AWS - Firewall Manager Enum

Reading time: 18 minutes

Firewall Manager

AWS Firewall Manager inarahisisha usimamizi na matengenezo ya AWS WAF, AWS Shield Advanced, vikundi vya usalama vya Amazon VPC na Orodha za Udhibiti wa Upatikanaji wa Mtandao (ACLs), na AWS Network Firewall, AWS Route 53 Resolver DNS Firewall na firewalls za wahusika wengine katika akaunti na rasilimali nyingi. Inakuruhusu kuunda sheria za firewall, ulinzi wa Shield Advanced, vikundi vya usalama vya VPC, na mipangilio ya Network Firewall mara moja, huku huduma hiyo ikiweka sheria na ulinzi hizi kiotomatiki katika akaunti na rasilimali zako, ikiwa ni pamoja na zile zilizoongezwa hivi karibuni.

Huduma hii inatoa uwezo wa kundi na kulinda rasilimali maalum pamoja, kama zile zinazoshiriki lebo ya kawaida au usambazaji wako wote wa CloudFront. Faida kubwa ya Firewall Manager ni uwezo wake wa kupanua ulinzi kiotomatiki kwa rasilimali zilizoongezwa hivi karibuni katika akaunti yako.

Kikundi cha sheria (mkusanyiko wa sheria za WAF) kinaweza kuunganishwa katika Sera ya AWS Firewall Manager, ambayo kisha inahusishwa na rasilimali maalum za AWS kama vile usambazaji wa CloudFront au balancer za mzigo wa programu.

AWS Firewall Manager inatoa orodha za programu na protokali zinazodhibitiwa ili kurahisisha usanidi na usimamizi wa sera za vikundi vya usalama. Orodha hizi zinakuruhusu kufafanua protokali na programu zinazoruhusiwa au kukataliwa na sera zako. Kuna aina mbili za orodha zinazodhibitiwa:

• Orodha zinazodhibitiwa na Firewall Manager: Orodha hizi zinajumuisha FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed na FMS-Default-Protocols-Allowed. Zinadhibitiwa na Firewall Manager na zinajumuisha programu na protokali zinazotumika mara kwa mara ambazo zinapaswa kuruhusiwa au kukataliwa kwa umma. Haiwezekani kuhariri au kufuta, hata hivyo, unaweza kuchagua toleo lake.
• Orodha zinazodhibitiwa za kawaida: Unazisimamia orodha hizi mwenyewe. Unaweza kuunda orodha za programu na protokali za kawaida zinazofaa mahitaji ya shirika lako. Tofauti na orodha zinazodhibitiwa na Firewall Manager, orodha hizi hazina matoleo, lakini una udhibiti kamili juu ya orodha za kawaida, na kukuruhusu kuunda, kuhariri, na kufuta kadri inavyohitajika.

Ni muhimu kutambua kwamba sera za Firewall Manager zinaruhusu tu vitendo vya "Block" au "Count" kwa kikundi cha sheria, bila chaguo la "Allow".

Prerequisites

Hatua zifuatazo za awali lazima zikamilishwe kabla ya kuendelea kuunda Firewall Manager ili kuanza kulinda rasilimali za shirika lako kwa ufanisi. Hatua hizi zinatoa usanidi wa msingi unaohitajika kwa Firewall Manager kutekeleza sera za usalama na kuhakikisha kufuata sheria katika mazingira yako ya AWS:

