nexus/wiki/sources/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md

title, type, tags, date

title	type	tags	date
CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security	source	aws landing-zone tagging security cloud-transformation ctp	2026-04-14

Source File

• Cloud & DevOps/Public-Cloud-Learning-Sessions/10_OpenText-Series/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security

Summary（用中文描述）

• 核心主题：AWS Landing Zone 部署过程中数据收集策略，以及基于资源标签的云原生安全架构
• 问题域：企业云迁移过程中如何理解待上云资产、如何通过标签机制实现精细化的访问控制和安全策略
• 方法/机制：
  • OU + SCP 分层治理：通过组织单元（OU）和 Service Control Policies（SCP）强制执行标签规范
  • 标签即凭证：将 AWS 资源标签作为防火墙策略的动态匹配条件，替代传统基于 IP 的静态规则
  • Checkpoint 有序层防火墙：按优先级执行地理屏蔽 → 类型检查 → BU 隔离 → 产品隔离 → 环境隔离 → 角色检查
  • Inline 层结构：基于账号号的父子规则架构，简化跨账户策略管理
• 结论/价值：从"IP 地址"到"标签"的策略范式转变，使动态云环境无需频繁更新防火墙规则；标签缺失或篡改会触发 SCP 拒绝策略，确保安全合规

Key Claims（用中文描述）

• Landing Zone 部署前必须深入了解 BU 资产清单、IP 地址空间及数据敏感性
• DNS、Transit Gateway 等基础服务通过 SRE 团队实现高度自动化
• 基于标签的安全控制：传统基于 IP 的防火墙规则无法适应云环境动态性，标签机制将安全凭证嵌入资源本身
• SCP 强制标签规范：「显式拒绝」逻辑防止用户通过篡改标签绕过审计，确保资源创建时即具备正确的 BU/产品/环境归属
• Checkpoint 防火墙有序层：按优先级执行地理屏蔽 → BU 隔离 → 产品隔离 → 环境隔离，实现跨 VPC/On-prem/互联网的精细化流量控制
• 标签示例包括：机器名、Owner（优先使用 PDL）、Type（R&D 等）、Business Unit、Product、Environment（production 等）、Server Role、Account、App ID
• 产品间通信默认禁止（Inter product is not allowed）
• Inline 层检查账号号，简化规则管理并支持自动化

Key Quotes

"We ask a lot of questions so that we can then turn around and make sure we're putting the appropriate posture in the cloud and that we're protecting the resources appropriately." — Steve Jarman，阐述云迁移前的准备工作重心

"Inter product is not allowed. Inter product is communications allowed." — Pradeep，描述产品间隔离的默认安全策略

Key Concepts

• Service-Control-Policies-SCPs：AWS Organizations 策略类型，通过「显式拒绝」逻辑强制执行标签规范，阻止不合规资源创建
• Checkpoint-Firewall：防火墙供应商，依赖 AWS 标签值配置动态网络访问策略
• AWS-Landing-Zone：AWS 云环境的最佳实践起点框架，定义账户结构、网络、安全和访问管理
• Tag-Based-Security：将资源标签作为安全凭证，替代传统基于 IP 的防火墙规则
• OU-Layered-Security：通过组织单元（OU）的分层结构检查标签，确保正确归属和访问控制

Key Entities

• Steve-Jarman：CTP Topic 10 主讲人之一，阐述云迁移前的准备工作
• Pradeep：CTP Topic 10 主讲人，演示 Checkpoint 防火墙配置和 EC2 部署示例
• Checkpoint：防火墙供应商，负责基于标签的动态网络安全策略
• AWS-Organizations：AWS 服务，提供 SCP 策略机制支持标签强制执行

Connections

• ctp-topic-1-gruntwork-landing-zone-architecture ← foundational ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security
• ctp-topic-28-aws-tag-validation-tool ← extends ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security
• ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones ← related ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security
• ctp-topic-25-labs-landing-zone-overview-itom-teams ← related ← ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security

Contradictions

• 与 ctp-topic-28-aws-tag-validation-tool 在标签治理覆盖范围上存在差异：
  • 冲突点：SCPs 的标签强制能力边界
  • 当前观点（Topic 10）：SCPs 通过「显式拒绝」阻止不合规资源创建，确保标签在资源创建时就正确
  • 对方观点（Topic 28）：SCPs 可阻止不合规资源创建，但无法修复存量资源，存量合规性需通过 Tag Validation Tool 审计发现
  • 协调说明：两者互补而非矛盾——SCP 负责预防（新资源准入控制），Tag Validation Tool 负责发现（存量资源合规审计）