Auto-sync: 2026-04-19 16:02

wiki/concepts/Cloud-Security-Posture-Management.md

@@ -0,0 +1,49 @@
+---
+title: "Cloud Security Posture Management"
+type: concept
+tags: [Security, Cloud, CSPM, Compliance, Monitoring]
+date: 2026-04-14
+---
+
+## Definition
+云安全态势管理（Cloud Security Posture Management，CSPM）是一种持续监控云资源配置合规性的解决方案，解决多云环境安全割裂和缺乏统一视图的问题。
+
+## Core Problems Solved
+- 多云账户安全管理割裂
+- 缺乏公共云安全态势的集中视图
+- 事件响应时间长
+- 合规性评估困难
+
+## Core Features
+1. **发现（Discovery）**：自动发现云环境中的所有资产
+2. **监控（Monitoring）**：持续监控安全配置
+3. **评估（Assessment）**：基于合规框架（CIS、NIST、ISO）进行评估
+4. **保护（Protection）**：提供修复建议和自动修复能力
+
+## Key Requirements
+- 整合多个云账户的错误配置到单一平台
+- 提供合规框架视图（CIS、NIST、ISO）
+- 支持自定义策略
+
+## Selected Solution: Cloud Guard
+经过 POC 测试后选中，核心功能包括：
+- 态势管理（Posture Management）
+- 资产管理（Asset Management）
+- 网络配置探索（Network Configuration Exploration）
+- 事件管理（Event Management）
+- 身份管理（Identity Management）
+- 威胁情报（Intelligence）
+
+## Onboarding Process
+新账户在创建过程中自动接入 Cloud Guard，确保全面覆盖和相关规则集的应用。
+
+## Related Entities
+- [[Coyote]] — Head of Enterprise Application Security
+
+## Related Concepts
+- [[Three-Lines-of-Defense]]
+- [[Multi-Cloud]]
+- [[Compliance-Enforcement]]
+
+## Related Sources
+- [[CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)]]

wiki/concepts/Container-Image-Scanning.md

@@ -0,0 +1,26 @@
+---
+title: "Container Image Scanning"
+type: concept
+tags: [Container, Security, Vulnerability]
+last_updated: 2026-04-19
+---
+
+## 定义
+容器镜像扫描是在构建和部署阶段自动检测容器镜像中已知安全漏洞的过程。通过扫描工具识别镜像中的组件漏洞、配置问题和安全风险。
+
+## 扫描内容
+- 操作系统软件包漏洞
+- 应用依赖库漏洞
+- 配置文件安全风险
+- 敏感信息泄露检测
+- 合规性检查
+
+## 工具示例
+- Snyk
+- Trivy
+- Clair
+- Anchore
+
+## 相关资源
+- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 相关概念：[[Container-Lifecycle-Hardening]]

wiki/concepts/Container-Lifecycle-Hardening.md

@@ -0,0 +1,34 @@
+---
+title: "Container Lifecycle Hardening"
+type: concept
+tags: [Container, Security, Hardening, Kubernetes]
+last_updated: 2026-04-19
+---
+
+## 定义
+容器生命周期加固是指在容器构建、部署和运行各个阶段实施安全最佳实践的系统化方法。Micro Focus 产品安全组制定的容器生命周期加固标准聚焦于构建阶段的安全实践。
+
+## 核心组件
+
+### 1. 构建阶段标准（11 项）
+- 使用 Micro Focus 基础镜像
+- 采用 init 系统（如 teeny）
+- 确保镜像不含敏感信息
+- 使用只读文件系统
+- 使用 emptyDir 卷处理临时文件
+- 镜像扫描检测漏洞
+- 单容器单应用
+- 禁用 Kubernetes API 访问
+- 使用私有服务账户
+- 避免主机网络模式
+- 避免主机端口
+
+### 2. 关键概念
+- [[Read-Only-Root-Filesystem]]：只读根文件系统配置
+- [[Container-Image-Scanning]]：镜像漏洞扫描
+- [[Init-System]]：容器初始化进程
+- [[Kubernetes-Service-Account]]：K8s 服务账户
+
+## 相关资源
+- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 相关：[[CTP Topic 21 Supply Chain Security in Micro Focus]]

wiki/concepts/Init-System.md

@@ -0,0 +1,25 @@
+---
+title: "Init System"
+type: concept
+tags: [Container, Security, Process]
+last_updated: 2026-04-19
+---
+
+## 定义
+Init 系统是容器内的初始化进程，用于处理系统信号和回收僵尸进程。常见实现包括 teeny、tini 等。
+
+## 为什么需要 Init 系统
+容器默认只运行一个进程（PID 1），当该进程退出时容器终止。但以下情况需要 init 系统：
+- 处理孤儿僵尸进程
+- 正确传播 SIGTERM 信号
+- 清理退出的子进程
+- 避免资源耗尽
+
+## 工具示例
+- teeny：轻量级 init 系统
+- tini：Docker 官方推荐
+- dumb-init：简单易用
+
+## 相关资源
+- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 相关概念：[[Container-Lifecycle-Hardening]]

wiki/concepts/Kubernetes-Service-Account.md

@@ -0,0 +1,23 @@
+---
+title: "Kubernetes Service Account"
+type: concept
+tags: [Kubernetes, Security, Authentication]
+last_updated: 2026-04-19
+---
+
+## 定义
+Kubernetes Service Account（服务账户）是 Pod 用于身份验证到 Kubernetes API Server 的机制。每个 Pod 关联一个服务账户，默认使用 default 服务账户。
+
+## 安全最佳实践
+- 禁用自动挂载（`automountServiceAccountToken: false`）
+- 使用私有服务账户而非默认账户
+- 通过 Role/RoleBinding 最小化权限
+- 定期轮换服务账户凭据
+
+## 关联安全配置
+- `automountServiceAccountToken`：控制是否自动挂载服务账户令牌
+- `imagePullSecrets`：用于私有镜像仓库认证
+
+## 相关资源
+- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 相关概念：[[Container-Lifecycle-Hardening]]