1. Jiunge na usanidi AWS Organizations: Hakikisha akaunti yako ya AWS ni sehemu ya shirika la AWS Organizations ambapo sera za AWS Firewall Manager zinapangwa kutekelezwa. Hii inaruhusu usimamizi wa kati wa rasilimali na sera katika akaunti nyingi za AWS ndani ya shirika.
2. Unda Akaunti ya Msimamizi wa Default ya AWS Firewall Manager: Kuanzisha akaunti ya msimamizi wa default mahsusi kwa usimamizi wa sera za usalama za Firewall Manager. Akaunti hii itakuwa na jukumu la kuunda na kutekeleza sera za usalama katika shirika. Ni akaunti ya usimamizi ya shirika pekee inayoweza kuunda akaunti za msimamizi wa default za Firewall Manager.
3. Washa AWS Config: Washa AWS Config ili kutoa Firewall Manager na data na maarifa muhimu ya usanidi yanayohitajika kutekeleza sera za usalama kwa ufanisi. AWS Config husaidia kuchambua, kukagua, kufuatilia na kukagua usanidi wa rasilimali na mabadiliko, ikirahisisha usimamizi bora wa usalama.
4. Kwa Sera za Wahusika Wengine, Jiandikishe katika Soko la AWS na Usanidi Mipangilio ya Wahusika Wengine: Ikiwa unatarajia kutumia sera za firewall za wahusika wengine, jiandikishe kwao katika Soko la AWS na usanidi mipangilio inayohitajika. Hatua hii inahakikisha kwamba Firewall Manager inaweza kuunganishwa na kutekeleza sera kutoka kwa wauzaji wa wahusika wengine wanaoaminika.
5. Kwa Sera za Network Firewall na DNS Firewall, wezesha ushirikiano wa rasilimali: Wezesha ushirikiano wa rasilimali mahsusi kwa sera za Network Firewall na DNS Firewall. Hii inaruhusu Firewall Manager kutekeleza ulinzi wa firewall kwa VPC za shirika lako na ufumbuzi wa DNS, ikiongeza usalama wa mtandao.
6. Ili kutumia AWS Firewall Manager katika Mikoa ambayo zimezimwa kwa chaguo-msingi: Ikiwa unakusudia kutumia Firewall Manager katika mikoa ya AWS ambayo zimezimwa kwa chaguo-msingi, hakikisha unachukua hatua zinazohitajika ili kuwezesha kazi yake katika mikoa hiyo. Hii inahakikisha utekelezaji wa usalama unaoendelea katika mikoa yote ambapo shirika lako linafanya kazi.

Kwa maelezo zaidi, angalia: Getting started with AWS Firewall Manager AWS WAF policies.

Types of protection policies

AWS Firewall Manager inasimamia aina kadhaa za sera ili kutekeleza udhibiti wa usalama katika nyanja tofauti za miundombinu ya shirika lako:

1. Sera ya AWS WAF: Aina hii ya sera inasaidia AWS WAF na AWS WAF Classic. Unaweza kufafanua ni rasilimali zipi zinazolindwa na sera hiyo. Kwa sera za AWS WAF, unaweza kufafanua seti za vikundi vya sheria ambazo zitakimbia kwanza na mwisho katika web ACL. Aidha, wamiliki wa akaunti wanaweza kuongeza sheria na vikundi vya sheria kukimbia kati ya seti hizi.
2. Sera ya Shield Advanced: Sera hii inatumika kwa ulinzi wa Shield Advanced katika shirika lako kwa aina maalum za rasilimali. Inasaidia kulinda dhidi ya mashambulizi ya DDoS na vitisho vingine.
3. Sera ya Vikundi vya Usalama vya Amazon VPC: Kwa sera hii, unaweza kusimamia vikundi vya usalama vinavyotumika katika shirika lako, ukitekeleza seti ya msingi ya sheria katika mazingira yako ya AWS ili kudhibiti upatikanaji wa mtandao.
4. Sera ya Orodha ya Udhibiti wa Upatikanaji wa Mtandao wa Amazon VPC (ACL): Aina hii ya sera inakupa udhibiti juu ya ACLs za mtandao zinazotumika katika shirika lako, ikiruhusu kutekeleza seti ya msingi ya ACLs za mtandao katika mazingira yako ya AWS.
5. Sera ya Network Firewall: Sera hii inatumika kwa ulinzi wa AWS Network Firewall kwa VPC za shirika lako, ikiongeza usalama wa mtandao kwa kuchuja trafiki kulingana na sheria zilizowekwa.
6. Sera ya Amazon Route 53 Resolver DNS Firewall: Sera hii inatumika kwa ulinzi wa DNS Firewall kwa VPC za shirika lako, ikisaidia kuzuia majaribio ya kutatua majina mabaya na kutekeleza sera za usalama kwa trafiki ya DNS.
7. Sera ya Firewall ya Wahusika Wengine: Aina hii ya sera inatumika kwa ulinzi kutoka kwa firewalls za wahusika wengine, ambazo zinapatikana kwa usajili kupitia console ya Soko la AWS. Inaruhusu kuunganisha hatua za ziada za usalama kutoka kwa wauzaji wanaoaminika katika mazingira yako ya AWS.
8. Sera ya Palo Alto Networks Cloud NGFW: Sera hii inatumika kwa ulinzi wa Palo Alto Networks Cloud Next Generation Firewall (NGFW) na seti za sheria kwa VPC za shirika lako, ikitoa kinga ya juu dhidi ya vitisho na udhibiti wa usalama wa kiwango cha programu.
9. Sera ya Fortigate Cloud Native Firewall (CNF) kama Huduma: Sera hii inatumika kwa ulinzi wa Fortigate Cloud Native Firewall (CNF) kama Huduma, ikitoa kinga ya juu dhidi ya vitisho, firewall ya programu ya wavuti (WAF), na ulinzi wa API ulioandaliwa kwa miundombinu ya wingu.

