Auto-sync: 2026-04-19 00:02

2026-04-19 00:02:42 +08:00
parent 2ed46e251d
commit 861ba9d1f6
56 changed files with 2131 additions and 1 deletions
--- a/wiki/concepts/AMI-End-of-Life.md
+++ b/wiki/concepts/AMI-End-of-Life.md
@@ -0,0 +1,18 @@
+---
+title: "AMI End-of-Life"
+type: concept
+tags: [AWS, Cloud, Infrastructure, Lifecycle]
+---
+
+## Definition
+AMI End-of-Life 是指操作系统版本到达生命周期终点，AWS 不再提供更新和支持。
+
+## Timeline
+- CentOS 7 → Rocky Linux (2024年6月)
+- Red Hat 7 → Rocky Linux (2024年6月)
+- OpenSUSE Leap 15 → (2024年12月)
+- OEL 7 → (2024年12月)
+
+## Migration Path
+- CentOS 7 迁移到 Rocky Linux
+- 保持现有应用兼容性的同时完成操作系统升级
--- a/wiki/concepts/AMI-Roadmap.md
+++ b/wiki/concepts/AMI-Roadmap.md
@@ -0,0 +1,43 @@
+---
+title: "AMI Roadmap"
+type: concept
+tags:
+  - AWS
+  - AMI
+  - Roadmap
+---
+
+## Definition
+AMI 路线图（AMI Roadmap）是 CCOE 规划的操作系统支持计划，涵盖当前支持的 AMI 版本和新操作系统的添加时间表。
+
+## Current Supported AMIs
+- Ubuntu（3个版本）
+- CentOS 7 和 8
+- Rocky 8.4 ARM
+- Amazon Linux 2
+- Windows（4个版本）
+
+## Roadmap Timeline
+| 时间 | 新增 AMI |
+|------|----------|
+| 2022年11月 | SLES 15, RHEL 9 |
+| 2023年1月 | OpenSUSE 15, Amazon Linux 2022 |
+| 2023年3月 | Rocky 8, Rocky 9 |
+| 2023年5月 | RHEL 9.4 ARM, Ubuntu 22.04 ARM |
+
+## EOL (End of Life) Schedule
+- Windows Server 2008/2008 R2：2020年1月
+- CentOS 8：2021年12月
+- Windows Server 2012：2023年10月
+- RHEL 7 + CentOS 7：2024年6月
+
+## Priority Management
+路线图优先级由 ADM 需求决定，如需调整需通过需求管道（Demand Pipeline）流程。
+
+## Related
+- [[Standard AMI]]
+- [[AMI-End-of-Life]]
+- [[CCOE]]
+
+## Last Updated
+2026-04-18
--- a/wiki/concepts/AMI-Sharing.md
+++ b/wiki/concepts/AMI-Sharing.md
@@ -0,0 +1,29 @@
+---
+title: "AMI Sharing"
+type: concept
+tags: [AWS, AMI, Cloud]
+---
+
+## Definition
+AMI Sharing（镜像共享机制）是 AWS 允许账户持有者通过授权方式与其他 AWS 账户共享 AMIs 的功能，避免了跨账号复制带来的额外存储成本和复制时间。
+
+## Mechanism
+- 通过 AWS Resource Access Manager (RAM) 或控制台共享
+- 接收账户在自身账户中使用共享的 AMI 启动实例
+- 无需物理复制镜像到目标账户
+
+## Benefits
+- 避免存储重复镜像
+- 快速分发到多个账号和区域
+- 降低存储成本
+- 简化镜像管理
+
+## Use Cases
+- 中央镜像库分发标准 AMI
+- 跨账号环境标准化
+- ISV 镜像产品分发
+
+## Related Concepts
+- [[Foundation AMI]] — 通过 AMI Sharing 分发的镜像类型
+- [[Standard AMI]] — 企业标准镜像
+- [[AWS Organizations]] — 跨账号管理
--- a/wiki/concepts/CIS-Benchmarks.md
+++ b/wiki/concepts/CIS-Benchmarks.md
