yönetici belirlemek için belirli adımlar izlenmelidir:

• İlk olarak, her Firewall Yöneticisi yönetici hesabı kendi hesabını iptal etmelidir.

• Ardından, mevcut varsayılan yönetici kendi hesabını iptal edebilir, böylece organizasyonu Firewall Manager'dan çıkarır. Bu süreç, iptal edilen hesap tarafından oluşturulan tüm Firewall Manager politikalarının silinmesine neden olur.

• Son olarak, AWS Organizations yönetim hesabı, Firewall Manager varsayılan yöneticiyi belirlemelidir.

Numaralandırma

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Saldırı Sonrası / Algılamayı Atlatma

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

fms:AssociateAdminAccount iznine sahip bir saldırgan, Güvenlik Duvarı Yöneticisi varsayılan yönetici hesabını ayarlayabilir. fms:PutAdminAccount izni ile bir saldırgan, Güvenlik Duvarı Yöneticisi yönetici hesabı oluşturabilir veya güncelleme yapabilir ve fms:DisassociateAdminAccount izni ile potansiyel bir saldırgan mevcut Güvenlik Duvarı Yöneticisi yönetici hesabı ilişkisini kaldırabilir.

• Güvenlik Duvarı Yöneticisi varsayılan yöneticisinin ilişkisinin çözülmesi ilk giren-son çıkar politikasını takip eder. Güvenlik Duvarı Yöneticisi yöneticilerinin hepsi çözülmelidir, ardından Güvenlik Duvarı Yöneticisi varsayılan yöneticisi hesabı çözülebilir.

• Bir Güvenlik Duvarı Yöneticisi yöneticisi oluşturmak için PutAdminAccount kullanılarak, hesabın önceden AssociateAdminAccount kullanılarak Güvenlik Duvarı Yöneticisine katılan organizasyona ait olması gerekir.

• Bir Güvenlik Duvarı Yöneticisi yönetici hesabı oluşturulabilir sadece organizasyonun yönetim hesabı tarafından yapılabilir.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potansiyel Etki: Merkezi yönetimin kaybı, politika kaçınılması, uyumluluk ihlalleri ve çevredeki güvenlik kontrollerinin bozulması.

fms:PutPolicy, fms:DeletePolicy

Bir saldırgan fms:PutPolicy, fms:DeletePolicy izinlerine sahipse bir AWS Firewall Manager politikası oluşturabilir, değiştirebilir veya kalıcı olarak silebilir.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Aşağıdaki gibi, algılamayı atlamak için izin verici bir güvenlik grubu aracılığıyla izin verici bir politika örneği olabilir:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potansiyel Etki: Güvenlik kontrollerinin devre dışı bırakılması, politika kaçınılması, uyumluluk ihlalleri, operasyonel aksaklıklar ve ortamdaki potansiyel veri ihlalleri.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Bir saldırganın fms:BatchAssociateResource ve fms:BatchDisassociateResource izinleri ile sırasıyla bir Firewall Yöneticisi kaynak kümesinden kaynakları ilişkilendirebilir veya ilişkisiz hale getirebilir. Ayrıca, fms:PutResourceSet ve fms:DeleteResourceSet izinleri bir saldırganın bu kaynak kümelerini oluşturmasına, değiştirmesine veya silmesine izin verecektir.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potansiyel Etki: Bir kaynak kümesine gereksiz miktarda öğe eklenmesi, Hizmetteki gürültü seviyesini artırarak potansiyel olarak bir DoS'a neden olabilir. Ayrıca, kaynak kümelerinin değişiklikleri, bir kaynak kesintisine, politika kaçırma, uyumluluk ihlallerine ve ortamdaki güvenlik kontrollerinin bozulmasına yol açabilir.

fms:PutAppsList, fms:DeleteAppsList

fms:PutAppsList ve fms:DeleteAppsList izinlerine sahip bir saldırgan, AWS Firewall Manager'dan uygulama listeleri oluşturabilir, değiştirebilir veya silebilir. Bu kritik olabilir, çünkü yetkisiz uygulamalara genel halka erişim izni verilebilir veya yetkili uygulamalara erişim engellenebilir, böylece bir DoS'a neden olabilir.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Potansiyel Etki: Bu, ortam içinde yapılandırma hatalarına, politika kaçınmalarına, uyumluluk ihlallerine ve güvenlik kontrollerinin bozulmasına neden olabilir.

fms:PutProtocolsList, fms:DeleteProtocolsList

fms:PutProtocolsList ve fms:DeleteProtocolsList izinlerine sahip bir saldırgan, AWS Firewall Manager'dan protokol listeleri oluşturabilir, değiştirebilir veya silebilir. Uygulama listeleriyle benzer şekilde, yetkisiz protokoller genel halk tarafından kullanılabilir veya yetkili protokollerin kullanımı reddedilebilir, bu da bir Hizmet Reddi saldırısına neden olabilir.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potansiyel Etki: Bu, ortam içinde yapılandırma hatalarına, politika kaçınmalarına, uyumluluk ihlallerine ve güvenlik kontrollerinin bozulmasına neden olabilir.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

fms:PutNotificationChannel ve fms:DeleteNotificationChannel izinlerine sahip bir saldırgan, Firewall Manager'ın SNS günlüklerini kaydetmek için kullandığı IAM rolünü ve Amazon Simple Notification Service (SNS) konusunu silip belirleyebilir.

fms:PutNotificationChannel'ı konsol dışında kullanmak için, belirtilen SnsRoleName'in SNS günlüklerini yayınlamasına izin veren SNS konusunun erişim politikasını yapılandırmanız gerekir. Sağlanan SnsRoleName, AWSServiceRoleForFMS dışındaki bir rol ise, Firewall Manager hizmet başlığının bu role geçmesine izin vermek için yapılandırılmış bir güven ilişkisi gerektirir.

Bir SNS erişim politikasını yapılandırma hakkında bilgi için:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potansiyel Etki: Bu potansiyel olarak güvenlik uyarılarının kaçırılmasına, gecikmiş olay yanıtlarına, potansiyel veri ihlallerine ve ortam içindeki işletme kesintilerine yol açabilir.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Bir saldırgan fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall izinlerine sahipse, üçüncü taraf güvenlik duvarlarını AWS Güvenlik Duvarı Yöneticisi aracılığıyla merkezi olarak yönetmeye bağlayabilir veya bağlantısını çözebilir.

```bash aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL] ``` **Potansiyel Etki:** Bağlantının kesilmesi, bir politika kaçınma, uyumluluk ihlalleri ve çevredeki güvenlik kontrollerinin bozulmasına yol açabilir. Öte yandan bağlantı, maliyet ve bütçe tahsisinin bozulmasına neden olabilir.

fms:TagResource, fms:UntagResource

Saldırgan, Firewall Yöneticisi kaynaklarından etiket ekleyebilir, değiştirebilir veya kaldırabilir; bu da kuruluşunuzun maliyet tahsisini, kaynak izleme ve etiketlere dayalı erişim kontrol politikalarını bozabilir.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potansiyel Etki: Maliyet tahsisi, kaynak izleme ve etiket tabanlı erişim kontrol politikalarının bozulması.

Referanslar

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html