nexus/wiki/sources/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md

title, type, tags, date

title	type	tags	date
CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security	source		2026-04-14

Source File

• Cloud & DevOps/Public-Cloud-Learning-Sessions/10_OpenText-Series/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md

Summary（用中文描述）

• 核心主题：AWS Landing Zone 环境下的资源数据收集、标签体系及基于标签的安全控制策略
• 问题域：如何在大规模多账号云环境中实现标准化资源管理、标签规范落地、以及动态化的安全策略执行
• 方法/机制：采用 OU（组织单元）分层 + SCP（安全控制策略） + 标签匹配的三层防护架构；通过 Checkpoint Firewall 基于标签的策略集实现动态流量控制，替代传统的 IP 地址规则；标签体系涵盖机器名、所有者（PDL）、类型、业务单元、产品、环境、服务器角色等维度；防火墙策略层按地理封锁 → 类型 → BU → 产品 → 环境 → 角色顺序逐层检查
• 结论/价值：基于标签的策略使云环境具备动态伸缩能力，无需频繁调整防火墙规则；标签驱动的 SCP 可确保资源标记合规性和安全 posture 正确性

Key Claims（用中文描述）

• 组织通过 OU 分层架构和标签校验机制，确保迁移至云端的资源正确标记并应用必要的安全控制（如：普通 ADM 用户无法擅自将标签改为 ITOM）
• SCP（Security Control Policy）是基于标签匹配的拒绝策略，控制特定账号可使用的标签值，防止不合规资源进入云环境
• 基于标签的防火墙策略集实现了动态云环境，策略以标签为依据而非 IP 地址，大幅减少防火墙规则维护工作量
• 标签体系是云迁移规划的前提：收集机器信息 → 理解迁移范围 → 应用正确标签 → 触发安全策略
• 防火墙策略的分层设计（Ordered Layers + Inline Layers）提供细粒度的流量管控：Ordered Layers 要求流量逐层通过，Inline Layers 采用基于账号编号的父子规则结构

Key Quotes

"We ask a lot of questions so that we can then turn around and make sure we're putting the appropriate posture in the cloud and that we're protecting the resources appropriately." — 关于云迁移前的标签规划重要性 "Inter product is not allowed. Inter product is communications allowed." — 关于跨产品线通信的防火墙默认策略

Key Concepts

• AWS-Landing-Zone：AWS 多账号环境的基础架构框架，包含 OU、SCP、账号结构等核心组件
• SCP（Security-Control-Policy）：基于标签匹配的拒绝策略，控制特定 OU 中可使用的标签值
• Resource-Tagging：云资源的关键元数据体系，涵盖机器名、所有者、类型、业务单元、产品、环境、服务器角色等维度
• Ordered-Layer：防火墙策略层，要求流量依次通过各层检查，全部通过方可放行
• Inline-Layer：基于账号编号的父子规则结构，简化跨账号策略管理
• Checkpoint-Firewall：在 Landing Zone 中部署的下一代防火墙，支持基于标签的动态策略

Key Entities

• Pradeep：本主题演示者（Demonstrator），负责 Checkpoint Firewall 和 EC2 部署演示
• AWS：云服务提供商，Landing Zone 架构的承载平台
• Checkpoint：防火墙供应商，在 Frankfurt Landing Zone 部署防火墙策略集

Connections

• CTP-Topic-7-SaaS-Landing-Zone-Design ← foundational ← CTP-Topic-10-AWS-Landing-Zone-LZ-Data-Collection-Tagging-Security（Topic 7 定义 LZ 设计原则，Topic 10 补充标签驱动的安全实现）
• CTP-Topic-31-Network-Segregation-AWS-Landing-Zones ← extends ← CTP-Topic-10-AWS-Landing-Zone-LZ-Data-Collection-Tagging-Security（Topic 31 聚焦网络隔离，本主题提供标签驱动的安全策略执行层）
• CTP-Topic-25-Labs-Landing-Zone-Overview-ITOM ← related ← CTP-Topic-10-AWS-Landing-Zone-LZ-Data-Collection-Tagging-Security（均涉及 ITOM 团队的 LZ 运维视角）
• CTP-Topic-28-AWS-Tag-Validation-Tool ← complements ← CTP-Topic-10-AWS-Landing-Zone-LZ-Data-Collection-Tagging-Security（Topic 10 阐述标签用途，Topic 28 提供标签验证工具支撑）

Contradictions

• 与 CTP-Topic-7-SaaS-Landing-Zone-Design 存在表述角度差异：
  • 冲突点：Topic 7 强调 LZ 的账号/OUs 顶层设计，Topic 10 强调标签驱动的运行时安全控制
  • 当前观点：标签 + SCP 组合是 LZ 落地的关键执行层，标签策略与账号结构同等重要
  • 对方观点：Topic 7 将账号架构置于更核心位置，标签为辅助属性
  • 结论：两者视角互补而非矛盾——账号结构定义组织边界，标签驱动安全策略执行，共同构成完整的 LZ 治理体系