@@ -0,0 +1,24 @@
+---
+title: "CIS Benchmarks"
+type: concept
+tags: [Security, Compliance, AWS]
+---
+
+## Definition
+CIS Benchmarks（互联网安全中心基准）是由 CIS（Center for Internet Security）制定的安全配置基准，用于衡量系统是否符合行业最佳安全实践。
+
+## Purpose
+- 提供标准化的安全配置指南
+- 评估系统安全状态
+- 符合合规性要求
+- 减少系统攻击面
+
+## Application
+- 操作系统（Linux, Windows）
+- 云平台（AWS, Azure, GCP）
+- 应用软件
+
+## Related Concepts
+- [[Foundation AMI]] — 应用 CIS Benchmarks 的镜像类型
+- [[OS Hardening]] — 实施基准的技术手段
+- [[Standard AMI]] — 企业标准化镜像
--- a/wiki/concepts/Checkpoint-Firewall.md
+++ b/wiki/concepts/Checkpoint-Firewall.md
@@ -0,0 +1,28 @@
+---
+id: Checkpoint-Firewall
+title: "Checkpoint Firewall"
+type: concept
+tags:
+  - AWS
+  - Cloud-Security
+  - Firewall
+  - Tagging
+date_added: 2026-04-18
+---
+
+## Definition
+部署在云环境中的虚拟防火墙，通过集成 AWS 标签实现动态的对象识别和流量过滤。
+
+## Key Features
+- 基于标签而非 IP 的动态安全控制
+- 支持地理屏蔽、BU 隔离、产品隔离及环境隔离
+- 与 Transit Gateway 集成，作为跨 VPC、访问本地或互联网的流量检查节点
+
+## Use Case
+- 在 AWS Landing Zone 中实现精细化的流量过滤
+- 通过有序层逻辑按优先级执行安全策略
+
+## Related Concepts
+- [[Transit Gateway]]
+- [[Tagging Methodology]]
+- [[Ordered Layer]]
--- a/wiki/concepts/CloudFront.md
+++ b/wiki/concepts/CloudFront.md
@@ -0,0 +1,21 @@
+---
+title: "CloudFront"
+type: concept
+tags:
+  - CDN
+  - AWS
+  - Content-Delivery
+date-added: 2026-04-18
+---
+
+## Description
+Amazon CloudFront 是 AWS 的内容分发网络（CDN）服务，用于在全球边缘位置缓存和分发静态内容（如图像、视频、应用程序等），降低延迟并提高用户体验。
+
+## Role in SaaS Landing Zone
+- 在 Product Accounts 中可用作 CDN
+- 加速静态内容分发
+- 与 WAF 集成提供安全防护
+
+## Related
+- [[AWS]]：云服务提供商
+- [[ctp-topic-7-saas-landing-zone-design]]：SaaS Landing Zone 设计
--- a/wiki/concepts/DNS-Anycast.md
+++ b/wiki/concepts/DNS-Anycast.md
@@ -0,0 +1,38 @@
+---
+title: "DNS Anycast"
+type: concept
+tags:
+  - DNS
+  - Networking
+  - High Availability
+---
+
+## Definition
+DNS Anycast 是一种网络寻址和路由方法，使多个 DNS 服务器共享同一个 IP 地址，将请求路由至地理位置最近的节点，提供极高的冗余性和低延迟。
+
+## Characteristics
+- **低延迟**：请求自动路由到最近的节点
+- **高可用性**：单个节点故障不影响服务，流量自动切换到其他节点
+- **全球分布**：支持全球范围内部署
+
+## Comparison: Infoblox vs AWS
+
+| 特性 | Infoblox (On-prem) | AWS EC2 |
+|------|-------------------|---------|
+| Anycast 支持 | ✅ 原生支持 | ❌ 不支持 |
+| 故障转移 | 自动 | 手动维护 IP 列表 |
+| 延迟优化 | 自动就近解析 | 需手动配置 |
+
+## Security Features
+- 防 DNS 隧道攻击