Administrator accounts

AWS Firewall Manager inatoa kubadilika katika usimamizi wa rasilimali za firewall ndani ya shirika lako kupitia upeo wake wa usimamizi na aina mbili za akaunti za wasimamizi.

Upeo wa usimamizi unafafanua rasilimali ambazo msimamizi wa Firewall Manager anaweza kusimamia. Baada ya akaunti ya usimamizi ya AWS Organizations kuanzisha shirika kwa Firewall Manager, inaweza kuunda wasimamizi wengine wenye upeo tofauti wa usimamizi. Upeo huu unaweza kujumuisha:

• Akaunti au vitengo vya shirika (OUs) ambavyo msimamizi anaweza kutekeleza sera.
• Mikoa ambapo msimamizi anaweza kufanya vitendo.
• Aina za sera za Firewall Manager ambazo msimamizi anaweza kusimamia.

Upeo wa usimamizi unaweza kuwa kamili au mdogo. Upeo kamili unampa msimamizi ufikiaji wa aina zote za rasilimali zilizotajwa, mikoa, na aina za sera. Kinyume chake, upeo mdogo unatoa ruhusa ya usimamizi kwa sehemu tu ya rasilimali, mikoa, au aina za sera. Ni vyema kuwapa wasimamizi ruhusa tu wanazohitaji ili kutimiza majukumu yao kwa ufanisi. Unaweza kutumia mchanganyiko wowote wa masharti haya ya upeo wa usimamizi kwa msimamizi, kuhakikisha kufuata kanuni ya ruhusa ndogo.

Kuna aina mbili tofauti za akaunti za wasimamizi, kila moja ikihudumia majukumu na wajibu maalum:

• Msimamizi wa Default:
• Akaunti ya msimamizi wa default inaundwa na akaunti ya usimamizi ya shirika la AWS Organizations wakati wa mchakato wa kuanzisha Firewall Manager.
• Akaunti hii ina uwezo wa kusimamia firewalls za wahusika wengine na ina upeo kamili wa usimamizi.
• Inatumika kama akaunti ya msingi ya msimamizi wa Firewall Manager, yenye jukumu la kuunda na kutekeleza sera za usalama katika shirika.
• Ingawa msimamizi wa default ana ufikiaji kamili wa aina zote za rasilimali na kazi za usimamizi, inafanya kazi kwa kiwango sawa na wasimamizi wengine ikiwa wasimamizi wengi wanatumika ndani ya shirika.
• Wasimamizi wa Firewall Manager:
• Wasimamizi hawa wanaweza kusimamia rasilimali ndani ya upeo ulioainishwa na akaunti ya usimamizi ya AWS Organizations, kama ilivyoainishwa na usanidi wa upeo wa usimamizi.
• Wasimamizi wa Firewall Manager wanaanzishwa ili kutimiza majukumu maalum ndani ya shirika, wakiruhusu ugawaji wa majukumu huku wakihifadhi viwango vya usalama na kufuata sheria.
• Mara baada ya kuanzishwa, Firewall Manager inakagua na AWS Organizations ili kubaini ikiwa akaunti tayari ni msimamizi aliyepewa. Ikiwa sivyo, Firewall Manager inaita Organizations ili kuainisha akaunti hiyo kama msimamizi aliyepewa kwa Firewall Manager.

