--- title: "CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security" type: source tags: - AWS - Landing-Zone - Tagging - Security - CTP last_updated: 2026-04-14 --- ## Source File - [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/10_OpenText-Series/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md]] ## Summary(用中文描述) - 核心主题:AWS Landing Zone 的数据收集策略与基于标签的安全控制机制 - 问题域:企业云迁移过程中的网络安全与访问控制 - 方法/机制: - 部署前通过业务部门(BU)资产清单、IP 地址空间及数据敏感性调研,制定 Landing Zone 安全姿态 - 利用 AWS 标签(Tagging)替代传统基于 IP 的防火墙规则,作为安全凭证 - 引入 OU(组织单元)和 SCP(服务控制策略)防止用户篡改标签绕过安全审计 - Checkpoint 防火墙通过"有序层(Ordered Layer)"逻辑实现流量分层过滤 - 结论/价值:实现从传统网络安全向基于身份和元数据的云原生安全转型 ## Key Claims(用中文描述) - Steve Jarman + Pradeep 通过 SCP 的"显式拒绝"逻辑,强制执行标签规范,确保资源在创建时即具备正确的归属标签(BU、产品、环境) - Checkpoint 防火墙根据标签对流量进行分层过滤(地理屏蔽、BU 隔离、产品隔离、环境隔离),实现跨 VPC、On-prem 及互联网流量的精细化策略约束 - DNS、Transit Gateway 等基础服务的创建已通过 SRE 团队实现高度自动化 ## Key Quotes > "在部署前,必须深入了解业务部门(BU)的资产清单、IP 地址空间及数据敏感性,以便制定合适的安全姿态" — Steve Jarman,部署前规划原则 > "通过 SCP 的'显式拒绝'逻辑,系统能够强制执行标签规范,确保资源在创建时即具备正确的归属" — Pradeep,标签安全控制机制 ## Key Concepts - [[AWS Landing Zones]]:按照最佳实践快速设置安全且多账号 AWS 环境的基础架构框架 - [[Tagging Methodology]]:通过为资源定义标准化元数据(如 Owner, BU, Product, Environment),作为自动化管理和安全策略执行的基础 - [[SCP Service Control Policies]]:AWS Organizations 中的服务控制策略,用于管理组织中的权限,本视频中用于强制执行标签合规性 - [[OU Organizational Unit]]:AWS Organizations 中账号的分组容器,用于分层应用安全策略(SCP) - [[Checkpoint Firewall Ordered Layer]]:防火墙策略的组织方式,按顺序执行地理屏蔽、BU 隔离、环境隔离等逻辑 - [[Transit Gateway]]:传输网关,作为网络中心枢纽连接 VPC 与本地网络,是跨环境流量经过防火墙检查的关键节点 - [[SRE Automation]]:站点可靠性工程,负责 Landing Zone 部署中的自动化脚本编写与基础架构维护 ## Key Entities - [[Steve Jarman]]:Cloud Transformation Programme 技术分享主持人,Landing Zone 规划与自动化专家 - [[Pradeep]]:Checkpoint 防火墙与网络隔离技术演示主讲人 ## Connections - [[CTP Topic 1 Gruntwork Landing Zone Architecture]] ← builds_upon ← [[CTP Topic 10]] - [[CTP Topic 31 Network Segregation and Secure Access to the New AWS Landing Zones]] ← extends ← [[CTP Topic 10]] - [[CTP Topic 17 Active Directory Services in Gruntwork AWS LZs]] ← related_to ← [[CTP Topic 10]] - [[AWS_Organizations_and_SCP_Deep_Dive]] ← deep_dive ← [[CTP Topic 10]](SCP 强制执行标签合规性) ## Contradictions - 暂无已知冲突