+- 防数据外泄
+- 防缓存污染
+
+## Use Cases
+- 企业内网 DNS 高可用
+- DNS 负载均衡
+- 全球化服务的就近解析
+
+## Connections
+- [[Infoblox]] ← uses ← [[DNS-Anycast]]
+- [[DNS-Anycast]] ← optimizes ← [[Hybrid-DNS-Resolution]]
--- a/wiki/concepts/EC2-Image-Builder.md
+++ b/wiki/concepts/EC2-Image-Builder.md
@@ -0,0 +1,18 @@
+---
+title: "EC2 Image Builder"
+type: concept
+tags: [AWS, Cloud, Infrastructure]
+---
+
+## Definition
+EC2 Image Builder 是 AWS 的镜像构建服务，用于创建和维护自定义 Amazon Machine Images (AMIs)。
+
+## Features
+- 自动化镜像构建管道
+- 跨区域复制和共享
+- 内置验证和测试
+
+## Use Cases
+- Standard AMI 构建
+- 企业镜像标准化
+- 安全合规镜像管理
--- a/wiki/concepts/Foundation-AMI.md
+++ b/wiki/concepts/Foundation-AMI.md
@@ -0,0 +1,26 @@
+---
+title: "Foundation AMI"
+type: concept
+tags: [AWS, AMI, Security]
+---
+
+## Definition
+Foundation AMI（基础亚马逊机器镜像）是基于市场主流操作系统（CentOS, Ubuntu, Windows 等）进行深度加固的镜像，集成了 CIS 安全基准、防病毒软件、日志管理及单点登录功能。
+
+## Components
+- OS 加固（OS Hardening）
+- CIS Benchmarks 安全配置
+- 防病毒软件（McAfee EPO）
+- 日志管理（Syslog-ng）
+- 单点登录（AD 集成）
+- SSM Agent 预装
+- SiteScope 监控预选件
+
+## Usage
+"即插即用"型镜像，确保所有实例从启动之日起符合组织的安全合规标准。
+
+## Related Concepts
+- [[Standard AMI]] — 更广泛的标准化镜像概念
+- [[OS Hardening]] — 操作系统加固技术
+- [[CIS Benchmarks]] — 安全配置基准
+- [[SSM Agent]] — AWS 系统管理器代理
--- a/wiki/concepts/Hybrid-DNS-Resolution.md
+++ b/wiki/concepts/Hybrid-DNS-Resolution.md
@@ -0,0 +1,37 @@
+---
+title: "Hybrid DNS Resolution"
+type: concept
+tags:
+  - DNS
+  - Networking
+  - Hybrid Cloud
+---
+
+## Definition
+混合云 DNS 解析（Hybrid DNS Resolution）指通过配置转发规则，使云端资源能解析本地域名，同时本地资源也能解析云端域名的机制。
+
+## Architecture Components
+
+### AWS Side
+- [[Route-53-Private-Hosted-Zone]]
+- [[Route-53-Resolver-Endpoint]]（入站/出站）
+- IAM 角色和策略控制
+
+### On-Premise Side
+- Active Directory 托管 DNS
+- DNS 转发器
+
+## Key Capabilities
+- **跨区域弹性**：在出站规则中配置多个区域的 AD 域控制器 IP，确保故障转移
+- **就近解析**：优化 Office 365 等全球化服务的访问性能
+- **安全防护**：防 DNS 隧道攻击、数据外泄、缓存污染
+
+## Workflow
+1. VPC 内的资源发起 DNS 查询
+2. Route 53 Resolver 检查是否有匹配的转发规则
+3. 如果有，通过 Outbound Endpoint 转发到本地 AD 域控制器
+4. 本地 DNS 返回解析结果
+
+## Connections
+- [[Route-53-Resolver-Endpoint]] ← implements ← [[Hybrid-DNS-Resolution]]
+- [[Active-Directory]] ← provides ← 域控制器 ← [[Hybrid-DNS-Resolution]]
--- a/wiki/concepts/IPAM.md
+++ b/wiki/concepts/IPAM.md