wiki/concepts/Read-Only-Root-Filesystem.md

@@ -0,0 +1,22 @@
+---
+title: "Read Only Root Filesystem"
+type: concept
+tags: [Container, Security, Kubernetes]
+last_updated: 2026-04-19
+---
+
+## 定义
+只读根文件系统（Read-Only Root Filesystem）是一种容器安全配置，将容器的根文件系统设置为只读状态，防止未授权的文件创建和修改。
+
+## 实现方式
+在 Kubernetes 中通过设置 `readOnlyRootFilesystem: true` 实现。
+
+## 安全价值
+- 防止恶意攻击者写入恶意文件
+- 保护系统目录不被篡改
+- 限制容器内恶意软件的活动范围
+- 符合不可变基础设施最佳实践
+
+## 相关资源
+- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 相关概念：[[Container-Lifecycle-Hardening]]

wiki/concepts/SDL-Security-Development-Lifecycle.md

@@ -0,0 +1,41 @@
+---
+title: "SDL (Security Development Lifecycle)"
+type: concept
+tags:
+  - Security
+  - Development
+  - SDLC
+---
+
+## Definition
+SDL（Security Development Lifecycle，软件安全开发生命周期）是将安全实践集成到软件开发流程中的系统化方法。
+
+## Micro Focus 13 个安全轨道
+Micro Focus 将供应链安全作为 SDL 的第五大支柱，共 13 个安全轨道：
+1. 威胁建模
+2. 安全需求
+3. 安全设计
+4. 安全实现
+5. 供应链安全（新增）
+6. 安全测试
+7. 代码审计
+8. 渗透测试
+9. 安全部署
+10. 安全运营
+11. 事件响应
+12. 安全培训
+13. 合规与审计
+
+## Integration Points
+- 需求阶段：安全需求定义
+- 设计阶段：威胁建模、安全架构评审
+- 开发阶段：安全编码规范、SAST
+- 测试阶段：SCA、DAST
+- 部署阶段：安全配置审计
+- 运营阶段：漏洞管理、事件响应
+
+## Related
+- [[Supply Chain Security]]：供应链安全作为 SDL 第五大支柱
+- [[SAST]]：静态应用安全测试
+- [[SCA]]：软件成分分析
+- [[DevSecOps]]：开发安全运营一体化

wiki/concepts/Security-Group-Policy.md

@@ -0,0 +1,40 @@
+---
+title: "Security Group Policy"
+type: concept
+tags: [AWS, Security, Firewall, Policy]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Summary
+Security Group Policy 是 Firewall Manager 中用于管理跨账户安全组规则的策略类型。
+
+## Definition
+在 Firewall Manager 环境中，Security Group Policy 定义了安全组的创建、更新和清理规则，支持三种类型：
+
+## Policy Types
+
+### 1. Common Security Group（通用安全组）
+- 附加基线安全组到资源
+- 允许产品团队添加额外规则
+- 确保所有账户拥有基础安全保护
+
+### 2. Audit and Enforcement（审计与强制）
+- 检测并拒绝过度宽松的规则
+- 支持手动修复或自动修复
+- 提供合规性仪表板视图
+
+### 3. Unused Security Group Cleanup（清理未使用）
+- 识别和删除冗余安全组
+- 简化安全管理
+- 减少攻击面
+
+## Key Features
+
+- 支持 AWS Organizations 组织单位（OU）级别应用
+- 通过 Prefix List 共享规则
+- 使用 RAM 实现跨账号资源共享
+
+## Related Concepts
+- [[Security Group]]
+- [[AWS Firewall Manager]]

wiki/concepts/Supply-Chain-Security.md

@@ -0,0 +1,29 @@
+---
+title: "Supply Chain Security"
+type: concept
+tags:
+  - Security
+  - Supply-Chain
+  - CI/CD
+---
+
+## Definition
+软件供应链安全，保护从开发到交付的全流程安全。包括源码管理（SCM）、构建组件（CI）、制品库到最终交付系统（CD）的所有环节的安全性。
+
+## Key Components
+- **开发环境安全**：开发人员工作站、IDE 安全
+- **源码管理（SCM）安全**：代码仓库访问控制、代码签名
+- **构建（CI）安全**：构建服务器安全、构建脚本验证、依赖检查
+- **制品库安全**：二进制文件完整性、签名验证
+- **交付（CD）安全**：交付渠道安全、版本验证
+
+## Best Practices
+- SBOM（Software Bill of Materials）：软件物料清单，记录所有依赖
+- 签名验证：所有构建产物必须经过数字签名
+- 安全扫描：构建过程中集成 SAST、 SCA、容器扫描
+- 最小权限：CI/CD 工具使用最小权限原则
+
+## Related
+- [[SolarWinds Hack]]：著名供应链攻击案例
+- [[CI/CD Security]]：持续集成与持续交付安全
+- [[SDL (Security Development Lifecycle)]]：软件安全开发生命周期

wiki/concepts/Three-Lines-of-Defense.md

@@ -0,0 +1,43 @@
+---
+title: "Three Lines of Defense"
+type: concept
+tags: [Security, Governance, Risk-Management, Framework]
+date: 2026-04-14
+---
+
+## Definition
+三道防线（Three Lines of Defense，3LoD）是一种企业风险管理框架，通过分层职责确保安全控制的有效性。
+
+## First Line of Defense
+业务单元：负责在其领域内实施和管理安全控制，是安全的直接责任方。
+
+## Second Line of Defense
+集团办公室：负责制定政策、事件响应和网络工具，作为第一道防线的顾问，提供指导和支持。
+
+## Third Line of Defense
+审计：确保第一道和第二道防线的合规性，为企业提供保证。
+
+## Key Drivers
+- 监管合规（Regulatory Compliance）
+- 集中化平台（Centralized Platform）
+- 云迁移（Cloud Migration）
+- 基线控制（Baseline Controls）
+- 更大的安全响应覆盖范围
+
+## Work Streams Implemented
+- 政策审查与整合
+- 事件响应参与
+- 网络安全风险与控制指标开发
+- 网络安全工具审查
+- 安全架构标准与模式
+
+## Related Entities
+- [[Coyote]] — Head of Enterprise Application Security，框架推动者
+
+## Related Concepts
+- [[Cloud-Security-Posture-Management]]
+- [[Regulatory-Compliance]]
+- [[Risk-Management]]
+
+## Related Sources
+- [[CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)]]

