AWS - Firewall Manager Enum

Reading time: 20 minutes

Firewall Manager

AWS Firewall Manager AWS WAF, AWS Shield Advanced, Amazon VPC सुरक्षा समूहों और नेटवर्क एक्सेस कंट्रोल सूचियों (ACLs), और AWS नेटवर्क फ़ायरवॉल, AWS रूट 53 रिसॉल्वर DNS फ़ायरवॉल और तीसरे पक्ष के फ़ायरवॉल के प्रबंधन और रखरखाव को सरल बनाता है। यह आपको अपने फ़ायरवॉल नियमों, शील्ड एडवांस्ड सुरक्षा, VPC सुरक्षा समूहों और नेटवर्क फ़ायरवॉल सेटिंग्स को केवल एक बार कॉन्फ़िगर करने की अनुमति देता है, सेवा स्वचालित रूप से इन नियमों और सुरक्षा को आपके खातों और संसाधनों पर लागू करती है, जिसमें नए जोड़े गए भी शामिल हैं।

सेवा विशिष्ट संसाधनों को एक साथ समूहित और सुरक्षित करने की क्षमता प्रदान करती है, जैसे कि वे सभी सामान्य टैग साझा करते हैं या आपके सभी CloudFront वितरण। फ़ायरवॉल प्रबंधक का एक महत्वपूर्ण लाभ यह है कि यह नए जोड़े गए संसाधनों पर स्वचालित रूप से सुरक्षा बढ़ा सकता है।

एक नियम समूह (WAF नियमों का संग्रह) को AWS फ़ायरवॉल प्रबंधक नीति में शामिल किया जा सकता है, जिसे फिर विशिष्ट AWS संसाधनों जैसे CloudFront वितरण या एप्लिकेशन लोड बैलेंसर से जोड़ा जाता है।

AWS फ़ायरवॉल प्रबंधक प्रबंधित एप्लिकेशन और प्रोटोकॉल सूचियाँ प्रदान करता है ताकि सुरक्षा समूह नीतियों की कॉन्फ़िगरेशन और प्रबंधन को सरल बनाया जा सके। ये सूचियाँ आपको उन प्रोटोकॉल और एप्लिकेशनों को परिभाषित करने की अनुमति देती हैं जिन्हें आपकी नीतियों द्वारा अनुमति या अस्वीकृत किया गया है। प्रबंधित सूचियों के दो प्रकार हैं:

• फ़ायरवॉल प्रबंधक प्रबंधित सूचियाँ: इन सूचियों में FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed और FMS-Default-Protocols-Allowed शामिल हैं। इन्हें फ़ायरवॉल प्रबंधक द्वारा प्रबंधित किया जाता है और इनमें सामान्यतः उपयोग किए जाने वाले एप्लिकेशन और प्रोटोकॉल शामिल होते हैं जिन्हें आम जनता के लिए अनुमति या अस्वीकृत किया जाना चाहिए। इन्हें संपादित या हटाना संभव नहीं है, हालाँकि, आप इसके संस्करण का चयन कर सकते हैं।
• कस्टम प्रबंधित सूचियाँ: आप इन सूचियों का प्रबंधन स्वयं करते हैं। आप अपनी संगठन की आवश्यकताओं के अनुसार कस्टम एप्लिकेशन और प्रोटोकॉल सूचियाँ बना सकते हैं। फ़ायरवॉल प्रबंधक प्रबंधित सूचियों के विपरीत, इन सूचियों के संस्करण नहीं होते हैं, लेकिन आपके पास कस्टम सूचियों पर पूर्ण नियंत्रण होता है, जिससे आप उन्हें आवश्यकतानुसार बना, संपादित और हटा सकते हैं।

यह ध्यान रखना महत्वपूर्ण है कि फ़ायरवॉल प्रबंधक नीतियाँ केवल "ब्लॉक" या "गिनती" क्रियाएँ एक नियम समूह के लिए अनुमति देती हैं, "अनुमति" विकल्प के बिना।

आवश्यकताएँ

फ़ायरवॉल प्रबंधक को कॉन्फ़िगर करने से पहले निम्नलिखित आवश्यक कदम पूरे किए जाने चाहिए ताकि आपकी संगठन के संसाधनों की प्रभावी सुरक्षा शुरू की जा सके। ये कदम फ़ायरवॉल प्रबंधक को सुरक्षा नीतियों को लागू करने और आपके AWS वातावरण में अनुपालन सुनिश्चित करने के लिए आवश्यक बुनियादी सेटअप प्रदान करते हैं:

