---
id: ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security
title: "CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security"
type: source
tags:
  - AWS
  - Landing-Zone
  - Tagging
  - Security
  - CTP
date: 2026-04-14
sources:
  - NAS /volume2/work/Public Cloud Learning Sessions/CTP _ Topic 10_ AWS  Landing Zone (LZ) Data Collection, Tagging _ Related Security.mp4
---

## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md]]

## Summary
- 核心主题：AWS Landing Zone 部署流程、数据收集策略、基于标签的安全控制机制
- 问题域：传统网络安全向云原生安全的转型
- 方法/机制：Landing Zone 规划与自动化、基于标签的安全策略、Checkpoint 防火墙的有序层逻辑
- 结论/价值：利用标签和 SCP 强制执行标签合规性，实现精细化的流量过滤和隔离

## Key Claims
- Landing Zone 部署前必须深入了解业务部门（BU）的资产清单、IP 地址空间及数据敏感性
- 基于标签的安全控制机制可替代传统基于 IP 的防火墙规则
- 通过 OU（组织单元）和 SCP（服务控制策略）可防止用户篡改标签绕过安全审计
- Checkpoint 防火墙通过有序层逻辑实现地理屏蔽、BU 隔离、产品隔离及环境隔离

## Key Quotes
> "DNS、Transit Gateway 等基础服务的创建已通过 SRE 团队实现了高度自动化" — Steve Jarman
> "通过 SCP 的'显式拒绝'逻辑，系统能够强制执行标签规范，确保资源在创建时即具备正确的归属" — 视频内容

## Key Concepts
- [[AWS Landing Zones]]：能够按照最佳实践快速设置、安全且多账号的 AWS 环境的基础架构框架
- [[Tagging Methodology]]：标签方法论，通过为资源定义标准化的元数据（如 Owner, BU, Product, Environment），作为自动化管理和安全策略执行的基础
- [[Service Control Policies]]：服务控制策略，用于管理组织中的权限，强制执行标签合规性
- [[Organizational Unit]]：组织单元，AWS Organizations 中账号的分组容器
- [[Checkpoint Firewall]]：部署在云环境中的虚拟防火墙，通过集成 AWS 标签实现动态的对象识别和流量过滤
- [[Transit Gateway]]：传输网关，作为网络中心枢纽，连接 VPC 与本地网络
- [[Ordered Layer]]：有序层，防火墙策略的一种组织方式，按顺序执行地理屏蔽、BU 隔离、环境隔离等逻辑
- [[SRE]]：站点可靠性工程，负责 Landing Zone 部署中的自动化脚本编写与基础架构维护

## Key Entities
- [[AWS]]：全球最大公有云平台
- [[Gruntwork]]：Gruntwork Landing Zones 框架提供商

## Connections
- [[CTP Topic 1 Gruntwork Landing Zone Architecture]] ← depends_on ← [[CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security]]
- [[CTP Topic 28 AWS Tag Validation Tool]] ← extends ← [[Tagging Methodology]]
- [[CTP Topic 17 Active Directory Services in Gruntwork AWS LZs]] ← depends_on ← [[AWS Landing Zones]]

## Contradictions
- 与传统基于 IP 的防火墙方案冲突：
  - 冲突点：网络边界防护模式
  - 当前观点：基于标签的动态安全控制
  - 对方观点：基于 IP 的静态防火墙规则