nexus/wiki/sources/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md at d2ae5b39488b8e76e70d71a6881ee53caeefa2dc

ishenwei/nexus

Fork 0

Files

Shen Wei f09834b5a5 Update nexus: fix conflicts and sync local changes

2026-04-26 12:06:50 +08:00

4.9 KiB

Raw Blame History

title, type, tags, date

title

type

Source File

Cloud & DevOps/Public-Cloud-Learning-Sessions/10_OpenText-Series/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security

Summary（用中文描述）

核心主题：AWS Landing Zone 部署过程中数据收集策略，以及基于资源标签的云原生安全架构
问题域：企业云迁移过程中如何理解待上云资产、如何通过标签机制实现精细化的访问控制和安全策略
方法/机制：
- OU + SCP 分层治理：通过组织单元（OU）和 Service Control Policies（SCP）强制执行标签规范
- 标签即凭证：将 AWS 资源标签作为防火墙策略的动态匹配条件，替代传统基于 IP 的静态规则
- Checkpoint 有序层防火墙：按优先级执行地理屏蔽 → 类型检查 → BU 隔离 → 产品隔离 → 环境隔离 → 角色检查
- Inline 层结构：基于账号号的父子规则架构，简化跨账户策略管理
结论/价值：从"IP 地址"到"标签"的策略范式转变，使动态云环境无需频繁更新防火墙规则；标签缺失或篡改会触发 SCP 拒绝策略，确保安全合规

Key Claims（用中文描述）

Landing Zone 部署前必须深入了解 BU 资产清单、IP 地址空间及数据敏感性
DNS、Transit Gateway 等基础服务通过 SRE 团队实现高度自动化
基于标签的安全控制：传统基于 IP 的防火墙规则无法适应云环境动态性，标签机制将安全凭证嵌入资源本身
SCP 强制标签规范：「显式拒绝」逻辑防止用户通过篡改标签绕过审计，确保资源创建时即具备正确的 BU/产品/环境归属
Checkpoint 防火墙有序层：按优先级执行地理屏蔽 → BU 隔离 → 产品隔离 → 环境隔离，实现跨 VPC/On-prem/互联网的精细化流量控制
标签示例包括：机器名、Owner（优先使用 PDL）、Type（R&D 等）、Business Unit、Product、Environment（production 等）、Server Role、Account、App ID
产品间通信默认禁止（Inter product is not allowed）
Inline 层检查账号号，简化规则管理并支持自动化

Key Quotes

"We ask a lot of questions so that we can then turn around and make sure we're putting the appropriate posture in the cloud and that we're protecting the resources appropriately." — Steve Jarman，阐述云迁移前的准备工作重心

"Inter product is not allowed. Inter product is communications allowed." — Pradeep，描述产品间隔离的默认安全策略

Key Concepts

Service-Control-Policies-SCPs：AWS Organizations 策略类型，通过「显式拒绝」逻辑强制执行标签规范，阻止不合规资源创建
Checkpoint-Firewall：防火墙供应商，依赖 AWS 标签值配置动态网络访问策略
AWS-Landing-Zone：AWS 云环境的最佳实践起点框架，定义账户结构、网络、安全和访问管理
Tag-Based-Security：将资源标签作为安全凭证，替代传统基于 IP 的防火墙规则
OU-Layered-Security：通过组织单元（OU）的分层结构检查标签，确保正确归属和访问控制

Key Entities

Steve-Jarman：CTP Topic 10 主讲人之一，阐述云迁移前的准备工作
Pradeep：CTP Topic 10 主讲人，演示 Checkpoint 防火墙配置和 EC2 部署示例
Checkpoint：防火墙供应商，负责基于标签的动态网络安全策略
AWS-Organizations：AWS 服务，提供 SCP 策略机制支持标签强制执行

Connections

Contradictions

与 ctp-topic-28-aws-tag-validation-tool 在标签治理覆盖范围上存在差异：
- 冲突点：SCPs 的标签强制能力边界
- 当前观点（Topic 10）：SCPs 通过「显式拒绝」阻止不合规资源创建，确保标签在资源创建时就正确
- 对方观点（Topic 28）：SCPs 可阻止不合规资源创建，但无法修复存量资源，存量合规性需通过 Tag Validation Tool 审计发现
- 协调说明：两者互补而非矛盾——SCP 负责预防（新资源准入控制），Tag Validation Tool 负责发现（存量资源合规审计）

4.9 KiB Raw Blame History Unescape Escape

Source File

Summary（用中文描述）

Key Claims（用中文描述）

Key Quotes

Key Concepts

Key Entities

Connections

Contradictions

4.9 KiB

Raw Blame History