wiki/entities/AWS-Config.md

@@ -0,0 +1,28 @@
+---
+title: "AWS Config"
+type: entity
+tags: [AWS, Compliance, Security, Configuration-Management]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Summary
+AWS Config 是 AWS 的配置审计与合规性服务，用于记录和评估资源配置变化。
+
+## Definition
+AWS Config 提供资源库存、配置历史变更跟踪和合规性评估功能，支持安全策略的自动检测和修复。
+
+## Key Capabilities
+
+- **资源清单**：记录 AWS 账户中所有支持的资源类型
+- **配置变更跟踪**：记录资源配置的变化历史
+- **合规性规则**：评估资源配置是否符合预定义的规则
+- **修复行动**：触发 Lambda 函数自动修复不符合配置的资源
+
+## Integration with Firewall Manager
+Firewall Manager 使用 AWS Config + Lambda 触发事件并执行安全策略的自动修复。
+
+## Related Entities
+- [[AWS]]
+- [[Lambda]]
+- [[AWS Firewall Manager]]

wiki/entities/AWS-Firewall-Manager.md

@@ -0,0 +1,42 @@
+---
+title: "AWS Firewall Manager"
+type: entity
+tags: [AWS, Security, Firewall, Multi-Account, Policy-Management]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Summary
+AWS Firewall Manager 是 AWS 的集中安全管理服务，用于在组织内跨多个账户和应用程序统一配置防火墙规则和安全策略。
+
+## Definition
+AWS Firewall Manager 是 AWS Organizations 的安全策略管理服务，提供集中化方式配置和管理跨账户的 Web Application Firewall (WAF)、Network Firewall、Security Group 和 AWS Shield 规则。
+
+## Core Functions
+
+- **Security Group Policy Management**：跨账户统一配置和管理安全组规则
+- **WAF Policy Management**：集中配置 WAF 规则
+- **Network Firewall Policy**：管理网络防火墙策略
+- **Shield Protection**：AWS Shield 高级防护管理
+
+## Key Features
+
+- 支持三种安全组策略类型：
+  - 通用安全组（Common）：附加基线安全组，允许产品团队添加额外规则
+  - 审计与强制（Audit and Enforcement）：拒绝过度宽松的规则，支持手动或自动修复
+  - 清理未使用安全组（Cleanup）：删除冗余未使用的安全组
+
+- 通过 AWS Config + Lambda 触发事件并执行策略
+- 与 AWS Organizations 集成，支持组织单位（OU）级别应用
+- 通过 Prefix List + RAM 实现跨账号规则共享
+
+## Use Case in CTP
+在 Grand Torque Landing Zone 中采用 Firewall Manager 来解决多 Landing Zone（RLabs、RD、SAS、CAT）的安全策略管理挑战。
+
+## Related Entities
+- [[AWS]]
+- [[AWS Config]]
+- [[AWS RAM]]
+- [[Security Group]]
+- [[CTP]]
+- [[Checkpoint Firewall]]

wiki/entities/Ashish.md

@@ -0,0 +1,19 @@
+---
+title: "Ashish"
+type: entity
+tags: [Person, Security, Micro Focus]
+last_updated: 2026-04-19
+---
+
+## 基本信息
+- 所属组织：[[Micro Focus]]
+- 团队：Product Security Group（产品安全组）
+- 角色：安全专家
+
+## 相关工作
+- 担任 Micro Focus 容器生命周期加固标准课程讲师
+- 专注于供应链安全和容器安全领域
+
+## 相关资源
+- 主讲：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 所属组织：[[Micro Focus]]

wiki/entities/Cloud-Guard.md

@@ -0,0 +1,36 @@
+---
+title: "Cloud Guard"
+type: entity
+tags: [Security, CSPM, Product, Multi-Cloud]
+date: 2026-04-14
+---
+
+## Profile
+- Type: CSPM Product
+- Vendor: (Selected after POC of two vendors)
+- Purpose: 云安全态势管理解决方案
+
+## Core Features
+- 态势管理（Posture Management）
+- 资产管理（Asset Management）
+- 网络配置探索（Network Configuration Exploration）
+- 事件管理（Event Management）
+- 身份管理（Identity Management）
+- 威胁情报（Intelligence）
+
+## Key Capabilities
+- 评估公共云账户的合规性
+- 使用内置和自定义规则集
+- 可视化网络策略
+- 深入查看安全组
+- 通过 CloudTrail 日志摄入检测异常和潜在问题
+
+## Integration
+新账户在创建过程中自动接入 Cloud Guard，确保全面覆盖和相关规则集的应用。
+
+## Related Concepts
+- [[Cloud-Security-Posture-Management]]
+- [[Three-Lines-of-Defense]]
+
+## Related Sources
+- [[CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)]]

wiki/entities/Coyote.md

@@ -0,0 +1,25 @@
+---
+title: "Coyote"
+type: entity
+tags: [People, Security, Enterprise-Application-Security]
+date: 2026-04-14
+---
+
+## Profile
+- Role: Head of Enterprise Application Security
+- Organization: OpenText
+- Topic: CTP Topic 52 - Three Lines of Defense (3LoD) Framework and Cloud Security Posture Management (CSPM)
+
+## Aliases
+- Coyote
+
+## Key Contributions
+- 介绍并推动三道防线（3LoD）框架在组织中的实施
+- 主讲 Cloud Guard 选型和部署
+
+## Related Sources
+- [[CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)]]
+
+## Related Concepts
+- [[Three-Lines-of-Defense]]
+- [[Cloud-Security-Posture-Management]]

wiki/entities/Micro-Focus.md

@@ -16,6 +16,7 @@ Micro Focus 是一家企业软件公司，提供 SRE（站点可靠性工程）
 ## Occurrences
 - [[CTP Topic 41 NFR's and Error Budgets]] — SRE 负责人 Brendan Standing 担任演讲者
 - [[CTP Topic 53 Why bother with Cloud]] — 云转型计划进展，成本优化与创新价值分析
+- [[CTP Topic 21 Supply Chain Security in Micro Focus]] — 产品安全小组 Shlomi Ben-Hur 主讲供应链安全
 - [[Brendan Standing]] — Micro Focus SRE 负责人
 