@@ -0,0 +1,31 @@
+---
+title: "IPAM"
+type: concept
+tags:
+  - Networking
+  - IP Address
+---
+
+## Definition
+IPAM（IP Address Management，IP 地址管理）是一种用于规划、追踪和管理网络中的 IP 地址空间及 DNS/DHCP 服务的工具或平台。
+
+## Key Functions
+- IP 地址分配和追踪
+- DNS 记录管理
+- DHCP 服务配置
+- 地址空间规划
+- 合规性审计
+
+## Common Tools
+- **Infoblox**：企业级 IPAM 解决方案，提供 NIOS 操作系统和 Infoblox Grid 架构
+- **phpIPAM**：开源 IPAM 工具
+- **GestióIP**：另一款开源 IPAM 工具
+
+## Use Cases
+- 企业内网 IP 管理
+- DNS/DHCP 服务统一管理
+- 云环境与本地环境的 IP 地址协调
+
+## Connections
+- [[Infoblox]] ← provides ← IPAM
+- [[Landing-Zone]] ← uses ← IPAM
--- a/wiki/concepts/MPP.md
+++ b/wiki/concepts/MPP.md
@@ -0,0 +1,29 @@
+---
+title: "MPP"
+type: concept
+tags: [AWS, Redshift, 并行处理]
+sources: [ctp-topic-68-introduction-to-redshift]
+last_updated: 2026-04-18
+---
+
+## Summary
+
+MPP（Massively Parallel Processing，大规模并行处理）是一种使查询能够跨多个计算节点并行执行的技术。
+
+## Definition
+
+- **全称**：Massively Parallel Processing
+- **作用**：提升查询速度和响应时间
+- **应用**：Redshift 等数据仓库系统
+
+## Key Benefits
+
+- 跨节点并行处理查询
+- 提升查询性能
+- 缩短响应时间
+- 支持 PB 级数据处理
+
+## Connections
+
+- [[AWS-Redshift]] → 使用 → [[MPP]]
+- [[Compute-Node]] → 执行 → [[MPP]]
--- a/wiki/concepts/Management-Groups.md
+++ b/wiki/concepts/Management-Groups.md
@@ -0,0 +1,30 @@
+---
+title: Management Groups
+type: concept
+tags: [Azure, Organization, Management]
+date: 2026-04-14
+---
+
+## Definition
+Azure Management Groups 是用于组织和管理多个订阅的分层容器，类似于 Windows 父目录结构，允许跨订阅的统一策略应用和访问控制。
+
+## Key Characteristics
+- 支持嵌套层级结构，最多 6 层深度
+- 可将策略和访问权限继承到下层订阅
+- 支持治理需求的企业级组织结构
+- 每个 Management Group 可包含多个订阅
+
+## Use Cases
+- 按业务部门组织订阅
+- 按环境（生产、开发、测试）分离
+- 按产品线或项目分组
+- 统一应用安全合规策略
+
+## Related Concepts
+- [[Subscription]]：Azure 订阅，资源隔离的容器
+- [[Azure Landing Zone]]：使用 Management Groups 实现组织结构
+- [[Service Control Policies]]：类似 AWS 的组织策略
+
+## Connections
+- [[Management Groups]] ← organizes ← [[Subscription]]
+- [[Azure Landing Zone]] ← uses ← [[Management Groups]]
--- a/wiki/concepts/OLAP.md
+++ b/wiki/concepts/OLAP.md
@@ -0,0 +1,28 @@
+---
+title: "OLAP"
+type: concept
+tags: [数据库, 数据分析]
+sources: [ctp-topic-68-introduction-to-redshift]
+last_updated: 2026-04-18
+---
+
+## Summary
+
+OLAP（Online Analytical Processing，在线分析处理）是一种用于支持复杂分析查询和决策支持的数据库技术。
+
+## Definition
