--- title: "CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security" type: source tags: [] date: 2026-04-14 --- ## Source File - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/10_OpenText-Series/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md]] ## Summary(用中文描述) - 核心主题:AWS Landing Zone 环境下的资源数据收集、标签体系及基于标签的安全控制策略 - 问题域:如何在大规模多账号云环境中实现标准化资源管理、标签规范落地、以及动态化的安全策略执行 - 方法/机制:采用 OU(组织单元)分层 + SCP(安全控制策略) + 标签匹配的三层防护架构;通过 Checkpoint Firewall 基于标签的策略集实现动态流量控制,替代传统的 IP 地址规则;标签体系涵盖机器名、所有者(PDL)、类型、业务单元、产品、环境、服务器角色等维度;防火墙策略层按地理封锁 → 类型 → BU → 产品 → 环境 → 角色顺序逐层检查 - 结论/价值:基于标签的策略使云环境具备动态伸缩能力,无需频繁调整防火墙规则;标签驱动的 SCP 可确保资源标记合规性和安全 posture 正确性 ## Key Claims(用中文描述) - 组织通过 OU 分层架构和标签校验机制,确保迁移至云端的资源正确标记并应用必要的安全控制(如:普通 ADM 用户无法擅自将标签改为 ITOM) - SCP(Security Control Policy)是基于标签匹配的拒绝策略,控制特定账号可使用的标签值,防止不合规资源进入云环境 - 基于标签的防火墙策略集实现了动态云环境,策略以标签为依据而非 IP 地址,大幅减少防火墙规则维护工作量 - 标签体系是云迁移规划的前提:收集机器信息 → 理解迁移范围 → 应用正确标签 → 触发安全策略 - 防火墙策略的分层设计(Ordered Layers + Inline Layers)提供细粒度的流量管控:Ordered Layers 要求流量逐层通过,Inline Layers 采用基于账号编号的父子规则结构 ## Key Quotes > "We ask a lot of questions so that we can then turn around and make sure we're putting the appropriate posture in the cloud and that we're protecting the resources appropriately." — 关于云迁移前的标签规划重要性 > "Inter product is not allowed. Inter product is communications allowed." — 关于跨产品线通信的防火墙默认策略 ## Key Concepts - [[AWS-Landing-Zone]]:AWS 多账号环境的基础架构框架,包含 OU、SCP、账号结构等核心组件 - [[SCP(Security-Control-Policy)]]:基于标签匹配的拒绝策略,控制特定 OU 中可使用的标签值 - [[Resource-Tagging]]:云资源的关键元数据体系,涵盖机器名、所有者、类型、业务单元、产品、环境、服务器角色等维度 - [[Ordered-Layer]]:防火墙策略层,要求流量依次通过各层检查,全部通过方可放行 - [[Inline-Layer]]:基于账号编号的父子规则结构,简化跨账号策略管理 - [[Checkpoint-Firewall]]:在 Landing Zone 中部署的下一代防火墙,支持基于标签的动态策略 ## Key Entities - [[Pradeep]]:本主题演示者(Demonstrator),负责 Checkpoint Firewall 和 EC2 部署演示 - [[AWS]]:云服务提供商,Landing Zone 架构的承载平台 - [[Checkpoint]]:防火墙供应商,在 Frankfurt Landing Zone 部署防火墙策略集 ## Connections - [[CTP-Topic-7-SaaS-Landing-Zone-Design]] ← foundational ← [[CTP-Topic-10-AWS-Landing-Zone-LZ-Data-Collection-Tagging-Security]](Topic 7 定义 LZ 设计原则,Topic 10 补充标签驱动的安全实现) - [[CTP-Topic-31-Network-Segregation-AWS-Landing-Zones]] ← extends ← [[CTP-Topic-10-AWS-Landing-Zone-LZ-Data-Collection-Tagging-Security]](Topic 31 聚焦网络隔离,本主题提供标签驱动的安全策略执行层) - [[CTP-Topic-25-Labs-Landing-Zone-Overview-ITOM]] ← related ← [[CTP-Topic-10-AWS-Landing-Zone-LZ-Data-Collection-Tagging-Security]](均涉及 ITOM 团队的 LZ 运维视角) - [[CTP-Topic-28-AWS-Tag-Validation-Tool]] ← complements ← [[CTP-Topic-10-AWS-Landing-Zone-LZ-Data-Collection-Tagging-Security]](Topic 10 阐述标签用途,Topic 28 提供标签验证工具支撑) ## Contradictions - 与 [[CTP-Topic-7-SaaS-Landing-Zone-Design]] 存在表述角度差异: - 冲突点:Topic 7 强调 LZ 的账号/OUs 顶层设计,Topic 10 强调标签驱动的运行时安全控制 - 当前观点:标签 + SCP 组合是 LZ 落地的关键执行层,标签策略与账号结构同等重要 - 对方观点:Topic 7 将账号架构置于更核心位置,标签为辅助属性 - 结论:两者视角互补而非矛盾——账号结构定义组织边界,标签驱动安全策略执行,共同构成完整的 LZ 治理体系