 ## References

wiki/entities/Shlomi-Ben-Hur.md

@@ -0,0 +1,20 @@
+---
+title: "Shlomi Ben-Hur"
+type: entity
+tags:
+  - Security
+  - Product-Security
+  - Micro-Focus
+  - Speaker
+---
+
+## Definition
+Micro Focus 产品安全小组（Product Security Team）成员，主讲供应链安全相关议题。
+
+## Role
+- 产品安全专家（Product Security Expert）
+- 在 CTP Topic 21 中主讲软件供应链安全的新方法
+
+## Related
+- [[Supply Chain Security]]
+- [[Micro Focus]]

wiki/entities/SolarWinds-Hack.md

@@ -0,0 +1,21 @@
+---
+title: "SolarWinds Hack"
+type: entity
+tags:
+  - Security
+  - Supply-Chain
+  - Attack
+---
+
+## Definition
+一次著名的供应链攻击事件，黑客通过在软件构建阶段注入木马，利用合法更新渠道感染了大量下游客户。
+
+## Key Details
+- **攻击手法**：黑客渗透 SolarWinds 的构建过程（CI/CD），在 Orion 软件更新中植入 SUNBURST 后门
+- **影响范围**：数千家政企客户，包括美国政府和大型企业
+- **攻击时间**：2020 年被发现，但实际上攻击活动从 2020 年初开始
+- **教训**：供应链安全至关重要，任何环节被攻破都会影响所有下游用户
+
+## Related
+- [[Supply Chain Security]]
+- [[CI/CD Security]]

wiki/index.md

@@ -58,6 +58,8 @@
 
 - [CTP Topic 46 NetApps on AWS](sources/ctp-topic-46-netapps-on-aws.md) — NetApp on AWS (CVO) 架构、部署、数据分层、安全与迁移
 
+- [CTP Topic 49 Container Lifecycle Hardening Standards](sources/ctp-topic-49-container-lifecycle-hardening-standards.md) — Micro Focus 容器生命周期加固标准，构建阶段 11 项安全最佳实践
+
 - [CTP Topic 58 AWS EC2 Image Builder](sources/ctp-topic-58-aws-ec2-image-builder.md) — AWS EC2 Image Builder 服务，用于自动创建、管理和分发 AMIs 和 Docker 镜像
 
 - [CTP Topic 26 Standard AMI – build, publish, share processes](sources/ctp-topic-26-standard-ami-build-publish-share-processes.md) — Foundation AMI 的构建、加固与分发流程
@@ -291,6 +293,8 @@
 
 - [CTP Topic 20 Program demand process flow and PoC onboarding](sources/ctp-topic-20-program-demand-process-flow-and-poc-onboarding.md) — CTP 程序需求流程与 POC 入站流程，Gate 审批机制
 
+- [CTP Topic 21 Supply Chain Security in Micro Focus](sources/ctp-topic-21-supply-chain-security-in-micro-focus.md) — Micro Focus 软件供应链安全的新方法，将供应链安全作为 SDL 第五大支柱
+
 - [CTP Topic 66 Exposing the differences between PostgreSQL RDS and Aurora](sources/ctp-topic-66-exposing-the-differences-between-postgresql-rds-and-aurora.md) — PostgreSQL on RDS 与 Aurora 的详细对比（架构、性能、成本、故障切换）
 
 - [CTP Topic 72 Implementing an Enterprise DR Strategy using AWS Backup](sources/ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup.md) — 使用 AWS Backup 实现企业级灾难恢复策略
@@ -318,6 +322,8 @@
 
 - [CTP Topic 51 Architecting with AWS Purpose-Built Databases](sources/ctp-topic-51-architecting-with-aws-purpose-built-databases.md) — AWS 专用数据库架构，选择合适的数据库服务
 
+- [CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)](sources/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md) — 三道防线（3LoD）框架与云安全态势管理（CSPM），Cloud Guard 统一监控
+
 - [CTP Topic 47 Enterprise Architecture Cloud Standards](sources/ctp-topic-47-enterprise-architecture-cloud-standards.md) — 企业云架构标准、Landing Zone 框架与 Cloud Guardrails
 
 - [CTP Topic 45 Automatic IP address allocation with IPAM](sources/ctp-topic-45-automatic-ip-address-allocation-with-ipam.md) — 使用 Infoblox NIOS 实现 VPC IP 地址自动化分配
@@ -338,6 +344,8 @@
 
 - [CTP Topic 54 ESM SaaS Log Analytics](sources/ctp-topic-54-esm-saas-log-analytics.md) — ESM SaaS Log Analytics（日志分析）架构与实践，ELK Stack/OpenSearch，BEATS 采集，VPC 私有传输，安全加密，成本对比
 
+- [CTP Topic 55 AWS Firewall Manager](sources/ctp-topic-55-aws-firewall-manager.md) — AWS Firewall Manager 多账号安全策略集中管理，跨 Landing Zone 安全组统一配置与自动修复
+
 ## Sources
 - [CTP Topic 31 Network Segregation and Secure Access to AWS Landing Zones](sources/ctp-topic-31-network-segregation-secure-access-aws-landing-zones.md) — AWS Landing Zone 网络隔离与安全访问解决方案
 
