nexus/wiki/sources/ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones.md

title, type, tags, date

title	type	tags	date
CTP Topic 31 Network Segregation and Secure Access to the New AWS Landing Zones	source	AWS Network-Security Landing-Zone CTP	2026-04-14

Source File

• Cloud & DevOps/Public-Cloud-Learning-Sessions/08_Networking/ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones

Summary（用中文描述）

• 核心主题：通过网络隔离与安全访问控制，解决企业内部系统直接访问 AWS Landing Zone 生产负载的安全与合规问题
• 问题域：On-prem 系统和 VPN 用户因共享网络配置而能访问 AWS 生产区，存在安全合规风险
• 方法/机制：
  • 网络隔离：使用 Checkpoint 防火墙建立检查点（SPI），默认拒绝通行，仅放行业务所需服务和网段
  • 安全访问：通过 AWS Systems Manager (SSM) 实现远程访问，用户假设 IAM Role 直连 EC2 上的 SSM Agent，无需 VPN
• 结论/价值：SSM 方案作为 SD-WAN 落地前的临时方案，具有双因素认证、安全连接、零第三方依赖的优势；长期目标是 IaC 化以减少控制台访问

Key Claims（用中文描述）

• On-prem 系统和 VPN 用户因共享网络配置可访问 AWS Landing Zone 生产区，造成安全合规风险
• Checkpoint SPI 功能以默认拒绝（Default Deny）为基础，仅放行业务必需的服务和网络段
• AWS SSM 提供基于浏览器的会话和 AWS CLI 远程访问，无需 VPN，消除对第三方管理的依赖
• 用户通过假设 IAM Role 获得目标 EC2 上 SSM Agent 的访问权限，继承既有访问控制
• SSM 方案安全性优势：双因素认证 + AWS 网络内安全连接
• SSM 作为临时/备份方案，最终目标是 IaC + Break-glass 应急访问
• 当前方案不解决凭证被盗风险，仅实现网络隔离

Key Quotes

"The primary driver for this initiative is to address security concerns related to internal systems accessing production workloads in the new AWS landing zones." — 问题背景 "SPI features will be enabled with default deny enabled and allowances made for require services and network segments into the landing zones." — Checkpoint 配置策略 "Authenticated users will assume roles granting access to the SSM agent on the target EC2 instance, leveraging existing access controls." — SSM 访问机制 "SSM gives users remote access via a browser based session." — SSM 核心价值

Key Concepts

• Network-Segmentation：通过防火墙检查点控制服务器间通信，阻止内部网络直接访问云端网段的安全策略
• Zero-Trust-Access：基于 IAM Role 和 SSM Agent 的远程访问机制，替代传统 VPN 的零信任访问模式
• AWS-Landing-Zone：AWS Landing Zone 的多账户架构与网络隔离设计原则

Key Entities

• AWS-Landing-Zone：AWS 多账户 Landing Zone 架构，当前被 On-prem/VPN 用户共享网络配置所威胁
• AWS-SSM：核心安全访问工具，提供浏览器会话和 CLI 两种远程访问方式
• Checkpoint-Firewall：用于 SPI（Stateful Packet Inspection）网络隔离的防火墙，实现 Default Deny 策略

Connections

• AWS-Landing-Zone ← addresses_security_concerns ← Network-Segmentation
• AWS-Landing-Zone ← secure_access ← AWS-SSM
• AWS-SSM ← temporary_solution_for ← SD-WAN
• Checkpoint-Firewall ← enforces ← Network-Segmentation

Contradictions

• 与传统 VPN 接入方案存在替代关系：
  • 冲突点：VPN 提供通用远程接入，但无法精细控制到单个 AWS 网段
  • 当前观点：SSM 取代 VPN 作为 AWS Landing Zone 的安全访问手段
  • 对方观点：VPN 仍是部分场景（通用办公网络）的必要访问方式
• 与 SD-WAN 的关系：
  • 当前观点：SSM 是 SD-WAN 落地前的临时方案
  • 未来观点：SD-WAN 部署后将从网络层解决跨区域安全互联问题