1. AWS संगठनों में शामिल हों और कॉन्फ़िगर करें: सुनिश्चित करें कि आपका AWS खाता उस AWS संगठनों संगठन का हिस्सा है जहाँ AWS फ़ायरवॉल प्रबंधक नीतियाँ लागू की जाने वाली हैं। यह संगठन के भीतर कई AWS खातों में संसाधनों और नीतियों के केंद्रीकृत प्रबंधन की अनुमति देता है।
2. AWS फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक खाता बनाएं: फ़ायरवॉल प्रबंधक सुरक्षा नीतियों के प्रबंधन के लिए विशेष रूप से एक डिफ़ॉल्ट प्रशासक खाता स्थापित करें। यह खाता संगठन के भीतर सुरक्षा नीतियों को कॉन्फ़िगर और लागू करने के लिए जिम्मेदार होगा। केवल संगठन का प्रबंधन खाता फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक खातों को बना सकता है।
3. AWS कॉन्फ़िग को सक्षम करें: फ़ायरवॉल प्रबंधक को सुरक्षा नीतियों को प्रभावी ढंग से लागू करने के लिए आवश्यक कॉन्फ़िगरेशन डेटा और अंतर्दृष्टि प्रदान करने के लिए AWS कॉन्फ़िग को सक्रिय करें। AWS कॉन्फ़िग संसाधन कॉन्फ़िगरेशन और परिवर्तनों का विश्लेषण, ऑडिट, निगरानी और ऑडिट करने में मदद करता है, जिससे बेहतर सुरक्षा प्रबंधन की सुविधा मिलती है।
4. तीसरे पक्ष की नीतियों के लिए, AWS मार्केटप्लेस में सदस्यता लें और तीसरे पक्ष की सेटिंग्स कॉन्फ़िगर करें: यदि आप तीसरे पक्ष की फ़ायरवॉल नीतियों का उपयोग करने की योजना बना रहे हैं, तो AWS मार्केटप्लेस में उनकी सदस्यता लें और आवश्यक सेटिंग्स कॉन्फ़िगर करें। यह कदम सुनिश्चित करता है कि फ़ायरवॉल प्रबंधक विश्वसनीय तीसरे पक्ष के विक्रेताओं से नीतियों को एकीकृत और लागू कर सके।
5. नेटवर्क फ़ायरवॉल और DNS फ़ायरवॉल नीतियों के लिए, संसाधन साझा करना सक्षम करें: नेटवर्क फ़ायरवॉल और DNS फ़ायरवॉल नीतियों के लिए विशेष रूप से संसाधन साझा करना सक्षम करें। यह फ़ायरवॉल प्रबंधक को आपके संगठन के VPCs और DNS समाधान पर फ़ायरवॉल सुरक्षा लागू करने की अनुमति देता है, जिससे नेटवर्क सुरक्षा में सुधार होता है।
6. डिफ़ॉल्ट रूप से अक्षम क्षेत्रों में AWS फ़ायरवॉल प्रबंधक का उपयोग करने के लिए: यदि आप डिफ़ॉल्ट रूप से अक्षम क्षेत्रों में फ़ायरवॉल प्रबंधक का उपयोग करने का इरादा रखते हैं, तो सुनिश्चित करें कि आप उन क्षेत्रों में इसकी कार्यक्षमता सक्षम करने के लिए आवश्यक कदम उठाते हैं। यह सुनिश्चित करता है कि आपके संगठन के संचालन के सभी क्षेत्रों में सुरक्षा लागू करने में निरंतरता बनी रहे।

अधिक जानकारी के लिए, देखें: AWS फ़ायरवॉल प्रबंधक AWS WAF नीतियों के साथ शुरू करना.

सुरक्षा नीतियों के प्रकार

AWS फ़ायरवॉल प्रबंधक विभिन्न प्रकार की नीतियों का प्रबंधन करता है ताकि आपकी संगठन के बुनियादी ढांचे के विभिन्न पहलुओं में सुरक्षा नियंत्रण लागू किया जा सके:

