Auto-sync: update nexus workspace

wiki/sources/ctp-topic-55-aws-firewall-manager.md

@@ -1,49 +1,65 @@
 ---
 title: "CTP Topic 55 AWS Firewall Manager"
 type: source
-tags: [AWS, Firewall-Manager, Security, CTP, Landing-Zones]
+tags:
+  - AWS
+  - Firewall-Manager
+  - Security
+  - CTP
 date: 2026-04-14
 ---
 
 ## Source File
-- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager.md]]
+- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager]]
 
 ## Summary（用中文描述）
-- 核心主题：AWS Firewall Manager 在 Grand Torque 多 Landing Zone 环境中的集中化安全策略管理实践
-- 问题域：跨多个 Landing Zone（RLABS、R&D、SAS、CAT）管理安全策略的复杂性，Checkpoint Firewall 无法覆盖的流量安全问题
-- 方法/机制：通过 Firewall Manager 账户创建安全组策略，使用 AWS Config + Lambda 触发事件自动修复，结合 RAM 共享前缀列表实现跨账户规则同步
-- 结论/价值：集中化管理、缩短安全策略部署时间、解决 QALIS 等共享服务扫描问题；支持 WAF 规则统一管理
+- 核心主题：AWS Firewall Manager 在多 Landing Zone 环境下的集中化安全策略管理
+- 问题域：跨多个 Landing Zone（RLABS、R&D、SAS、CAT）统一管理和执行安全组规则
+- 方法/机制：
+  - 三类安全策略：通用安全组（Common SG）、审计与强制执行（Audit & Enforcement SG）、冗余清理（Cleanup SG）
+  - 利用 AWS Config + Lambda 触发事件并强制执行策略
+  - 通过 RAM（Resource Access Manager）共享 Prefix List，实现跨账户规则分发
+  - Firewall Manager 账户独立部署，支持跨 Landing Zone 统一纳管
+  - 支持通过 Terraform + Terragrunt 自动化部署策略
+- 结论/价值：将安全策略从各 Landing Zone 分散管理转变为集中管控，大幅降低策略推广时间，支持 WAF 规则统一管理
 
 ## Key Claims（用中文描述）
-- Firewall Manager 可跨多个 Landing Zone 统一部署基线安全组策略，解决多环境安全策略不一致问题
-- 三种安全策略类型：通用安全组（附加基线允许产品团队自增）、审计与强制安全组规则（拒绝过度宽松规则，支持自动修复）、清理未使用冗余安全组
-- Firewall Manager 账户独立于任何 Landing Zone，支持跨 Landing Zone 部署
-- RAM 前缀列表机制可跨账户轻松共享和更新安全组规则
+- Firewall Manager 通过 AWS Config + Lambda 机制自动检测并修复不合规资源，实现跨账户统一安全策略执行
+- 三类安全组策略分别承担"附加基线"、"拒绝过度宽松规则"、"清理冗余"职责，形成完整的安全管控闭环
+- Prefix List + RAM 组合实现安全规则在账户间的便捷共享与同步更新，无需手动逐账户配置
+- Firewall Manager 账户独立于任何单一 Landing Zone，可同时纳管 RLABS、R&D、SAS、CAT 等多个环境
+- SAS Landing Zone 账户的所有安全组均作为基线安全组应用，由 Firewall Manager 统一管控
 
 ## Key Quotes
-> "We have gone through these policies and we come up with some baseline security groups." — 团队审查现有策略后制定基线安全组
-> "RAM is like it's a tool available within this AWS where you can specify or you can share your AWS resources to any other account that you wanted to specify." — RAM 用于跨账户资源共享
-> Demo 演示：在 Firewall Manager 账户创建通用安全组策略后，关联的 playground 账户中已存在的 EC2 实例和新启动的 EC2 实例均自动附加了安全组；删除策略后安全组自动从实例移除
+> "Firewall Manager is a management service to centrally configure firewall rules and security rules across accounts and applications within organizations." — AWS Firewall Manager 核心定义
+> "RAM is like it's a tool available within this AWS where you can specify or you can share your AWS resources to any other account that you wanted to specify." — Prefix List 通过 RAM 共享的机制说明
+> "We have gone through these policies and we come up with some baseline security groups." — 多 Landing Zone 环境下的基线安全组制定背景
+> "Deleting the policy in the Firewall Manager account automatically removed the security group from the instances." — 策略删除自动清理附着实例
 