Kusimamia akaunti hizi za wasimamizi kunahusisha kuziunda ndani ya Firewall Manager na kufafanua upeo wao wa usimamizi kulingana na mahitaji ya usalama ya shirika na kanuni ya ruhusa ndogo. Kwa kutoa majukumu sahihi ya usimamizi, mashirika yanaweza kuhakikisha usimamizi bora wa usalama huku yakihifadhi udhibiti wa kina juu ya ufikiaji wa rasilimali nyeti.

Ni muhimu kusisitiza kwamba akaunti moja tu ndani ya shirika inaweza kutumikia kama msimamizi wa default wa Firewall Manager, ikifuatia kanuni ya "wa kwanza kuingia, wa mwisho kutoka". Ili kuainisha msimamizi mpya wa default, mfululizo wa hatua lazima uzingatiwe:

• Kwanza, kila akaunti ya msimamizi wa Firewall Administrator lazima ipige marufuku akaunti zao wenyewe.
• Kisha, msimamizi wa default aliyepo anaweza kupiga marufuku akaunti yao wenyewe, kwa ufanisi ikiondoa shirika kutoka kwa Firewall Manager. Mchakato huu unapelekea kufutwa kwa sera zote za Firewall Manager zilizoundwa na akaunti iliyopigwa marufuku.
• Ili kumaliza, akaunti ya usimamizi ya AWS Organizations lazima iainishe msimamizi wa default wa Firewall Manager.

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

Mshambuliaji mwenye ruhusa ya fms:AssociateAdminAccount angeweza kuweka akaunti ya msimamizi wa Firewall Manager ya default. Kwa ruhusa ya fms:PutAdminAccount, mshambuliaji angeweza kuunda au kusasisha akaunti ya msimamizi wa Firewall Manager na kwa ruhusa ya fms:DisassociateAdminAccount, mshambuliaji mwenye uwezo anaweza kuondoa ushirikiano wa akaunti ya sasa ya msimamizi wa Firewall Manager.

• Kuondolewa kwa ushirikiano wa Firewall Manager default administrator kunafuata sera ya kwanza ndani, ya mwisho nje. Wote wa wasimamizi wa Firewall Manager lazima waondoe ushirikiano kabla ya msimamizi wa Firewall Manager wa default kuweza kuondoa akaunti hiyo.
• Ili kuunda msimamizi wa Firewall Manager kwa PutAdminAccount, akaunti lazima iwe ya shirika ambalo lilikuwa limeanzishwa awali kwa Firewall Manager kwa kutumia AssociateAdminAccount.
• Uundaji wa akaunti ya msimamizi wa Firewall Manager unaweza kufanywa tu na akaunti ya usimamizi ya shirika.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Madhara Yanayoweza Kutokea: Kupoteza usimamizi wa kati, kukwepa sera, ukiukaji wa taratibu, na kuingiliwa kwa udhibiti wa usalama ndani ya mazingira.

fms:PutPolicy, fms:DeletePolicy

Mshambuliaji mwenye ruhusa za fms:PutPolicy, fms:DeletePolicy angeweza kuunda, kubadilisha au kufuta kabisa sera ya AWS Firewall Manager.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Mfano wa sera ya ruhusa kupitia kundi la usalama la ruhusa, ili kupita kwenye ugunduzi, unaweza kuwa kama ifuatavyo:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": [
"AWS::EC2::Instance",
"AWS::EC2::NetworkInterface",
"AWS::EC2::SecurityGroup",
"AWS::ElasticLoadBalancingV2::LoadBalancer",
"AWS::ElasticLoadBalancing::LoadBalancer"
],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Madhara Yanayoweza Kutokea: Kuondolewa kwa udhibiti wa usalama, kukwepa sera, ukiukaji wa ufuatiliaji, usumbufu wa operesheni, na uvunjaji wa data unaoweza kutokea ndani ya mazingira.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

Mshambuliaji mwenye ruhusa za fms:BatchAssociateResource na fms:BatchDisassociateResource angeweza kuunganisha au kuondoa rasilimali kutoka kwa seti ya rasilimali ya Firewall Manager mtawalia. Aidha, ruhusa za fms:PutResourceSet na fms:DeleteResourceSet zingemruhusu mshambuliaji kuunda, kubadilisha au kufuta seti hizi za rasilimali kutoka AWS Firewall Manager.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Madhara Yanayoweza Kutokea: Kuongeza idadi isiyo ya lazima ya vitu kwenye seti ya rasilimali kutainua kiwango cha kelele katika Huduma na huenda kukasababisha DoS. Aidha, mabadiliko ya seti za rasilimali yanaweza kusababisha usumbufu wa rasilimali, kukwepa sera, ukiukaji wa taratibu, na usumbufu wa udhibiti wa usalama ndani ya mazingira.