1. AWS WAF नीति: यह नीति प्रकार AWS WAF और AWS WAF क्लासिक दोनों का समर्थन करता है। आप यह परिभाषित कर सकते हैं कि कौन से संसाधन नीति द्वारा सुरक्षित हैं। AWS WAF नीतियों के लिए, आप वेब ACL में पहले और अंतिम चलाने के लिए नियम समूहों के सेट निर्दिष्ट कर सकते हैं। इसके अतिरिक्त, खाता मालिक इन सेटों के बीच चलाने के लिए नियम और नियम समूह जोड़ सकते हैं।
2. शील्ड एडवांस्ड नीति: यह नीति आपके संगठन में निर्दिष्ट संसाधन प्रकारों के लिए शील्ड एडवांस्ड सुरक्षा लागू करती है। यह DDoS हमलों और अन्य खतरों से सुरक्षा में मदद करती है।
3. Amazon VPC सुरक्षा समूह नीति: इस नीति के साथ, आप अपने संगठन में उपयोग किए जाने वाले सुरक्षा समूहों का प्रबंधन कर सकते हैं, आपके AWS वातावरण में नेटवर्क एक्सेस को नियंत्रित करने के लिए नियमों के एक बुनियादी सेट को लागू करते हैं।
4. Amazon VPC नेटवर्क एक्सेस कंट्रोल सूची (ACL) नीति: यह नीति प्रकार आपको अपने संगठन में उपयोग किए जाने वाले नेटवर्क ACLs पर नियंत्रण देता है, जिससे आप अपने AWS वातावरण में नेटवर्क ACLs के एक बुनियादी सेट को लागू कर सकते हैं।
5. नेटवर्क फ़ायरवॉल नीति: यह नीति आपके संगठन के VPCs पर AWS नेटवर्क फ़ायरवॉल सुरक्षा लागू करती है, पूर्वनिर्धारित नियमों के आधार पर ट्रैफ़िक को फ़िल्टर करके नेटवर्क सुरक्षा को बढ़ाती है।
6. Amazon Route 53 रिसॉल्वर DNS फ़ायरवॉल नीति: यह नीति आपके संगठन के VPCs पर DNS फ़ायरवॉल सुरक्षा लागू करती है, जिससे दुर्भावनापूर्ण डोमेन समाधान प्रयासों को अवरुद्ध करने और DNS ट्रैफ़िक के लिए सुरक्षा नीतियों को लागू करने में मदद मिलती है।
7. तीसरे पक्ष की फ़ायरवॉल नीति: यह नीति प्रकार तीसरे पक्ष के फ़ायरवॉल से सुरक्षा लागू करता है, जो AWS मार्केटप्लेस कंसोल के माध्यम से सदस्यता द्वारा उपलब्ध है। यह आपको अपने AWS वातावरण में विश्वसनीय विक्रेताओं से अतिरिक्त सुरक्षा उपायों को एकीकृत करने की अनुमति देता है।
8. Palo Alto Networks Cloud NGFW नीति: यह नीति आपके संगठन के VPCs पर Palo Alto Networks Cloud Next Generation Firewall (NGFW) सुरक्षा और नियम स्टैक्स लागू करती है, जो उन्नत खतरे की रोकथाम और एप्लिकेशन-स्तरीय सुरक्षा नियंत्रण प्रदान करती है।
9. Fortigate Cloud Native Firewall (CNF) as a Service नीति: यह नीति Fortigate Cloud Native Firewall (CNF) as a Service सुरक्षा लागू करती है, जो उद्योग में अग्रणी खतरे की रोकथाम, वेब एप्लिकेशन फ़ायरवॉल (WAF), और क्लाउड बुनियादी ढांचे के लिए अनुकूलित API सुरक्षा प्रदान करती है।

प्रशासक खाते

AWS फ़ायरवॉल प्रबंधक अपने प्रशासनिक दायरे और दो प्रकार के प्रशासक खातों के माध्यम से आपके संगठन के भीतर फ़ायरवॉल संसाधनों के प्रबंधन में लचीलापन प्रदान करता है।

प्रशासनिक दायरा उस संसाधनों को परिभाषित करता है जिन्हें फ़ायरवॉल प्रबंधक प्रशासक प्रबंधित कर सकता है। एक AWS संगठनों प्रबंधन खाता जब एक संगठन को फ़ायरवॉल प्रबंधक में ऑनबोर्ड करता है, तो यह विभिन्न प्रशासनिक दायरों के साथ अतिरिक्त प्रशासकों को बनाने में सक्षम होता है। ये दायरे शामिल कर सकते हैं:

• खाते या संगठनात्मक इकाइयाँ (OUs) जिन पर प्रशासक नीतियाँ लागू कर सकता है।
• क्षेत्र जहाँ प्रशासक क्रियाएँ कर सकता है।
• फ़ायरवॉल प्रबंधक नीति प्रकार जिन्हें प्रशासक प्रबंधित कर सकता है।