@@ -385,10 +393,16 @@
 ## Entities
 - [IAM (AWS Identity and Access Management)](entities/IAM-AWS-Identity-and-Access-Management.md) — AWS 身份和访问管理服务，控制 AWS 资源的访问权限
 - [CCOE](entities/CCOE.md) — Cloud Center of Excellence，推动云采纳和治理的核心组织单元
+- [AWS Firewall Manager](entities/AWS-Firewall-Manager.md) — AWS 集中安全管理服务，跨账户配置防火墙规则和安全策略
 - [CrowdStrike](entities/CrowdStrike.md) — 网络安全公司，2024年7月事件推动行业对DR的重视
 - [Martin Rosler](entities/Martin-Rosler.md) — OpenText 技术专家，OpenText Tagging Standard V2 演讲者
 - [Phenops](entities/Phenops.md) — OpenText 团队，2023 年发起标签标准化工作
 - [Jackie](entities/Jackie.md) — ITOM ESM SAS architect，CTP Topic 54 演讲者
+- [SolarWinds Hack](entities/SolarWinds-Hack.md) — 著名供应链攻击事件，黑客通过构建过程注入后门
+- [Shlomi Ben-Hur](entities/Shlomi-Ben-Hur.md) — Micro Focus 产品安全专家，主讲供应链安全
+- [Ashish](entities/Ashish.md) — Micro Focus 产品安全组安全专家，主讲容器生命周期加固
+- [Coyote](entities/Coyote.md) — Head of Enterprise Application Security，三道防线框架与 CSPM 主讲人
+- [Cloud Guard](entities/Cloud-Guard.md) — CSPM 云安全态势管理解决方案
 - [OpenText](entities/OpenText.md) — 企业内容管理软件公司，主办 Public Cloud Learning Sessions
 - [OpsBridge](entities/OpsBridge.md) — OpenText 内部监控平台，接收 Grafana 告警并创建事件
 - [Optic DR](entities/Optic-DR.md) — OpenText 内部监控数据源插件，将数据拉入 Grafana 仪表板
@@ -614,6 +628,7 @@
 - [Christian-ODonough](entities/Christian-ODonough.md) — AWS 专家，AWS EUC 服务演讲者
 
 ## Concepts
+- [AWS Config](entities/AWS-Config.md) — AWS 配置审计与合规性服务，记录资源配置变化，支持自动检测和修复
 - [IAM 用户](concepts/IAM-用户.md) — IAM 持久化身份，主要用于服务账号
 - [IAM 角色](concepts/IAM-角色.md) — IAM 临时身份，将主体与权限关联
 - [IAM 策略](concepts/IAM-策略.md) — 定义 AWS 权限的 JSON 文档
@@ -630,6 +645,7 @@
 - [SMACs](concepts/SMACs.md) — 需求提交的标准化入口，用于启动计时器和确保需求追踪
 - [Cyber Suite](concepts/Cyber-Suite.md) — PSAC 发布的产品安全加密标准，包括标准/可选套件和审查要求
 - [Observability Engineering](concepts/Observability-Engineering.md) — 可观测性工程，通过指标、日志、追踪持续理解系统健康状态
+- [Security Group Policy](concepts/Security-Group-Policy.md) — Firewall Manager 安全组策略类型，包含通用安全组、审计强制、清理未使用三种
 - [Log Analytics](concepts/Log-Analytics.md) — 日志分析，日志数据的采集、存储、搜索和可视化
 - [ELK Stack](concepts/ELK-Stack.md) — Elasticsearch + Logstash + Kibana 开源日志分析技术栈
 - [OpenSearch](concepts/OpenSearch.md) — AWS 的 ELK 开源分支，托管日志分析服务
@@ -738,7 +754,16 @@
 - [What-If Simulations](concepts/What-If-Simulations.md) — AI 辅助的决策支持模拟
 - [AI-powered Runbooks](concepts/AI-powered-Runbooks.md) — AI 驱动的运维手册推荐
 - [Cloud Security](concepts/Cloud-Security.md) — 保护云环境中的数据、应用程序和基础设施免受威胁的安全措施
+- [Container Lifecycle Hardening](concepts/Container-Lifecycle-Hardening.md) — 容器全生命周期安全加固实践，构建阶段 11 项安全标准
+- [Read Only Root Filesystem](concepts/Read-Only-Root-Filesystem.md) — 只读根文件系统安全配置
+- [Container Image Scanning](concepts/Container-Image-Scanning.md) — 容器镜像漏洞扫描
+- [Init System](concepts/Init-System.md) — 容器初始化进程，处理信号和僵尸进程
+- [Kubernetes Service Account](concepts/Kubernetes-Service-Account.md) — Kubernetes Pod 身份认证机制
+- [Three Lines of Defense](concepts/Three-Lines-of-Defense.md) — 三道防线风险管理框架，业务单元、集团办公室、审计三层职责划分
+- [Cloud Security Posture Management](concepts/Cloud-Security-Posture-Management.md) — 云安全态势管理，持续监控云资源配置合规性
 - [Zero Trust Architecture](concepts/Zero-Trust-Architecture.md) — 零信任架构，"永不信任、始终验证"的安全框架
+- [Supply Chain Security](concepts/Supply-Chain-Security.md) — 软件供应链安全，保护从开发到交付的全流程
+- [SDL (Security Development Lifecycle)](concepts/SDL-Security-Development-Lifecycle.md) — 软件安全开发生命周期，Micro Focus 13 个安全轨道的系统化方法
 - [Cloud Computing](concepts/Cloud-Computing.md) — 通过互联网远程访问计算资源的云计算服务模式
 - [Public Cloud](concepts/Public-Cloud.md) — 由第三方提供商通过互联网共享交付的云计算部署模式
 - [Private Cloud](concepts/Private-Cloud.md) — 专属于单一组织的云计算部署模式

