--- title: "CTP Topic 31 Network Segregation and Secure Access to the New AWS Landing Zones" type: source tags: - AWS - Network-Security - Landing-Zone - CTP date: 2026-04-14 --- ## Source File - [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/08_Networking/ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones.md]] ## Summary(用中文描述) - 核心主题:AWS Landing Zone 网络隔离与安全远程访问方案 - 问题域:内部网络(On-prem / VPN 用户)对 AWS Landing Zone 生产工作负载的未授权访问风险 - 方法/机制:① 网络隔离——Checkpoint 防火墙实现 default-deny 的 SPI 模型,阻断内部网络对 AWS 网段的直接连通;② 安全访问——AWS Systems Manager (SSM) 替代 VPN,提供基于浏览器的安全远程连接 - 结论/价值:该方案作为 SD-WAN 实施前的过渡方案,以更低成本和更快速度解决紧急安全风险;长期目标是 IaC 化以消除控制台访问 ## Key Claims(用中文描述) - 内部网络与 VPN 用户因共享网络配置而可访问 AWS Landing Zone 生产工作负载,构成安全与合规风险 - Checkpoint 防火墙启用 SPI(Security Policy Infrastructure)特性,默认 deny,仅放行必要服务和网段到 Landing Zone - AWS SSM 通过 IAM 角色假设 + SSM Agent 实现远程访问,无需 VPN,支持浏览器会话和 AWS CLI 两种模式 - SSM 远程访问提供双因素认证保障,连接位于 AWS 网络内部,安全性高于传统 VPN - 当前方案定位于 SD-WAN 实施前的临时/备份方案,主要优势是降低成本和提升部署速度 - 长期安全演进方向:IaC 化以减少控制台访问,break-glass 访问仅保留用于紧急场景 - 当前方案聚焦网络隔离,不解决凭证被盗问题 ## Key Quotes > "The primary driver for this initiative is to address security concerns related to internal systems accessing production workloads in the new AWS landing zones." — 背景动机:内部系统对生产工作负载的访问安全风险 > "The SPI features will be enabled with default deny enabled and allowances made for require services and network segments into the landing zones." — 核心机制:Checkpoint SPI 默认拒绝策略 > "Authenticated users will assume roles granting access to the SSM agent on the target EC2 instance, leveraging existing access controls." — SSM 访问控制机制:基于 IAM 角色假设 > "SSM gives users remote access via a browser based session." — SSM 核心价值:浏览器远程会话替代 VPN ## Key Concepts - [[AWS-Landing-Zone]]:AWS 多账户架构框架,包含核心账户、基线账户、共享服务账户和产品账户 - [[AWS-Systems-Manager-SSM]]:AWS 托管的远程管理服务,通过 SSM Agent 实现安全的无 VPN 远程访问,支持浏览器会话和 AWS CLI 模式 - [[Network-Segregation]]:网络隔离策略,通过 Checkpoint 防火墙实现默认拒绝(default-deny),仅放行经授权的服务和网段通信 - [[SPI-Security-Policy-Infrastructure]]:安全策略基础设施,在 Checkpoint 防火墙上强制执行网络分段,控制服务器间通信并阻断内部网络对 AWS 网段的直接访问 - [[SD-WAN]]:软件定义广域网,组织的长期远程访问演进目标,当前 SSM 方案作为 SD-WAN 实施前的过渡方案 ## Key Entities - [[Checkpoint]]:网络安全设备供应商,提供 Landing Zone 间网段隔离的防火墙能力,依赖 AWS 标签值动态配置访问策略 ## Connections - [[ctp-topic-18-wide-area-networking-in-aws-cloud]] ← related_to ← [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]] - 关联点:同属 AWS Landing Zone 网络知识体系,Topic 18 聚焦广域网架构(Transit Gateway / SD-WAN),Topic 31 聚焦网络隔离与安全访问 - [[ctp-topic-25-labs-landing-zone-overview-itom-teams]] ← related_to ← [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]] - 关联点:Topic 25 的 Labs LZ 运维视角涉及 VPN 远程访问需求,与 Topic 31 的 SSM 安全访问方案存在技术演进关系 - [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]] ← extends ← [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]] - 关联点:Topic 35 明确提及"网络分段阻断对 SaaS 工作负载的直接连通性",是 Topic 31 所描述方案的设计依据 ## Contradictions - 与 [[ctp-topic-18-wide-area-networking-in-aws-cloud]] 存在视角差异: - 冲突点:Topic 18 强调广域网连通性(Transit Gateway Peering / SD-WAN / Pulse VPN 迁移至 Prisma Access),关注如何打通网络 - Topic 31 视角:网络隔离的首要目标是阻断内部网络对 AWS 的直接访问,关注如何限制连通性 - 对方观点:Topic 18 的演进路线中,Prisma Access (SASE) 将提供更安全的远程接入方案 - 当前观点:Topic 31 主张 SSM 作为过渡方案,在 SD-WAN 实施前优先解决网络安全隔离问题 - 调和建议:两者互补——Topic 31 解决内部网络隔离的短期安全问题,Topic 18 规划长期广域网演进路径(SD-WAN / SASE)