प्रशासनिक दायरा पूर्ण या प्रतिबंधित हो सकता है। पूर्ण दायरा प्रशासक को सभी निर्दिष्ट संसाधन प्रकारों, क्षेत्रों और नीति प्रकारों तक पहुँच प्रदान करता है। इसके विपरीत, प्रतिबंधित दायरा केवल संसाधनों, क्षेत्रों, या नीति प्रकारों के एक उपसमुच्चय पर प्रशासनिक अनुमति प्रदान करता है। यह सलाह दी जाती है कि प्रशासकों को केवल वही अनुमतियाँ दी जाएँ जिनकी उन्हें अपनी भूमिकाएँ प्रभावी ढंग से निभाने के लिए आवश्यकता होती है। आप किसी प्रशासक पर इन प्रशासनिक दायरा शर्तों का कोई भी संयोजन लागू कर सकते हैं, जिससे न्यूनतम विशेषाधिकार के सिद्धांत का पालन सुनिश्चित होता है।

प्रशासक खातों के दो विशिष्ट प्रकार हैं, प्रत्येक विशेष भूमिकाओं और जिम्मेदारियों की सेवा करता है:

• डिफ़ॉल्ट प्रशासक:
• डिफ़ॉल्ट प्रशासक खाता AWS संगठनों संगठन के प्रबंधन खाते द्वारा फ़ायरवॉल प्रबंधक में ऑनबोर्डिंग प्रक्रिया के दौरान बनाया जाता है।
• इस खाते में तीसरे पक्ष के फ़ायरवॉल का प्रबंधन करने की क्षमता होती है और इसमें पूर्ण प्रशासनिक दायरा होता है।
• यह संगठन के भीतर फ़ायरवॉल प्रबंधक के लिए प्राथमिक प्रशासक खाता के रूप में कार्य करता है, जो संगठन के भीतर सुरक्षा नीतियों को कॉन्फ़िगर और लागू करने के लिए जिम्मेदार होता है।
• जबकि डिफ़ॉल्ट प्रशासक सभी संसाधन प्रकारों और प्रशासनिक कार्यक्षमताओं तक पूर्ण पहुँच रखता है, यह संगठन के भीतर कई प्रशासकों का उपयोग करने पर अन्य प्रशासकों के समान समकक्ष स्तर पर कार्य करता है।
• फ़ायरवॉल प्रबंधक प्रशासक:
• ये प्रशासक AWS संगठनों प्रबंधन खाते द्वारा निर्दिष्ट दायरे के भीतर संसाधनों का प्रबंधन कर सकते हैं, जैसा कि प्रशासनिक दायरा कॉन्फ़िगरेशन द्वारा परिभाषित किया गया है।
• फ़ायरवॉल प्रबंधक प्रशासक संगठन के भीतर विशिष्ट भूमिकाओं को पूरा करने के लिए बनाए जाते हैं, जिससे जिम्मेदारियों का प्रतिनिधित्व करते हुए सुरक्षा और अनुपालन मानकों को बनाए रखा जा सके।
• निर्माण के समय, फ़ायरवॉल प्रबंधक यह निर्धारित करने के लिए AWS संगठनों के साथ जांच करता है कि क्या खाता पहले से ही एक प्रतिनिधि प्रशासक है। यदि नहीं, तो फ़ायरवॉल प्रबंधक संगठनों को फ़ायरवॉल प्रबंधक के लिए खाते को प्रतिनिधि प्रशासक के रूप में नामित करने के लिए कॉल करता है।

इन प्रशासक खातों का प्रबंधन फ़ायरवॉल प्रबंधक के भीतर उन्हें बनाने और संगठन की सुरक्षा आवश्यकताओं और न्यूनतम विशेषाधिकार के सिद्धांत के अनुसार उनके प्रशासनिक दायरों को परिभाषित करने में शामिल है। उचित प्रशासनिक भूमिकाएँ सौंपकर, संगठन प्रभावी सुरक्षा प्रबंधन सुनिश्चित कर सकते हैं जबकि संवेदनशील संसाधनों तक पहुँच पर बारीकी से नियंत्रण बनाए रख सकते हैं।

यह महत्वपूर्ण है कि संगठन के भीतर केवल एक खाता फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक के रूप में कार्य कर सकता है, "पहले आओ, पहले जाओ" के सिद्धांत का पालन करते हुए। एक नए डिफ़ॉल्ट प्रशासक को नामित करने के लिए, एक श्रृंखला के कदमों का पालन करना आवश्यक है:

