2.2 KiB
2.2 KiB
title, type, tags, last_updated
| title | type | tags | last_updated | ||||
|---|---|---|---|---|---|---|---|
| Checkpoint | entity |
|
2026-04-14 |
Overview
Checkpoint(Check Point Software Technologies)是全球领先的网络安全解决方案提供商,其防火墙产品在该组织的 AWS Landing Zone 架构中扮演关键角色。Checkpoint 防火墙通过读取 AWS 资源的标签值(Tags)来动态配置网络访问策略,这意味着资源标签的有效性直接影响网络连通性。
Role in AWS Landing Zone
在企业 AWS 架构中,Checkpoint 防火墙与 AWS 资源标签紧密集成:
- 读取标签来源:EC2 实例、安全组(Security Groups)、负载均衡器(Load Balancers)
- 基于标签决策:根据标签键值对判断资源所属环境(dev/staging/prod)、成本中心、负责人等属性
- 动态网络策略:根据标签值自动应用相应的网络访问控制规则
网络安全依赖链
AWS 资源标签(Tag)→ Checkpoint 防火墙读取 → 网络访问策略配置
↑
标签缺失或无效
↓
相关网络流量被拦截
Impact of Tag Non-Compliance
当 AWS 资源缺少必需标签或标签值不在允许列表中时:
- Checkpoint 防火墙无法识别资源身份
- 无法将资源匹配到正确的网络策略
- 防火墙执行默认拒绝策略,拦截该资源的所有网络流量
- 导致服务中断或连接失败
这使得 标签合规性从"可选管理实践"变为"网络安全硬性要求"。
Solutions
| 机制 | 作用 | 局限性 |
|---|---|---|
| Service-Control-Policies-SCPs | 阻止不合规新资源创建 | 无法修复存量资源 |
| Tag-Validation-Tool | 审计存量资源标签合规性 | 仅审计,需人工修复 |
Related Concepts
- AWS-Tags:Checkpoint 读取的元数据
- AWS-Tagging-Standards:标签规范的定义
- Tag-Validation-Tool:确保标签合规性的工具
- Service-Control-Policies-SCPs:强制执行标签规范的上游机制
- Checkpoint-Firewall:(同义词,可互链)