wiki/log.md

@@ -1,3 +1,37 @@
+## [2026-04-19] ingest | CTP Topic 49 Container Lifecycle Hardening Standards
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-49-container-lifecycle-hardening-standards.md
+- Status: ✅ 成功摄入
+- Summary: Micro Focus 容器生命周期加固标准，构建阶段 11 项安全最佳实践（基础镜像、init 系统、敏感信息管理、只读文件系统、镜像扫描等）
+- Concepts created: Container Lifecycle Hardening, Read Only Root Filesystem, Container Image Scanning, Init System, Kubernetes Service Account
+- Entities created: Ashish
+- Source page: wiki/sources/ctp-topic-49-container-lifecycle-hardening-standards.md
+- Notes: 与 CTP Topic 21（供应链安全）形成安全体系，后续将覆盖部署和运行阶段标准
+
+## [2026-04-19] ingest | CTP Topic 21 Supply Chain Security in Micro Focus
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-21-supply-chain-security-in-micro-focus.md
+- Status: ✅ 成功摄入
+- Summary: Micro Focus 软件供应链安全的新方法，从 99% 研发安全转向全生命周期安全防护，将供应链安全作为 SDL 第五大支柱
+- Concepts created: Supply Chain Security, SDL (Security Development Lifecycle)
+- Entities created: SolarWinds Hack, Shlomi Ben-Hur
+- Source page: wiki/sources/ctp-topic-21-supply-chain-security-in-micro-focus.md
+- Notes: 与 SolarWinds 攻击事件形成警示案例，与 DevSecOps、SDL 形成安全体系
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md
+- Status: ✅ 成功摄入
+- Summary: 三道防线（3LoD）框架与云安全态势管理（CSPM），Coyote 介绍组织安全架构与 Cloud Guard 选型
+- Concepts created: Three Lines of Defense, Cloud Security Posture Management
+- Entities created: Coyote, Cloud Guard
+- Source page: wiki/sources/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md
+- Notes: 与 CTP Topic 55（AWS Firewall Manager）和 CTP Topic 37（Secrets Management）形成企业安全治理体系
+
+## [2026-04-19] ingest | CTP Topic 37 Secrets Certificates Management
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-37-secrets-certificates-management.md
+- Status: ✅ 成功摄入
+- Summary: 云转型项目密钥与证书管理方案选型，评估 AWS Secrets Manager、HashiCorp Vault、CryptoArk PAM，30天试点验证后选择 AWS Secrets Manager
+- Concepts created: Secrets Management
+- Entities created: AWS Secrets Manager
+- Source page: wiki/sources/ctp-topic-37-secrets-certificates-management.md
+- Notes: 与 CTP Topic 62（AWS Secrets Manager 实施细节）形成互补，Topic 37 聚焦选型过程，Topic 62 聚焦实施方法
+
 ## [2026-04-19] ingest | Public Cloud Learning Sessions (OpenText) - GIS Security Policies
 - Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/public-cloud-learning-sessions-opentext-gis-security-policies-20241015-160257-me.md
 - Status: ✅ 成功摄入
@@ -16,6 +50,15 @@
 - Source page: wiki/sources/ctp-topic-64-scaling-out-with-amazon-eks.md
 - Notes: 与 CTP Topic 59 (EKS 可靠性) 互补扩展策略视角
 
+## [2026-04-19] ingest | CTP Topic 55 AWS Firewall Manager
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager.md
+- Status: ✅ 成功摄入
+- Summary: AWS Firewall Manager 多账号安全策略集中管理，跨 Landing Zone 安全组统一配置与自动修复
+- Concepts created: AWS Config, Security Group Policy
+- Entities created: AWS Firewall Manager, AWS Config
+- Source page: wiki/sources/ctp-topic-55-aws-firewall-manager.md
+- Notes: 与 LAPS Landing Zone 早期使用的 Checkpoint Firewall 形成对比，Firewall Manager 提供更细粒度的安全组控制
+
 ## [2026-04-19] ingest | CTP Topic 67 Cloud Native Observability Using OpenTelemetry
 - Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-67-cloud-native-observability-using-opentelemetry.md
 - Status: ✅ 成功摄入

wiki/overview.md

@@ -216,6 +216,8 @@ AI 开源项目、Cloud & DevOps、Vibe Coding、AI时代个人发展、跨境
 - **DevOps Maturity Model From Traditional IT to Advanced DevOps** — DevOps 成熟度五级框架详解（初始/应急→局部DevOps→自动化与定义→高度优化→完全成熟），涵盖文化与战略、自动化、结构与流程、协作与共享、技术五大评估领域，以及安全集成方法和常见障碍分析
 
 - **What is DevSecOps? Best Practices, Benefits, and Tools** — DevSecOps 方法论详解（SDLC 安全集成、SAST/SCA/IAST/DAST 四大工具、Shift Left/Right 策略、企业实施挑战）
+- **CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)** — 三道防线框架与云安全态势管理，CSPM 统一监控多云账户安全配置，Cloud Guard 解决方案
+
 - **Public Cloud Learning Sessions (OpenText) - GitHub Enterprise to GitLab migration** — OpenText 将代码仓库从 GitHub Enterprise 迁移到 GitLab，self-serve 模式
 
 - **Public Cloud Learning Sessions (OpenText) - GIS Security Policies** — OpenText 全球信息安全团队（GIS）的安全策略框架与组织结构，基于 ISO 27001 的分层安全方法
@@ -228,6 +230,8 @@ AI 开源项目、Cloud & DevOps、Vibe Coding、AI时代个人发展、跨境
 
 - **CTP Topic 46 NetApps on AWS** — NetApp Cloud Volume ONTAP (CVO) 架构、部署、数据分层（EBS→S3）、安全加密与灾备（SnapMirror）
 
+- **CTP Topic 49 Container Lifecycle Hardening Standards** — Micro Focus 容器生命周期加固标准，构建阶段 11 项安全最佳实践（基础镜像、init 系统、敏感信息管理、只读文件系统、镜像扫描等）
+
 - **CTP Topic 37 Secrets Certificates Management** — 云转型项目密钥与证书管理方案选型，评估 AWS Secrets Manager、HashiCorp Vault、CryptoArk PAM，30天试点后选择 AWS Secrets Manager
 
 - **CTP Topic 34 Azure Landing Zone Architecture Overview** — Azure Landing Zone 架构设计，Management Groups 四区域划分、Subscription 分离、Terraform Cloud 自动化
@@ -255,7 +259,11 @@ AI 开源项目、Cloud & DevOps、Vibe Coding、AI时代个人发展、跨境
 