• पहले, प्रत्येक फ़ायरवॉल प्रशासक प्रशासक खाता को अपने स्वयं के खाते को रद्द करना होगा।
• फिर, मौजूदा डिफ़ॉल्ट प्रशासक अपने स्वयं के खाते को रद्द कर सकता है, प्रभावी रूप से संगठन को फ़ायरवॉल प्रबंधक से हटा सकता है। इस प्रक्रिया के परिणामस्वरूप रद्द किए गए खाते द्वारा बनाए गए सभी फ़ायरवॉल प्रबंधक नीतियों का विलोपन होता है।
• अंत में, AWS संगठनों प्रबंधन खाते को फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक को नामित करना होगा।

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

पोस्ट एक्सप्लोइटेशन / बायपास डिटेक्शन

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

एक हमलावर जिसके पास fms:AssociateAdminAccount अनुमति है, वह फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक खाता सेट करने में सक्षम होगा। fms:PutAdminAccount अनुमति के साथ, एक हमलावर फ़ायरवॉल प्रबंधक प्रशासक खाता बनाने या अपडेट करने में सक्षम होगा और fms:DisassociateAdminAccount अनुमति के साथ, एक संभावित हमलावर वर्तमान फ़ायरवॉल प्रबंधक प्रशासक खाता संघ को हटा सकता है।

• फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक का असंगठन पहले-आने-आधारित नीति का पालन करता है। सभी फ़ायरवॉल प्रबंधक प्रशासकों को असंगठित होना चाहिए इससे पहले कि फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक खाता असंगठित कर सके।
• PutAdminAccount द्वारा फ़ायरवॉल प्रबंधक प्रशासक बनाने के लिए, खाता उस संगठन का होना चाहिए जो पहले फ़ायरवॉल प्रबंधक में AssociateAdminAccount का उपयोग करके ऑनबोर्ड किया गया था।
• फ़ायरवॉल प्रबंधक प्रशासक खाता केवल संगठन के प्रबंधन खाते द्वारा बनाया जा सकता है।

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

संभावित प्रभाव: केंद्रीकृत प्रबंधन का नुकसान, नीति से बचाव, अनुपालन उल्लंघन, और वातावरण के भीतर सुरक्षा नियंत्रणों का विघटन।

fms:PutPolicy, fms:DeletePolicy

एक हमलावर जिसके पास fms:PutPolicy, fms:DeletePolicy अनुमतियाँ हैं, वह AWS Firewall Manager नीति को बनाने, संशोधित करने या स्थायी रूप से हटाने में सक्षम होगा।

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

एक उदहारण जो अनुमति देने वाली नीति के माध्यम से अनुमति देने वाले सुरक्षा समूह के द्वारा पहचान को बायपास करने के लिए हो सकता है, वह निम्नलिखित हो सकता है:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": [
"AWS::EC2::Instance",
"AWS::EC2::NetworkInterface",
"AWS::EC2::SecurityGroup",
"AWS::ElasticLoadBalancingV2::LoadBalancer",
"AWS::ElasticLoadBalancing::LoadBalancer"
],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

संभावित प्रभाव: सुरक्षा नियंत्रणों का विघटन, नीति से बचाव, अनुपालन उल्लंघन, संचालन में बाधाएँ, और वातावरण के भीतर संभावित डेटा उल्लंघन।

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

एक हमलावर जिसके पास fms:BatchAssociateResource और fms:BatchDisassociateResource अनुमतियाँ हैं, वह क्रमशः एक फ़ायरवॉल प्रबंधक संसाधन सेट से संसाधनों को जोड़ने या अलग करने में सक्षम होगा। इसके अतिरिक्त, fms:PutResourceSet और fms:DeleteResourceSet अनुमतियाँ एक हमलावर को AWS Firewall Manager से इन संसाधन सेटों को बनाने, संशोधित करने या हटाने की अनुमति देंगी।

