nexus/wiki/sources/ctp-topic-55-aws-firewall-manager.md

title, type, tags, date

title	type	tags	date
CTP Topic 55 AWS Firewall Manager	source	AWS Firewall-Manager Security CTP Landing-Zones	2026-04-14

Source File

• Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-55-aws-firewall-manager

Summary（用中文描述）

• 核心主题：AWS Firewall Manager 在 Grand Torque 多 Landing Zone 环境中的集中化安全策略管理实践
• 问题域：跨多个 Landing Zone（RLABS、R&D、SAS、CAT）管理安全策略的复杂性，Checkpoint Firewall 无法覆盖的流量安全问题
• 方法/机制：通过 Firewall Manager 账户创建安全组策略，使用 AWS Config + Lambda 触发事件自动修复，结合 RAM 共享前缀列表实现跨账户规则同步
• 结论/价值：集中化管理、缩短安全策略部署时间、解决 QALIS 等共享服务扫描问题；支持 WAF 规则统一管理

Key Claims（用中文描述）

• Firewall Manager 可跨多个 Landing Zone 统一部署基线安全组策略，解决多环境安全策略不一致问题
• 三种安全策略类型：通用安全组（附加基线允许产品团队自增）、审计与强制安全组规则（拒绝过度宽松规则，支持自动修复）、清理未使用冗余安全组
• Firewall Manager 账户独立于任何 Landing Zone，支持跨 Landing Zone 部署
• RAM 前缀列表机制可跨账户轻松共享和更新安全组规则

Key Quotes

"We have gone through these policies and we come up with some baseline security groups." — 团队审查现有策略后制定基线安全组 "RAM is like it's a tool available within this AWS where you can specify or you can share your AWS resources to any other account that you wanted to specify." — RAM 用于跨账户资源共享 Demo 演示：在 Firewall Manager 账户创建通用安全组策略后，关联的 playground 账户中已存在的 EC2 实例和新启动的 EC2 实例均自动附加了安全组；删除策略后安全组自动从实例移除

Key Concepts

• Security-Group：AWS 安全组，作为实例级别的有状态防火墙规则；Firewall Manager 三种策略均围绕安全组展开
• Prefix-List：前缀列表，用于跨账户共享和更新安全组规则；通过 RAM 共享
• Auto-Remediation：自动修复，Firewall Manager 策略可自动修复不合规的安全组规则
• WAF-Rules-Management：Firewall Manager 还支持集中管理 WAF 规则，允许产品团队在基线规则上追加额外规则集

Key Entities

• AWS-Firewall-Manager：AWS Firewall Manager 是集中配置防火墙规则和安全规则的管理服务，支持跨组织和账户的统一安全策略部署
• Landing-Zones：AWS Landing Zones，Grand Torque 存在 RLABS、R&D、SAS、CAT 多个 Landing Zone，各有不同的安全要求
• QALIS：产品账户实例扫描服务，通过 Firewall Manager 解决跨账户扫描的网络可达性问题
• Checkpoint-Firewall：原有防火墙方案，存在安全组规则过于宽松的问题，无法完全覆盖通过公网子网的流量

Connections

• ctp-topic-35-aws-landing-zone-design-refresher-saas-labs ← relates_to ← ctp-topic-55-aws-firewall-manager
• ctp-topic-37-secrets-certificates-management ← same_domain ← ctp-topic-55-aws-firewall-manager（均属于 07_Security 类别）
• ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security ← related_security ← ctp-topic-55-aws-firewall-manager

Contradictions

• 与 ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security 中的 Checkpoint Firewall 方案关系：
  • 冲突点：Checkpoint Firewall 原有安全组规则过于宽松，新方案引入 Firewall Manager 基线安全组
  • 当前观点：Firewall Manager 补充 Checkpoint，提供更细粒度的安全组基线控制
  • 对方观点：Checkpoint 作为网络边界防火墙，Firewall Manager 覆盖实例级别安全策略（互补而非冲突）