Auto-sync: 2026-04-24 00:02

wiki/entities/Checkpoint.md

@@ -0,0 +1,57 @@
+---
+title: "Checkpoint"
+type: entity
+tags: [Firewall, Network-Security, AWS, Cloud-Security]
+last_updated: 2026-04-14
+---
+
+## Overview
+
+Checkpoint（Check Point Software Technologies）是全球领先的网络安全解决方案提供商，其防火墙产品在该组织的 AWS Landing Zone 架构中扮演关键角色。Checkpoint 防火墙通过读取 AWS 资源的标签值（Tags）来动态配置网络访问策略，这意味着资源标签的有效性直接影响网络连通性。
+
+## Role in AWS Landing Zone
+
+在企业 AWS 架构中，Checkpoint 防火墙与 AWS 资源标签紧密集成：
+
+- **读取标签来源**：EC2 实例、安全组（Security Groups）、负载均衡器（Load Balancers）
+- **基于标签决策**：根据标签键值对判断资源所属环境（dev/staging/prod）、成本中心、负责人等属性
+- **动态网络策略**：根据标签值自动应用相应的网络访问控制规则
+
+### 网络安全依赖链
+
+```
+AWS 资源标签（Tag）→ Checkpoint 防火墙读取 → 网络访问策略配置
+                                    ↑
+                              标签缺失或无效
+                                    ↓
+                           相关网络流量被拦截
+```
+
+## Impact of Tag Non-Compliance
+
+当 AWS 资源缺少必需标签或标签值不在允许列表中时：
+1. Checkpoint 防火墙无法识别资源身份
+2. 无法将资源匹配到正确的网络策略
+3. 防火墙执行默认拒绝策略，**拦截该资源的所有网络流量**
+4. 导致服务中断或连接失败
+
+这使得 **标签合规性从"可选管理实践"变为"网络安全硬性要求"**。
+
+## Solutions
+
+| 机制 | 作用 | 局限性 |
+|------|------|--------|
+| [[Service-Control-Policies-SCPs]] | 阻止不合规新资源创建 | 无法修复存量资源 |
+| [[Tag-Validation-Tool]] | 审计存量资源标签合规性 | 仅审计，需人工修复 |
+
+## Related Concepts
+
+- [[AWS-Tags]]：Checkpoint 读取的元数据
+- [[AWS-Tagging-Standards]]：标签规范的定义
+- [[Tag-Validation-Tool]]：确保标签合规性的工具
+- [[Service-Control-Policies-SCPs]]：强制执行标签规范的上游机制
+- [[Checkpoint-Firewall]]：（同义词，可互链）
+
+## Sources
+
+- [[ctp-topic-28-aws-tag-validation-tool]]