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

संभावित प्रभाव: एक संसाधन सेट में अनावश्यक मात्रा में आइटम जोड़ने से सेवा में शोर का स्तर बढ़ जाएगा, जिससे DoS हो सकता है। इसके अलावा, संसाधन सेट में परिवर्तन संसाधन विघटन, नीति से बचाव, अनुपालन उल्लंघनों और वातावरण के भीतर सुरक्षा नियंत्रणों के विघटन का कारण बन सकते हैं।

fms:PutAppsList, fms:DeleteAppsList

एक हमलावर जिसके पास fms:PutAppsList और fms:DeleteAppsList अनुमतियाँ हैं, AWS Firewall Manager से एप्लिकेशन सूचियाँ बनाने, संशोधित करने या हटाने में सक्षम होगा। यह महत्वपूर्ण हो सकता है, क्योंकि अनधिकृत एप्लिकेशनों को आम जनता तक पहुँचने की अनुमति दी जा सकती है, या अधिकृत एप्लिकेशनों तक पहुँच को अस्वीकृत किया जा सकता है, जिससे DoS हो सकता है।

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

संभावित प्रभाव: इससे गलत कॉन्फ़िगरेशन, नीति से बचाव, अनुपालन उल्लंघन, और वातावरण के भीतर सुरक्षा नियंत्रणों में विघटन हो सकता है।

fms:PutProtocolsList, fms:DeleteProtocolsList

एक हमलावर जिसके पास fms:PutProtocolsList और fms:DeleteProtocolsList अनुमतियाँ हैं, वह AWS Firewall Manager से प्रोटोकॉल सूचियाँ बनाने, संशोधित करने या हटाने में सक्षम होगा। अनुप्रयोगों की सूचियों के समान, यह महत्वपूर्ण हो सकता है क्योंकि अनधिकृत प्रोटोकॉल का उपयोग आम जनता द्वारा किया जा सकता है, या अधिकृत प्रोटोकॉल के उपयोग को अस्वीकार किया जा सकता है, जिससे DoS हो सकता है।

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

संभावित प्रभाव: इससे गलत कॉन्फ़िगरेशन, नीति से बचाव, अनुपालन उल्लंघन, और वातावरण के भीतर सुरक्षा नियंत्रणों में विघटन हो सकता है।

fms:PutNotificationChannel, fms:DeleteNotificationChannel

एक हमलावर जिसके पास fms:PutNotificationChannel और fms:DeleteNotificationChannel अनुमतियाँ हैं, वह IAM भूमिका और Amazon Simple Notification Service (SNS) विषय को हटा और निर्दिष्ट कर सकता है जिसका उपयोग Firewall Manager SNS लॉग रिकॉर्ड करने के लिए करता है।

fms:PutNotificationChannel का उपयोग कंसोल के बाहर करने के लिए, आपको SNS विषय की पहुँच नीति सेटअप करनी होगी, जिससे निर्दिष्ट SnsRoleName को SNS लॉग प्रकाशित करने की अनुमति मिलेगी। यदि प्रदान किया गया SnsRoleName AWSServiceRoleForFMS के अलावा कोई अन्य भूमिका है, तो इसे Firewall Manager सेवा प्रिंसिपल fms.amazonaws.com को इस भूमिका को ग्रहण करने की अनुमति देने के लिए एक विश्वास संबंध की आवश्यकता होती है।

SNS पहुँच नीति कॉन्फ़िगर करने के बारे में जानकारी के लिए:

AWS - SNS Enum

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

संभावित प्रभाव: इससे सुरक्षा अलर्ट्स छूटने, घटना प्रतिक्रिया में देरी, संभावित डेटा उल्लंघन और वातावरण में परिचालन व्यवधान हो सकते हैं।

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

एक हमलावर जिसके पास fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall अनुमतियाँ हैं, वह AWS Firewall Manager के माध्यम से तीसरे पक्ष के फ़ायरवॉल को केंद्रीय रूप से प्रबंधित करने के लिए जोड़ या हटा सकता है।

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

संभावित प्रभाव: असंबंधन एक नीति से बचने, अनुपालन उल्लंघनों, और वातावरण के भीतर सुरक्षा नियंत्रणों में विघटन का कारण बनेगा। दूसरी ओर, संबंध लागत और बजट आवंटन में विघटन का कारण बनेगा।

fms:TagResource, fms:UntagResource

एक हमलावर फ़ायरवॉल प्रबंधक संसाधनों से टैग जोड़ने, संशोधित करने, या हटाने में सक्षम होगा, जो आपके संगठन के लागत आवंटन, संसाधन ट्रैकिंग, और टैग के आधार पर पहुंच नियंत्रण नीतियों में विघटन करेगा।

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

संभावित प्रभाव: लागत आवंटन, संसाधन ट्रैकिंग, और टैग-आधारित पहुंच नियंत्रण नीतियों में विघटन।

संदर्भ

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html
• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html
• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html