+
+- **全称**：Online Analytical Processing
+- **用途**：数据挖掘、报表分析、复杂查询
+- **对比**：OLTP（在线事务处理）
+
+## Key Features
+
+- 支持多维分析
+- 适合聚合和汇总查询
+- 处理大量历史数据
+- 支持复杂 SQL 查询
+
+## Connections
+
+- [[AWS-Redshift]] → 支持 → [[OLAP]]
--- a/wiki/concepts/OS-Hardening.md
+++ b/wiki/concepts/OS-Hardening.md
@@ -0,0 +1,21 @@
+---
+title: "OS Hardening"
+type: concept
+tags: [Security, Linux, AWS]
+---
+
+## Definition
+OS Hardening（操作系统加固）是通过关闭不必要服务、优化内核参数和应用安全补丁来减少系统攻击面的技术过程。
+
+## Techniques
+- 关闭不必要的端口和服务
+- 优化内核参数
+- 应用安全补丁
+- 配置防火墙规则
+- 禁用弱协议和算法
+- 实施最小权限原则
+
+## Related Concepts
+- [[Foundation AMI]] — 应用 OS Hardening 的目标镜像
+- [[CIS Benchmarks]] — 安全配置基准
+- [[Standard AMI]] — 企业标准化镜像
--- a/wiki/concepts/Ordered-Layer.md
+++ b/wiki/concepts/Ordered-Layer.md
@@ -0,0 +1,33 @@
+---
+id: Ordered-Layer
+title: "Ordered Layer"
+type: concept
+tags:
+  - AWS
+  - Firewall
+  - Security-Policy
+date_added: 2026-04-18
+---
+
+## Definition
+防火墙策略的一种组织方式，按顺序执行多个过滤规则，优先级从高到低。
+
+## Layer Priority
+1. **地理屏蔽** — 阻止特定地区的流量
+2. **BU 隔离** — 按业务单元隔离流量
+3. **产品隔离** — 按产品线隔离流量
+4. **环境隔离** — 开发环境与生产环境隔离
+
+## Key Features
+- 逐层过滤，确保流量满足所有前置条件
+- 支持 PSDC 等共享服务的合法访问
+- 与 AWS 标签集成，实现动态策略执行
+
+## Use Case
+- 在 Checkpoint 防火墙中实现多层次的流量控制
+- 确保跨 VPC、访问本地或互联网的流量受到精细化策略约束
+
+## Related Concepts
+- [[Checkpoint Firewall]]
+- [[Tagging Methodology]]
+- [[Transit Gateway]]
--- a/wiki/concepts/PIM-Privileged-Identity-Management.md
+++ b/wiki/concepts/PIM-Privileged-Identity-Management.md
@@ -0,0 +1,31 @@
+---
+title: PIM（Privileged Identity Management）
+type: concept
+tags: [Azure, Security, Access-Control]
+date: 2026-04-14
+---
+
+## Definition
+PIM（Privileged Identity Management，特权身份管理）是 Azure AD 的一项安全功能，用于管理和监控 Azure 环境中拥有提升权限的用户访问。PIM 通过实时审批流程和角色激活机制，减少长期特权账号带来的安全风险。
+
+## Key Characteristics
+- 特权角色的临时激活
+- 多因素认证强制要求
+- 审批工作流支持
+- 详细审计日志记录
+- 访问权限到期自动撤销
+
+## Use Cases
+- 按需激活管理员权限
+- 实施最小权限原则
+- 合规审计和报告
+- 紧急访问场景管理
+
+## Related Concepts
+- [[Azure Active Directory]]：Azure 身份识别服务
+- [[Zero Trust Architecture]]：零信任架构
+- [[Azure Landing Zone]]：使用 PIM 实施访问管理
+
+## Connections
+- [[PIM（Privileged Identity Management）]] ← manages ← [[Azure Active Directory]]
+- [[Azure Landing Zone]] ← uses ← [[PIM（Privileged Identity Management）]]