fms:PutAppsList, fms:DeleteAppsList

Mshambuliaji mwenye ruhusa za fms:PutAppsList na fms:DeleteAppsList angeweza kuunda, kubadilisha au kufuta orodha za programu kutoka AWS Firewall Manager. Hii inaweza kuwa muhimu, kwani programu zisizoidhinishwa zinaweza kuruhusiwa kuingia kwa umma, au ufikiaji wa programu zilizoidhinishwa unaweza kukataliwa, na kusababisha DoS.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Madhara Yanayoweza Kutokea: Hii inaweza kusababisha mipangilio isiyo sahihi, kukwepa sera, ukiukaji wa uzingatiaji, na kuvurugika kwa udhibiti wa usalama ndani ya mazingira.

fms:PutProtocolsList, fms:DeleteProtocolsList

Mshambuliaji mwenye ruhusa za fms:PutProtocolsList na fms:DeleteProtocolsList angeweza kuunda, kubadilisha au kufuta orodha za protokali kutoka AWS Firewall Manager. Vivyo hivyo na orodha za programu, hii inaweza kuwa muhimu kwani protokali zisizoidhinishwa zinaweza kutumika na umma kwa ujumla, au matumizi ya protokali zilizoidhinishwa yanaweza kukataliwa, na kusababisha DoS.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Madhara Yanayoweza Kutokea: Hii inaweza kusababisha mipangilio isiyo sahihi, kukwepa sera, ukiukaji wa uzingatiaji, na kuingiliwa kwa udhibiti wa usalama ndani ya mazingira.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

Mshambuliaji mwenye ruhusa za fms:PutNotificationChannel na fms:DeleteNotificationChannel angeweza kufuta na kuainisha jukumu la IAM na mada ya Amazon Simple Notification Service (SNS) ambayo Firewall Manager inatumia kurekodi kumbukumbu za SNS.

Ili kutumia fms:PutNotificationChannel nje ya console, unahitaji kuweka sera ya ufikiaji ya mada ya SNS, ikiruhusu SnsRoleName iliyotolewa kuchapisha kumbukumbu za SNS. Ikiwa SnsRoleName iliyotolewa ni jukumu tofauti na AWSServiceRoleForFMS, inahitaji uhusiano wa kuaminiana uliowekwa ili kuruhusu huduma ya Firewall Manager fms.amazonaws.com kuchukua jukumu hili.

Kwa maelezo kuhusu kuweka sera ya ufikiaji ya SNS:

AWS - SNS Enum

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Madhara Yanayoweza Kutokea: Hii inaweza kusababisha kukosa tahadhari za usalama, kuchelewesha majibu ya matukio, uvunjaji wa data na usumbufu wa operesheni ndani ya mazingira.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

Mshambuliaji mwenye ruhusa za fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall angeweza kuunganisha au kuondoa moto wa tatu kutoka kwa usimamizi wa kati kupitia AWS Firewall Manager.

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

Madhara Yanayoweza Kutokea: Kutenganishwa kutasababisha kukwepa sera, ukiukaji wa uzingativu, na kuvurugika kwa udhibiti wa usalama ndani ya mazingira. Kuunganishwa kwa upande mwingine kutasababisha kuvurugika kwa mgawanyo wa gharama na bajeti.

fms:TagResource, fms:UntagResource

Mshambuliaji angeweza kuongeza, kubadilisha, au kuondoa lebo kutoka kwa rasilimali za Firewall Manager, akivuruga mgawanyo wa gharama wa shirika lako, ufuatiliaji wa rasilimali, na sera za udhibiti wa ufikiaji kulingana na lebo.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Madhara Yanayoweza Kutokea: Kuingiliwa kwa ugawaji wa gharama, ufuatiliaji wa rasilimali, na sera za udhibiti wa ufikiaji kulingana na lebo.

Marejeleo

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html
• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html
• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html