 - OpenTelemetry（OTel）：厂商中立的遥测数据采集框架，提供统一数据格式和 11 种语言 SDK，解决不同组件各自为政的 SDK 问题
 - **CTP Topic 54 ESM SaaS Log Analytics** — ESM SaaS Log Analytics（日志分析）架构与实践，ELK Stack/OpenSearch 架构，BEATS 采集日志，VPC 私有传输，安全加密（TLS 1.2、静态加密），成本对比（Logz.io $4,000 vs AWS OpenSearch $1,500），GDPR 合规驱动区域部署
+
+- **CTP Topic 55 AWS Firewall Manager** — AWS Firewall Manager 多账号安全策略集中管理，跨 Landing Zone 安全组统一配置，支持三种策略类型（通用安全组、审计强制、清理未使用），通过 AWS Config + Lambda 实现自动修复
+
 - **CTP Topic 57 Product backlog managing demand** — Product Backlog 管理需求流程，SMACs 提交、Octane 入池、前置条件阶段
+- **CTP Topic 21 Supply Chain Security in Micro Focus** — Micro Focus 软件供应链安全的新方法，将供应链安全作为 SDL 第五大支柱
 - **CTP Topic 8 Implementation of Cloud monitoring using Micro Focus Operations Bridge** — 使用 Micro Focus Operations Bridge Manager (OBM) 实现 AWS 云监控的实施方案（IAM Role 跨账户访问、Management Packs 动态监控）
 - **如何在Ubuntu Server上通过NFS挂载Synology NAS上的共享文件夹** — 在 Ubuntu Server 上通过 NFS 协议挂载 Synology NAS 共享文件夹
 - **Ubuntu 禁用合盖休眠** — 在 Ubuntu 24.04 中通过修改 systemd-logind 配置禁用笔记本合盖休眠行为

wiki/sources/ctp-topic-21-supply-chain-security-in-micro-focus.md

@@ -0,0 +1,48 @@
+---
+title: "CTP Topic 21 Supply Chain Security in Micro Focus"
+type: source
+tags:
+  - Security
+  - Supply-Chain
+  - CTP
+  - Cloud-Learning
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-21-supply-chain-security-in-micro-focus.md]]
+
+## Summary
+- 核心主题：Micro Focus 软件供应链安全的新方法
+- 问题域：云转型背景下的供应链安全挑战
+- 方法/机制：从 99% 研发安全转向全生命周期安全防护，将供应链安全作为 SDL 第五大支柱
+- 结论/价值：必须同时确保 CI（构建环境、自动化服务器）和 CD（交付系统）的完整性
+
+## Key Claims
+- Micro Focus 内部存在 17 种不同的源码管理工具（SCM），为统一安全基准带来挑战
+-SolarWinds 攻击事件是供应链安全的重要警示，黑客通过渗透构建过程注入恶意代码
+- 供应链安全应作为软件开发生命周期（SDL）的第五大支柱
+
+## Key Quotes
+> "供应链不仅包含纯粹的代码开发，还涵盖了从源码管理（SCM）、构建组件（CI）、制品库到最终交付系统（CD）的所有环节"
+
+## Key Concepts
+- [[Supply Chain Security]]：软件供应链安全，保护从开发到交付的全流程
+- [[SDL (Security Development Lifecycle)]]：软件安全开发生命周期
+- [[CI/CD Security]]：持续集成与持续交付的安全
+- [[SolarWinds Hack]]：著名的供应链攻击事件
+
+## Key Entities
+- [[Micro Focus]]：企业软件公司，正在进行云转型
+- [[Shlomi Ben-Hur]]：Micro Focus 产品安全小组，主讲人
+
+## Connections
+- [[CTP Overview]] ← context_of ← [[Supply Chain Security]]
+- [[Security Development Lifecycle]] ← includes ← [[Supply Chain Security]]
+
+## Contradictions
+- 无
+
+## Notes
+- 视频来源：NAS `/volume2/work/Public Cloud Learning Sessions/CTP _ Topic 21_ Supply Chain Security in Micro Focus.mp4`
+- 状态：已完成 Gemini 摘要

wiki/sources/ctp-topic-49-container-lifecycle-hardening-standards.md

@@ -0,0 +1,48 @@
+---
+title: "CTP Topic 49 Container Lifecycle Hardening Standards"
+type: source
+tags: [Container, Security, Hardening, CTP, Micro Focus]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-49-container-lifecycle-hardening-standards.md]]
+
+## Summary
+- 核心主题：Micro Focus 容器生命周期加固标准，聚焦构建阶段的安全最佳实践
+- 问题域：容器镜像安全、运行时安全配置、供应链安全
+- 方法/机制：11 项容器镜像构建标准，涵盖基础镜像选择、敏感信息管理、文件系统加固、镜像扫描等
+- 结论/价值：为容器化应用提供系统化的安全加固指导，降低容器被攻破的风险
+
+## Key Claims
+- 使用 Micro Focus 基础镜像可避免开源默认镜像的已知漏洞
+- 采用 init 系统（如 teeny）可处理信号并防止僵尸进程耗尽资源
+- 敏感信息不应嵌入容器镜像，应使用 Kubernetes Secrets 在运行时获取
+- 只读文件系统（readOnlyRootFilesystem=true）可防止未授权文件创建
+- 每个容器应只运行一个应用程序，防止进程间相互干扰
+- 禁用容器内 Kubernetes API 访问（automountServiceAccountToken=false）可限制潜在 compromise 的影响范围
+- 应使用私有服务账户而非默认服务账户，控制权限并最小化权限提升
+
+## Key Quotes
+> "Use micro focus base image which are configured to be secure with non and trust weighted components." — Ashish, Product Security Group
+> "If one application is compromised process in one application can interfere with the process of other application in the same container." — 标准说明
+
+## Key Concepts
+- [[Container-Lifecycle-Hardening]]：容器全生命周期（构建、部署、运行）的安全加固实践
+- [[Container-Image-Scanning]]：使用扫描工具识别容器镜像中的漏洞
+- [[Read-Only-Root-Filesystem]]：将容器根文件系统设为只读的安全配置
+- [[Init-System]]：容器内的初始化进程，用于处理信号和回收僵尸进程
+- [[Kubernetes-Service-Account]]：Kubernetes 中用于 Pod 身份认证的机制
+
+## Key Entities
+- [[Micro Focus]]：企业软件公司，产品安全组制定本标准
+- [[Kubernetes]]：容器编排平台，本标准主要针对 K8s 环境
+- [[Ashish]]：Product Security Group 安全专家，本课程讲师
+
+## Connections
+- [[Container-Lifecycle-Hardening]] ← applies_to ← [[Micro Focus]]
+- [[Container-Image-Scanning]] ← depends_on ← [[Kubernetes]]
+- [[CTP Topic 21 Supply Chain Security in Micro Focus]] ← relates_to ← 本标准（供应链安全）
+
+## Contradictions
+- 本标准专注于构建阶段，部署和运行阶段的标准将在后续会议中覆盖