--- a/wiki/concepts/Route-53-Private-Hosted-Zone.md
+++ b/wiki/concepts/Route-53-Private-Hosted-Zone.md
@@ -0,0 +1,25 @@
+---
+title: "Route 53 Private Hosted Zone"
+type: concept
+tags:
+  - AWS
+  - DNS
+  - Networking
+---
+
+## Definition
+Route 53 Private Hosted Zone 是 AWS 提供的私有托管区域，仅对指定的 VPC 可见，用于管理内部网络域名。
+
+## Characteristics
+- **私有性**：仅在指定的 VPC 内解析，不暴露到公网
+- **VPC 关联**：一个 Private Hosted Zone 可以关联到多个 VPC
+- **解析机制**：在关联的 VPC 内自动解析记录的域名
+
+## Use Cases
+- 管理内部服务域名（如 `internal.example.com`）
+- 配合 Private Resolver 实现混合云 DNS 解析
+- Landing Zone 基础架构的核心组件
+
+## Connections
+- [[Route-53]] ← manages ← [[Route-53-Private-Hosted-Zone]]
+- [[Route-53-Resolver-Endpoint]] ← integrates_with ← [[Route-53-Private-Hosted-Zone]]
--- a/wiki/concepts/Route-53-Resolver-Endpoint.md
+++ b/wiki/concepts/Route-53-Resolver-Endpoint.md
@@ -0,0 +1,34 @@
+---
+title: "Route 53 Resolver Endpoint"
+type: concept
+tags:
+  - AWS
+  - DNS
+  - Networking
+---
+
+## Definition
+Route 53 Resolver Endpoint 包括入站（Inbound）和出站（Outbound）终端节点，用于在 AWS VPC 与本地网络或其他云环境之间转发 DNS 查询。
+
+## Types
+
+### Inbound Endpoint
+- 允许本地网络向 Route 53 Resolver 发送 DNS 查询
+- 用于本地环境解析 AWS 内部域名
+
+### Outbound Endpoint
+- 允许 VPC 内的资源向本地 DNS 服务器发送查询
+- 通过出站规则配置转发条件，将特定域名的查询转发到指定的 DNS 服务器（如 AD 域控制器）
+
+## Use Cases
+- 混合云 DNS 解析
+- 跨区域 DNS 故障转移
+- 就近解析全球化服务（如 Office 365）
+
+## Configuration Example
+- 在出站规则中配置多个区域的 AD 域控制器 IP
+- 确保即使某个区域发生故障，DNS 解析仍保持弹性
+
+## Connections
+- [[Route-53]] ← provides ← [[Route-53-Resolver-Endpoint]]
+- [[Route-53-Resolver-Endpoint]] ← forwards_to ← [[Active-Directory]]
--- a/wiki/concepts/Subscription.md
+++ b/wiki/concepts/Subscription.md
@@ -0,0 +1,36 @@
+---
+title: Subscription
+type: concept
+tags: [Azure, Isolation, Resource]
+date: 2026-04-14
+---
+
+## Definition
+Azure Subscription（订阅）是 Azure 资源隔离的基本容器，每个订阅有独立的资源配额、计费账单和访问控制策略。在 Landing Zone 架构中，不同用途的工作负载使用独立的订阅实现隔离和管控。
+
+## Key Characteristics
+- 独立的资源配额（vCPU、存储等）
+- 独立的计费账单
+- 独立的资源访问控制
+- 可绑定到不同的 Azure Active Directory 租户
+
+## Common Subscription Types in Landing Zone
+- **Platform Subscription**：平台服务（身份管理、连接）
+- **Landing Zone Subscription**：工作负载部署
+- **Decommission Subscription**：退役资源存放
+- **Sandbox Subscription**：实验和测试环境
+
