64 lines
5.1 KiB
Markdown
64 lines
5.1 KiB
Markdown
---
|
||
title: "CTP Topic 31 Network Segregation and Secure Access to the New AWS Landing Zones"
|
||
type: source
|
||
tags:
|
||
- AWS
|
||
- Network-Security
|
||
- Landing-Zone
|
||
- CTP
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/08_Networking/ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones.md]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:AWS Landing Zone 网络隔离与安全远程访问方案
|
||
- 问题域:内部网络(On-prem / VPN 用户)对 AWS Landing Zone 生产工作负载的未授权访问风险
|
||
- 方法/机制:① 网络隔离——Checkpoint 防火墙实现 default-deny 的 SPI 模型,阻断内部网络对 AWS 网段的直接连通;② 安全访问——AWS Systems Manager (SSM) 替代 VPN,提供基于浏览器的安全远程连接
|
||
- 结论/价值:该方案作为 SD-WAN 实施前的过渡方案,以更低成本和更快速度解决紧急安全风险;长期目标是 IaC 化以消除控制台访问
|
||
|
||
## Key Claims(用中文描述)
|
||
- 内部网络与 VPN 用户因共享网络配置而可访问 AWS Landing Zone 生产工作负载,构成安全与合规风险
|
||
- Checkpoint 防火墙启用 SPI(Security Policy Infrastructure)特性,默认 deny,仅放行必要服务和网段到 Landing Zone
|
||
- AWS SSM 通过 IAM 角色假设 + SSM Agent 实现远程访问,无需 VPN,支持浏览器会话和 AWS CLI 两种模式
|
||
- SSM 远程访问提供双因素认证保障,连接位于 AWS 网络内部,安全性高于传统 VPN
|
||
- 当前方案定位于 SD-WAN 实施前的临时/备份方案,主要优势是降低成本和提升部署速度
|
||
- 长期安全演进方向:IaC 化以减少控制台访问,break-glass 访问仅保留用于紧急场景
|
||
- 当前方案聚焦网络隔离,不解决凭证被盗问题
|
||
|
||
## Key Quotes
|
||
> "The primary driver for this initiative is to address security concerns related to internal systems accessing production workloads in the new AWS landing zones." — 背景动机:内部系统对生产工作负载的访问安全风险
|
||
|
||
> "The SPI features will be enabled with default deny enabled and allowances made for require services and network segments into the landing zones." — 核心机制:Checkpoint SPI 默认拒绝策略
|
||
|
||
> "Authenticated users will assume roles granting access to the SSM agent on the target EC2 instance, leveraging existing access controls." — SSM 访问控制机制:基于 IAM 角色假设
|
||
|
||
> "SSM gives users remote access via a browser based session." — SSM 核心价值:浏览器远程会话替代 VPN
|
||
|
||
## Key Concepts
|
||
- [[AWS-Landing-Zone]]:AWS 多账户架构框架,包含核心账户、基线账户、共享服务账户和产品账户
|
||
- [[AWS-Systems-Manager-SSM]]:AWS 托管的远程管理服务,通过 SSM Agent 实现安全的无 VPN 远程访问,支持浏览器会话和 AWS CLI 模式
|
||
- [[Network-Segregation]]:网络隔离策略,通过 Checkpoint 防火墙实现默认拒绝(default-deny),仅放行经授权的服务和网段通信
|
||
- [[SPI-Security-Policy-Infrastructure]]:安全策略基础设施,在 Checkpoint 防火墙上强制执行网络分段,控制服务器间通信并阻断内部网络对 AWS 网段的直接访问
|
||
- [[SD-WAN]]:软件定义广域网,组织的长期远程访问演进目标,当前 SSM 方案作为 SD-WAN 实施前的过渡方案
|
||
|
||
## Key Entities
|
||
- [[Checkpoint]]:网络安全设备供应商,提供 Landing Zone 间网段隔离的防火墙能力,依赖 AWS 标签值动态配置访问策略
|
||
|
||
## Connections
|
||
- [[ctp-topic-18-wide-area-networking-in-aws-cloud]] ← related_to ← [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]
|
||
- 关联点:同属 AWS Landing Zone 网络知识体系,Topic 18 聚焦广域网架构(Transit Gateway / SD-WAN),Topic 31 聚焦网络隔离与安全访问
|
||
- [[ctp-topic-25-labs-landing-zone-overview-itom-teams]] ← related_to ← [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]
|
||
- 关联点:Topic 25 的 Labs LZ 运维视角涉及 VPN 远程访问需求,与 Topic 31 的 SSM 安全访问方案存在技术演进关系
|
||
- [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]] ← extends ← [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]
|
||
- 关联点:Topic 35 明确提及"网络分段阻断对 SaaS 工作负载的直接连通性",是 Topic 31 所描述方案的设计依据
|
||
|
||
## Contradictions
|
||
- 与 [[ctp-topic-18-wide-area-networking-in-aws-cloud]] 存在视角差异:
|
||
- 冲突点:Topic 18 强调广域网连通性(Transit Gateway Peering / SD-WAN / Pulse VPN 迁移至 Prisma Access),关注如何打通网络
|
||
- Topic 31 视角:网络隔离的首要目标是阻断内部网络对 AWS 的直接访问,关注如何限制连通性
|
||
- 对方观点:Topic 18 的演进路线中,Prisma Access (SASE) 将提供更安全的远程接入方案
|
||
- 当前观点:Topic 31 主张 SSM 作为过渡方案,在 SD-WAN 实施前优先解决网络安全隔离问题
|
||
- 调和建议:两者互补——Topic 31 解决内部网络隔离的短期安全问题,Topic 18 规划长期广域网演进路径(SD-WAN / SASE)
|