 ## Key Concepts
-- [[Security-Group]]：AWS 安全组，作为实例级别的有状态防火墙规则；Firewall Manager 三种策略均围绕安全组展开
-- [[Prefix-List]]：前缀列表，用于跨账户共享和更新安全组规则；通过 RAM 共享
-- [[Auto-Remediation]]：自动修复，Firewall Manager 策略可自动修复不合规的安全组规则
-- [[WAF-Rules-Management]]：Firewall Manager 还支持集中管理 WAF 规则，允许产品团队在基线规则上追加额外规则集
+- [[AWS Firewall Manager]]：AWS 集中化防火墙和安全规则管理服务，支持跨账户和跨应用程序的配置
+- [[Security Group Policy]]：Firewall Manager 中的安全组策略，分为 Common、Audit & Enforcement、Cleanup 三种类型
+- [[AWS Config]]：AWS 配置合规性评估服务，与 Firewall Manager 联动触发自动修复
+- [[AWS Lambda]]：无服务器计算服务，在 Firewall Manager 中用于执行策略事件处理逻辑
+- [[Prefix List]]：IP 前缀列表，用于定义 CIDR 范围，通过 RAM 在账户间共享安全规则
+- [[Resource Access Manager (RAM)]]：AWS 资源分享服务，允许跨账户共享 VPC Prefix List 等资源
+- [[Landing Zone]]：AWS 多账户环境的规范化基础设施架构，本文档涉及 RLABS、R&D、SAS、CAT 四个 Landing Zone
 
 ## Key Entities
-- [[AWS-Firewall-Manager]]：AWS Firewall Manager 是集中配置防火墙规则和安全规则的管理服务，支持跨组织和账户的统一安全策略部署
-- [[Landing-Zones]]：AWS Landing Zones，Grand Torque 存在 RLABS、R&D、SAS、CAT 多个 Landing Zone，各有不同的安全要求
-- [[QALIS]]：产品账户实例扫描服务，通过 Firewall Manager 解决跨账户扫描的网络可达性问题
-- [[Checkpoint-Firewall]]：原有防火墙方案，存在安全组规则过于宽松的问题，无法完全覆盖通过公网子网的流量
+- [[Grand Torque Landing Zone]]：整体 Landing Zone 架构，Firewall Manager 在此背景下被采用以应对多 Landing Zone 安全策略管理挑战
+- [[LAPS Landing Zone]]：早期使用 Checkpoint Firewall 的 Landing Zone，安全组规则较为宽松
+- [[SAS Landing Zone]]：面向外部客户的 Landing Zone，拥有公有子网，需要额外的安全规则保护
+- [[Digital Factory Landing Zone]]：部署 Atlantis 服务器的 Landing Zone，通过 IaC pipeline 向 Firewall Manager 推送变更
+- [[Atlantis Server]]：Digital Factory 中的 Terraform/Terragrunt 执行服务器，用于自动化部署 Firewall Manager 策略
+- [[QALIS]]：共享服务，扫描产品账户中的实例
 
 ## Connections
-- [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]] ← relates_to ← [[ctp-topic-55-aws-firewall-manager]]
-- [[ctp-topic-37-secrets-certificates-management]] ← same_domain ← [[ctp-topic-55-aws-firewall-manager]]（均属于 07_Security 类别）
-- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← related_security ← [[ctp-topic-55-aws-firewall-manager]]
+- [[AWS Firewall Manager]] ← 管理 ← [[Security Group Policy]]
+- [[Security Group Policy]] ← 触发执行 ← [[AWS Config]] + [[AWS Lambda]]
+- [[Security Group Policy]] ← 规则分发 ← [[Prefix List]] + [[Resource Access Manager (RAM)]]
+- [[AWS Firewall Manager]] ← 独立部署于 ← [[Digital Factory Landing Zone]]
+- [[AWS Firewall Manager]] ← 纳管 ← [[LAPS Landing Zone]]、[[SAS Landing Zone]] 等多个 Landing Zone
+- [[Terraform]] + [[Terragrunt]] ← 自动化部署 ← [[AWS Firewall Manager]] Policy
 
 ## Contradictions
-- 与 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中的 Checkpoint Firewall 方案关系：
-  - 冲突点：Checkpoint Firewall 原有安全组规则过于宽松，新方案引入 Firewall Manager 基线安全组
-  - 当前观点：Firewall Manager 补充 Checkpoint，提供更细粒度的安全组基线控制
-  - 对方观点：Checkpoint 作为网络边界防火墙，Firewall Manager 覆盖实例级别安全策略（互补而非冲突）
+- 暂无发现与其他 Wiki 页面的直接内容冲突