+## Design Principles
+- 每个订阅专注于特定用途
+- 实现故障隔离和资源管控
+- 最小化跨订阅依赖
+- 通过标签实现成本分摊
+
+## Related Concepts
+- [[Management Groups]]：组织多个订阅
+- [[Azure Landing Zone]]：多订阅架构
+- [[Terraform Cloud]]：跨订阅自动化管理
+
+## Connections
+- [[Subscription]] ← organized_by ← [[Management Groups]]
+- [[Azure Landing Zone]] ← contains ← [[Subscription]]
--- a/wiki/concepts/Tagging-Methodology.md
+++ b/wiki/concepts/Tagging-Methodology.md
@@ -0,0 +1,39 @@
+---
+id: Tagging-Methodology
+title: "Tagging Methodology"
+type: concept
+tags:
+  - AWS
+  - Tagging
+  - Security
+  - Automation
+date_added: 2026-04-18
+---
+
+## Definition
+标签方法论，通过为资源定义标准化的元数据（如 Owner, BU, Product, Environment），作为自动化管理和安全策略执行的基础。
+
+## Standard Tags
+- **Owner:** 资源所有者
+- **BU (Business Unit):** 业务单元
+- **Product:** 产品线
+- **Environment:** 环境（dev, staging, prod）
+
+## Key Features
+- 替代传统基于 IP 的防火墙规则
+- 支持动态的安全策略执行
+- 通过 SCP 的"显式拒绝"逻辑强制执行标签合规性
+
+## Use Case
+- 在 AWS Landing Zone 中实现基于标签的安全控制
+- 防止用户通过篡改标签绕过安全审计
+
+## Related Concepts
+- [[Service Control Policies]]
+- [[Organizational Unit]]
+- [[Checkpoint Firewall]]
+- [[AWS Landing Zones]]
+
+## Related Entities
+- [[AWS]]
+- [[Gruntwork]]
--- a/wiki/concepts/WAF.md
+++ b/wiki/concepts/WAF.md
@@ -0,0 +1,22 @@
+---
+title: "WAF (Web Application Firewall)"
+type: concept
+tags:
+  - Security
+  - AWS
+  - Web-Protection
+date-added: 2026-04-18
+---
+
+## Description
+Web Application Firewall（WAF）是一种保护 Web 应用免受常见攻击（如 SQL 注入、跨站脚本、XSS 等）的安全服务。在 SaaS Landing Zone 中，WAF 监控传入产品账号的流量。
+
+## Role in SaaS Landing Zone
+- 监控 Product Accounts 的入站流量
+- 防护 Web 应用免受常见攻击
+- 可与 CloudFront 集成实现端到端安全
+
+## Related
+- [[AWS]]：云服务提供商
+- [[CloudFront]]：CDN 服务
+- [[ctp-topic-7-saas-landing-zone-design]]：SaaS Landing Zone 设计
--- a/wiki/concepts/列式存储.md
+++ b/wiki/concepts/列式存储.md
@@ -0,0 +1,27 @@
+---
+title: "列式存储"
+type: concept
+tags: [存储, 数据仓库]
+sources: [ctp-topic-68-introduction-to-redshift]
+last_updated: 2026-04-18
+---
+
+## Summary
+
+列式存储（Columnar Storage）是一种将数据按列而不是按行存储的数据库存储方式，针对数据仓库操作进行了优化。
+
+## Definition
+
+- **优势**：更快的查询性能、更低的内存占用、更高的压缩效率
+- **适用场景**：OLAP 场景、大量聚合查询
+
+## Key Benefits
+
+- 按列读取特定列数据
+- 更高的压缩比（同一列数据类型相似）
+- 减少 I/O 操作
+- 提升聚合查询性能
+
+## Connections
+
+- [[AWS-Redshift]] → 使用 → [[列式存储]]