2.3 KiB
2.3 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| AWS Landing Zone | entity |
|
|
2026-04-28 |
Overview
AWS Landing Zone 是 AWS 推荐的多账户架构框架,用于建立安全、可扩展、合规的云基础架构基础。Micro Focus 采用基于 Gruntwork 的 Landing Zone 参考架构,通过 Terraform/Terragrunt 管理所有资源。
Core Components
- Shared Services Account:托管 Jenkins、AD、Route 53 私有 DNS 等共享基础设施
- Network Account:Transit Gateway + Checkpoint 防火墙管理所有互联网流量
- Security Account:联邦用户、跨账户访问、IAM Role 集中管理
- Logs Account:CloudTrail、Config 日志集中存储
- Product/SaaS Accounts:业务负载运行的账户
Network Isolation Challenges
在 ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones 中描述的安全挑战:
- On-prem 系统和 VPN 用户因共享网络配置可直接访问生产工作负载
- 解决路径:Checkpoint SPI(Default Deny)+ AWS SSM 替代 VPN
Tag-Based Security Architecture
在 ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security 中,Steve Jarman 和 Pradeep 深入阐述了基于标签的云原生安全架构:
- SCP(Security Control Policy)强制标签规范:通过「显式拒绝」逻辑防止用户通过篡改标签绕过审计,确保资源创建时即具备正确的 BU/产品/环境归属;普通 ADM 用户无法擅自将标签改为 ITOM
- OU 分层架构:通过多层 OU 检查标签值,确保正确的标记和必要的安全控制
- 标签体系:涵盖机器名、所有者(PDL)、类型、业务单元、产品、环境、服务器角色等维度,是云迁移规划的前提
- Checkpoint 标签驱动策略:从基于 IP 地址的传统防火墙规则转向利用 AWS 标签作为安全凭证,实现动态云环境
Aliases
- Landing Zone
- LZ
- AWS LZ
Connections
- Network-Segmentation — 网络隔离是 LZ 安全架构核心
- AWS-SSM — SSM 提供 LZ 内安全远程访问
- ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones