62 lines
3.9 KiB
Markdown
62 lines
3.9 KiB
Markdown
---
|
||
title: "CTP Topic 31 Network Segregation and Secure Access to the New AWS Landing Zones"
|
||
type: source
|
||
tags:
|
||
- AWS
|
||
- Network-Security
|
||
- Landing-Zone
|
||
- CTP
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/08_Networking/ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:通过网络隔离与安全访问控制,解决企业内部系统直接访问 AWS Landing Zone 生产负载的安全与合规问题
|
||
- 问题域:On-prem 系统和 VPN 用户因共享网络配置而能访问 AWS 生产区,存在安全合规风险
|
||
- 方法/机制:
|
||
- **网络隔离**:使用 Checkpoint 防火墙建立检查点(SPI),默认拒绝通行,仅放行业务所需服务和网段
|
||
- **安全访问**:通过 AWS Systems Manager (SSM) 实现远程访问,用户假设 IAM Role 直连 EC2 上的 SSM Agent,无需 VPN
|
||
- 结论/价值:SSM 方案作为 SD-WAN 落地前的临时方案,具有双因素认证、安全连接、零第三方依赖的优势;长期目标是 IaC 化以减少控制台访问
|
||
|
||
## Key Claims(用中文描述)
|
||
- On-prem 系统和 VPN 用户因共享网络配置可访问 AWS Landing Zone 生产区,造成安全合规风险
|
||
- Checkpoint SPI 功能以默认拒绝(Default Deny)为基础,仅放行业务必需的服务和网络段
|
||
- AWS SSM 提供基于浏览器的会话和 AWS CLI 远程访问,无需 VPN,消除对第三方管理的依赖
|
||
- 用户通过假设 IAM Role 获得目标 EC2 上 SSM Agent 的访问权限,继承既有访问控制
|
||
- SSM 方案安全性优势:双因素认证 + AWS 网络内安全连接
|
||
- SSM 作为临时/备份方案,最终目标是 IaC + Break-glass 应急访问
|
||
- 当前方案不解决凭证被盗风险,仅实现网络隔离
|
||
|
||
## Key Quotes
|
||
> "The primary driver for this initiative is to address security concerns related to internal systems accessing production workloads in the new AWS landing zones." — 问题背景
|
||
> "SPI features will be enabled with default deny enabled and allowances made for require services and network segments into the landing zones." — Checkpoint 配置策略
|
||
> "Authenticated users will assume roles granting access to the SSM agent on the target EC2 instance, leveraging existing access controls." — SSM 访问机制
|
||
> "SSM gives users remote access via a browser based session." — SSM 核心价值
|
||
|
||
## Key Concepts
|
||
- [[Network-Segmentation]]:通过防火墙检查点控制服务器间通信,阻止内部网络直接访问云端网段的安全策略
|
||
- [[Zero-Trust-Access]]:基于 IAM Role 和 SSM Agent 的远程访问机制,替代传统 VPN 的零信任访问模式
|
||
- [[AWS-Landing-Zone]]:AWS Landing Zone 的多账户架构与网络隔离设计原则
|
||
|
||
## Key Entities
|
||
- [[AWS-Landing-Zone]]:AWS 多账户 Landing Zone 架构,当前被 On-prem/VPN 用户共享网络配置所威胁
|
||
- [[AWS-SSM]]:核心安全访问工具,提供浏览器会话和 CLI 两种远程访问方式
|
||
- [[Checkpoint-Firewall]]:用于 SPI(Stateful Packet Inspection)网络隔离的防火墙,实现 Default Deny 策略
|
||
|
||
## Connections
|
||
- [[AWS-Landing-Zone]] ← addresses_security_concerns ← [[Network-Segmentation]]
|
||
- [[AWS-Landing-Zone]] ← secure_access ← [[AWS-SSM]]
|
||
- [[AWS-SSM]] ← temporary_solution_for ← [[SD-WAN]]
|
||
- [[Checkpoint-Firewall]] ← enforces ← [[Network-Segmentation]]
|
||
|
||
## Contradictions
|
||
- 与传统 VPN 接入方案存在替代关系:
|
||
- 冲突点:VPN 提供通用远程接入,但无法精细控制到单个 AWS 网段
|
||
- 当前观点:SSM 取代 VPN 作为 AWS Landing Zone 的安全访问手段
|
||
- 对方观点:VPN 仍是部分场景(通用办公网络)的必要访问方式
|
||
- 与 [[SD-WAN]] 的关系:
|
||
- 当前观点:SSM 是 SD-WAN 落地前的临时方案
|
||
- 未来观点:SD-WAN 部署后将从网络层解决跨区域安全互联问题
|