wiki/sources/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md

@@ -0,0 +1,42 @@
+---
+title: "CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)"
+type: source
+tags: [Security, CSPM, 3LoD, CTP, Cloud-Security]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md]]
+
+## Summary
+- 核心主题：三道防线（3LoD）框架与云安全态势管理（CSPM）
+- 问题域：企业云安全组织架构与统一安全态势管理
+- 方法/机制：3LoD 框架明确角色职责，CSPM 统一监控多云账户安全配置
+- 结论/价值：通过 Cloud Guard 实现跨云账户的安全配置集中监控与合规评估
+
+## Key Claims
+- 三道防线模型经 ELT 审批通过，成为组织标准安全框架
+- CSPM 解决多云环境安全割裂问题，提供单一视图
+- Cloud Guard 在账户创建时自动接入，确保全面覆盖
+
+## Key Quotes
+> "The three lines of defense model was approved by ELT mid-year and serves as the organization's go-to model." — Coyote, Head of Enterprise Application Security
+
+> "CSPM should consolidate misconfigurations from multiple cloud accounts into a single platform, provide compliance framework views (CIS, NIST, ISO), and allow custom policies." — 核心需求
+
+## Key Concepts
+- [[Three-Lines-of-Defense]]：三道防线框架，第一道为业务单元，第二道为集团办公室，第三道为审计
+- [[Cloud-Security-Posture-Management]]：云安全态势管理，持续监控云资源配置合规性
+- [[Cloud-Guard]]：选中 CSPM 解决方案，提供态势管理、资产管理、网络配置探索、事件管理、身份管理
+
+## Key Entities
+- [[Coyote]]：Head of Enterprise Application Security，三道防线框架与 CSPM 方案主讲人
+
+## Connections
+- [[Three-Lines-of-Defense]] ← depends_on ← [[Regulatory-Compliance]]
+- [[Cloud-Security-Posture-Management]] ← implements ← [[Cloud-Guard]]
+- [[Cloud-Guard]] ← monitors ← [[Multi-Account-Cloud-Environment]]
+- [[CTP-Topic-52]] ← part_of ← [[Public-Cloud-Learning-Sessions]]
+
+## Contradictions
+- 无冲突记录

wiki/sources/ctp-topic-55-aws-firewall-manager.md

@@ -0,0 +1,69 @@
+---
+id: ctp-topic-55-aws-firewall-manager
+title: "CTP Topic 55 AWS Firewall Manager"
+type: source
+tags:
+  - AWS
+  - Firewall-Manager
+  - Security
+  - CTP
+  - Multi-Account
+  - Security-Group
+sources:
+  - raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager.md
+last_updated: 2026-04-19
+---
+
+## Source File
+
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager.md]]
+
+## Summary
+
+- **核心主题**：AWS Firewall Manager 多账号安全策略集中管理
+- **问题域**：多 Landing Zone 环境下的跨账号防火墙策略统一配置与自动修复
+- **方法/机制**：Firewall Manager + AWS Config + Lambda 事件驱动策略执行
+- **结论/价值**：实现安全策略的中央化管理，减少安全策略推广时间，统一基线安全组
+
+## Key Claims
+
+- Firewall Manager 可跨多个 Landing Zone（RLabs、RD、SAS、CAT）集中管理安全策略
+- Firewall Manager 支持三种安全组策略类型：通用安全组、审计与强制、清理未使用安全组
+- 通过 Prefix List + RAM 实现跨账号安全组规则共享和更新
+- 使用 AWS Config + Lambda 触发事件并执行策略自动修复
+
+## Key Quotes
+
+> "The primary reasons for adopting Firewall Manager in Grand Torque Landing Zone are to address the challenges of managing security policies across multiple landing zones with varying security requirements."
+
+> "SAS Landing Zone serves external customers via public subnets, necessitated additional security rules to protect against traffic not scanned by Checkpoint."
+
+> "Prefix list facilitates sharing security group rules across accounts using RAM."
+
+## Key Concepts
+
+- [[AWS Firewall Manager]]：跨账号集中配置防火墙规则和安全策略的管理服务
+- [[AWS Config]]：AWS 配置审计与合规性服务，用于触发策略事件
+- [[Prefix List]]：预定义 CIDR 块集合，用于跨账号共享规则
+- [[RAM（Resource Access Manager）]]：AWS 资源访问管理工具，支持跨账号资源分享
+- [[Security Group]]：AWS VPC 安全组，控制入站和出站流量
+
+## Key Entities
+
+- [[Grand Torque Landing Zone]]：组织采用的多账号 Landing Zone 架构（RLabs、RD、SAS、CAT）
+- [[LAPS Landing Zone]]：早期使用 Checkpoint Firewall 的 Landing Zone
+- [[SAS Landing Zone]]：面向外部客户提供服务的 Landing Zone，需要额外安全规则
+- [[Digital Factory Landing Zone]]：部署 Atlantis 服务器用于发布 Firewall Manager 变更
+- [[QALIS]]：共享服务，扫描产品账户中的实例
+
+## Connections
+
+- [[AWS Firewall Manager]] ← managed_by ← [[AWS Config]]
+- [[AWS Firewall Manager]] ← uses ← [[RAM]]
+- [[Security Group]] ← shared_via ← [[Prefix List]]
+- [[SAS Landing Zone]] ← protected_by ← [[AWS Firewall Manager]]
+- [[LAPS Landing Zone]] ← previously_used ← [[Checkpoint Firewall]]
+
+## Contradictions
+
+- 与 [[Checkpoint Firewall]] 在 LAPS Landing Zone 中的广泛开放规则冲突：Firewall Manager 提供更细粒度的安全组控制