Update nexus: fix conflicts and sync local changes
This commit is contained in:
Shen Wei
@@ -1,57 +1,57 @@
|
||||
---
|
||||
title: "Checkpoint"
|
||||
type: entity
|
||||
tags: [Firewall, Network-Security, AWS, Cloud-Security]
|
||||
last_updated: 2026-04-14
|
||||
---
|
||||
|
||||
## Overview
|
||||
|
||||
Checkpoint(Check Point Software Technologies)是全球领先的网络安全解决方案提供商,其防火墙产品在该组织的 AWS Landing Zone 架构中扮演关键角色。Checkpoint 防火墙通过读取 AWS 资源的标签值(Tags)来动态配置网络访问策略,这意味着资源标签的有效性直接影响网络连通性。
|
||||
|
||||
## Role in AWS Landing Zone
|
||||
|
||||
在企业 AWS 架构中,Checkpoint 防火墙与 AWS 资源标签紧密集成:
|
||||
|
||||
- **读取标签来源**:EC2 实例、安全组(Security Groups)、负载均衡器(Load Balancers)
|
||||
- **基于标签决策**:根据标签键值对判断资源所属环境(dev/staging/prod)、成本中心、负责人等属性
|
||||
- **动态网络策略**:根据标签值自动应用相应的网络访问控制规则
|
||||
|
||||
### 网络安全依赖链
|
||||
|
||||
```
|
||||
AWS 资源标签(Tag)→ Checkpoint 防火墙读取 → 网络访问策略配置
|
||||
↑
|
||||
标签缺失或无效
|
||||
↓
|
||||
相关网络流量被拦截
|
||||
```
|
||||
|
||||
## Impact of Tag Non-Compliance
|
||||
|
||||
当 AWS 资源缺少必需标签或标签值不在允许列表中时:
|
||||
1. Checkpoint 防火墙无法识别资源身份
|
||||
2. 无法将资源匹配到正确的网络策略
|
||||
3. 防火墙执行默认拒绝策略,**拦截该资源的所有网络流量**
|
||||
4. 导致服务中断或连接失败
|
||||
|
||||
这使得 **标签合规性从"可选管理实践"变为"网络安全硬性要求"**。
|
||||
|
||||
## Solutions
|
||||
|
||||
| 机制 | 作用 | 局限性 |
|
||||
|------|------|--------|
|
||||
| [[Service-Control-Policies-SCPs]] | 阻止不合规新资源创建 | 无法修复存量资源 |
|
||||
| [[Tag-Validation-Tool]] | 审计存量资源标签合规性 | 仅审计,需人工修复 |
|
||||
|
||||
## Related Concepts
|
||||
|
||||
- [[AWS-Tags]]:Checkpoint 读取的元数据
|
||||
- [[AWS-Tagging-Standards]]:标签规范的定义
|
||||
- [[Tag-Validation-Tool]]:确保标签合规性的工具
|
||||
- [[Service-Control-Policies-SCPs]]:强制执行标签规范的上游机制
|
||||
- [[Checkpoint-Firewall]]:(同义词,可互链)
|
||||
|
||||
## Sources
|
||||
|
||||
- [[ctp-topic-28-aws-tag-validation-tool]]
|
||||
---
|
||||
title: "Checkpoint"
|
||||
type: entity
|
||||
tags: [Firewall, Network-Security, AWS, Cloud-Security]
|
||||
last_updated: 2026-04-14
|
||||
---
|
||||
|
||||
## Overview
|
||||
|
||||
Checkpoint(Check Point Software Technologies)是全球领先的网络安全解决方案提供商,其防火墙产品在该组织的 AWS Landing Zone 架构中扮演关键角色。Checkpoint 防火墙通过读取 AWS 资源的标签值(Tags)来动态配置网络访问策略,这意味着资源标签的有效性直接影响网络连通性。
|
||||
|
||||
## Role in AWS Landing Zone
|
||||
|
||||
在企业 AWS 架构中,Checkpoint 防火墙与 AWS 资源标签紧密集成:
|
||||
|
||||
- **读取标签来源**:EC2 实例、安全组(Security Groups)、负载均衡器(Load Balancers)
|
||||
- **基于标签决策**:根据标签键值对判断资源所属环境(dev/staging/prod)、成本中心、负责人等属性
|
||||
- **动态网络策略**:根据标签值自动应用相应的网络访问控制规则
|
||||
|
||||
### 网络安全依赖链
|
||||
|
||||
```
|
||||
AWS 资源标签(Tag)→ Checkpoint 防火墙读取 → 网络访问策略配置
|
||||
↑
|
||||
标签缺失或无效
|
||||
↓
|
||||
相关网络流量被拦截
|
||||
```
|
||||
|
||||
## Impact of Tag Non-Compliance
|
||||
|
||||
当 AWS 资源缺少必需标签或标签值不在允许列表中时:
|
||||
1. Checkpoint 防火墙无法识别资源身份
|
||||
2. 无法将资源匹配到正确的网络策略
|
||||
3. 防火墙执行默认拒绝策略,**拦截该资源的所有网络流量**
|
||||
4. 导致服务中断或连接失败
|
||||
|
||||
这使得 **标签合规性从"可选管理实践"变为"网络安全硬性要求"**。
|
||||
|
||||
## Solutions
|
||||
|
||||
| 机制 | 作用 | 局限性 |
|
||||
|------|------|--------|
|
||||
| [[Service-Control-Policies-SCPs]] | 阻止不合规新资源创建 | 无法修复存量资源 |
|
||||
| [[Tag-Validation-Tool]] | 审计存量资源标签合规性 | 仅审计,需人工修复 |
|
||||
|
||||
## Related Concepts
|
||||
|
||||
- [[AWS-Tags]]:Checkpoint 读取的元数据
|
||||
- [[AWS-Tagging-Standards]]:标签规范的定义
|
||||
- [[Tag-Validation-Tool]]:确保标签合规性的工具
|
||||
- [[Service-Control-Policies-SCPs]]:强制执行标签规范的上游机制
|
||||
- [[Checkpoint-Firewall]]:(同义词,可互链)
|
||||
|
||||
## Sources
|
||||
|
||||
- [[ctp-topic-28-aws-tag-validation-tool]]
|
||||
|
||||
Reference in New Issue
Block a user