ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
480d64ae81f09545cb7c7d04e2b64e5d9fa4f372
nexus/wiki/sources/ctp-topic-55-aws-firewall-manager.md

50 lines
3.9 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
title: "CTP Topic 55 AWS Firewall Manager"
type: source
tags: [AWS, Firewall-Manager, Security, CTP, Landing-Zones]
date: 2026-04-14
---
## Source File
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager]]
## Summary用中文描述
- 核心主题AWS Firewall Manager 在 Grand Torque 多 Landing Zone 环境中的集中化安全策略管理实践
- 问题域:跨多个 Landing ZoneRLABS、R&D、SAS、CAT管理安全策略的复杂性Checkpoint Firewall 无法覆盖的流量安全问题
- 方法/机制:通过 Firewall Manager 账户创建安全组策略,使用 AWS Config + Lambda 触发事件自动修复,结合 RAM 共享前缀列表实现跨账户规则同步
- 结论/价值:集中化管理、缩短安全策略部署时间、解决 QALIS 等共享服务扫描问题;支持 WAF 规则统一管理
## Key Claims用中文描述
- Firewall Manager 可跨多个 Landing Zone 统一部署基线安全组策略,解决多环境安全策略不一致问题
- 三种安全策略类型:通用安全组(附加基线允许产品团队自增)、审计与强制安全组规则(拒绝过度宽松规则,支持自动修复)、清理未使用冗余安全组
- Firewall Manager 账户独立于任何 Landing Zone支持跨 Landing Zone 部署
- RAM 前缀列表机制可跨账户轻松共享和更新安全组规则
## Key Quotes
> "We have gone through these policies and we come up with some baseline security groups." — 团队审查现有策略后制定基线安全组
> "RAM is like it's a tool available within this AWS where you can specify or you can share your AWS resources to any other account that you wanted to specify." — RAM 用于跨账户资源共享
> Demo 演示:在 Firewall Manager 账户创建通用安全组策略后,关联的 playground 账户中已存在的 EC2 实例和新启动的 EC2 实例均自动附加了安全组;删除策略后安全组自动从实例移除
## Key Concepts
- [[Security-Group]]AWS 安全组作为实例级别的有状态防火墙规则Firewall Manager 三种策略均围绕安全组展开
- [[Prefix-List]]:前缀列表,用于跨账户共享和更新安全组规则;通过 RAM 共享
- [[Auto-Remediation]]自动修复Firewall Manager 策略可自动修复不合规的安全组规则
- [[WAF-Rules-Management]]Firewall Manager 还支持集中管理 WAF 规则,允许产品团队在基线规则上追加额外规则集
## Key Entities
- [[AWS-Firewall-Manager]]AWS Firewall Manager 是集中配置防火墙规则和安全规则的管理服务,支持跨组织和账户的统一安全策略部署
- [[Landing-Zones]]AWS Landing ZonesGrand Torque 存在 RLABS、R&D、SAS、CAT 多个 Landing Zone各有不同的安全要求
- [[QALIS]]:产品账户实例扫描服务,通过 Firewall Manager 解决跨账户扫描的网络可达性问题
- [[Checkpoint-Firewall]]:原有防火墙方案,存在安全组规则过于宽松的问题,无法完全覆盖通过公网子网的流量
## Connections
- [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]] ← relates_to ← [[ctp-topic-55-aws-firewall-manager]]
- [[ctp-topic-37-secrets-certificates-management]] ← same_domain ← [[ctp-topic-55-aws-firewall-manager]](均属于 07_Security 类别)
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← related_security ← [[ctp-topic-55-aws-firewall-manager]]
## Contradictions
- 与 [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] 中的 Checkpoint Firewall 方案关系:
- 冲突点Checkpoint Firewall 原有安全组规则过于宽松,新方案引入 Firewall Manager 基线安全组
- 当前观点Firewall Manager 补充 Checkpoint提供更细粒度的安全组基线控制
- 对方观点Checkpoint 作为网络边界防火墙Firewall Manager 覆盖实例级别安全策略(互补而非冲突)
Reference in New Issue View Git Blame Copy Permalink