--- title: "CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security" type: source tags: - AWS - Landing-Zone - Tagging - Security - CTP date: 2026-04-14 --- ## Source File - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ## Summary(用中文描述) - 核心主题:AWS Landing Zone 部署流程中的数据收集策略,以及基于标签(Tagging)的云原生安全架构设计 - 问题域:企业从传统基于 IP 的网络安全向基于身份和元数据的云安全转型过程中,如何规划 Landing Zone 并确保标签策略被强制执行 - 方法/机制:①部署前摸底 BU 资产清单、IP 地址空间及数据敏感性;②用 AWS 标签替代 IP 作为安全凭证;③通过 OU + SCP 强制标签合规;④Checkpoint 防火墙有序层(Ordered Layer)实现基于标签的流量过滤 - 结论/价值:为 CTP 系列的 Landing Zone 标签治理闭环(制定规范 → 强制执行 → 流量控制)提供了完整的端到端设计思路 ## Key Claims(用中文描述) - SRE 团队通过自动化脚本实现了 DNS 和 Transit Gateway 等基础服务的高度自动化,部署前必须先完成 BU 资产清单和数据敏感性评估 - 基于标签的安全控制机制替代传统基于 IP 的防火墙规则,Checkpoint 防火墙通过读取 AWS 标签动态配置网络访问策略 - SCP 的"显式拒绝"逻辑能够强制执行标签规范,防止用户通过篡改标签绕过安全审计 - Checkpoint 防火墙的有序层(Ordered Layer)按顺序执行地理屏蔽、BU 隔离、产品隔离、环境隔离(Dev vs Prod)等策略 ## Key Quotes > "在部署 Landing Zone 前,必须深入了解业务部门的资产清单、IP 地址空间及数据敏感性,以便制定合适的安全姿态。" — Steve Jarman,部署规划原则 > "通过 SCP 的显式拒绝逻辑,系统能够强制执行标签规范,确保资源在创建时即具备正确的归属(BU、产品、环境)。" — Pradeep,标签强制机制 ## Key Concepts - [[Landing-Zone-Architecture]]:AWS Landing Zone 是一种按照最佳实践快速设置安全且多账号 AWS 环境的基础架构框架,本视频是其标签治理设计的重要实践补充 - [[AWS-Tagging-Standards]]:标签方法论,通过为资源定义标准化的元数据(如 Owner、BU、Product、Environment)作为自动化管理和安全策略执行的基础,本视频是该方法论的核心设计来源 - [[Service-Control-Policies-SCPs]]:服务控制策略,本视频中用于强制执行标签合规性,防止未经授权的标签更改,属于标签治理闭环的强制执行层 - Ordered Layer(有序层):Checkpoint 防火墙策略的组织方式,按顺序执行地理屏蔽、BU 隔离、环境隔离等逻辑,是基于标签的流量过滤实现机制 - Tagging-Based Security Control(基于标签的安全控制):用 AWS 标签作为安全凭证替代传统基于 IP 的防火墙规则,是云原生安全架构的核心转型方向 ## Key Entities - [[Steve-Jarman]]:CTP 系列讲师,主导本次 Landing Zone 部署规划与自动化策略分享 - [[Pradeep]]:CTP 系列讲师,演示基于标签的 SCP 强制执行机制与 Checkpoint 防火墙策略 - [[Checkpoint]]:防火墙供应商,依赖 AWS 标签值配置网络访问策略的有序层(Ordered Layer) - SRE-Team:站点可靠性工程团队,负责 Landing Zone 部署中的 DNS、Transit Gateway 等基础服务的自动化脚本编写 ## Connections - [[Landing-Zone-Architecture]] ← foundational ← [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] - [[AWS-Tagging-Standards]] ← extends ← [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] - [[Service-Control-Policies-SCPs]] ← extends ← [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] - [[ctp-topic-28-aws-tag-validation-tool]] ← extends ← [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] - [[ctp-topic-47-enterprise-architecture-cloud-standards]] ← extends ← [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ## Contradictions - 与 [[ctp-topic-1-gruntwork-landing-zone-architecture]] 视角差异: - 冲突点:Landing Zone 部署的自动化粒度 - 当前观点(Topic 10):DNS、Transit Gateway 等基础服务已由 SRE 团队高度自动化,强调标签驱动的安全控制 - 对方观点(Topic 1):强调 Gruntwork 架构中 Jenkins 服务器和 Git 分支工作流作为自动化核心,标签治理描述相对简略 - 说明:两者互补而非冲突——Topic 1 提供账户结构和 IaC 基础,Topic 10 补充了标签驱动的安全运营闭环