saleem-yousaf/cloud-landing-zones

# 🌍 云落地区加速器（AWS | Azure | GCP | OCI） 采用基础设施即代码并内置威胁检测，提供安全的生产就绪型云基础。 ## 🚀 问题 大多数云项目在交付任何实际价值之前，都要花费数周时间重建相同的基础： * 网络 * 身份 * 日志 * 安全控制 ## 💡 解决方案 本仓库提供开箱即用的落地区加速器，具备以下特性： * 🔐 安全性设计 * ⚙️ 采用基础设施即代码构建 * 📊 可观测且具备威胁感知能力 * ☁️ 多云（AWS、Azure、GCP、OCI） 👉 数分钟内而非数周内部署安全的云基础。 ## 📊 架构概览 ### AWS [AWS](aws/diagrams/aws-landing-zone.png) ### Azure [Azure](azure/diagrams/azure-landing-zone.png) ### GCP [GCP](gcp/diagrams/gcp-landing-zone.png) ## 🧱 包含内容 ### ☁️ AWS * 基于组织的多账户架构 * VPC 分段（公有 / 私有 / 隔离） * GuardDuty、CloudTrail 和日志基线 * Terraform 启动模板 ### ☁️ Azure * 管理组与订阅模型 * 集线器-辐条网络 * Defender 与日志分析基线 * Bicep 与 Terraform ### ☁️ GCP * 组织 → 文件夹 → 项目模型 * 共享 VPC 设计 * IAM 与日志基线 * Terraform 启动模板 ### ☁️ OCI（可选） * 基于隔间的落地区 * VCN、IAM 与 Cloud Guard 概念 ## 🔐 以安全为先的设计 所有落地区均包含： * 最小权限访问模型 * 集中式日志 * 网络分段 * 策略强制执行 * 安全默认设置（默认不公开暴露） ## 🎯 STRIDE → 威胁狩猎（与众不同之处） 大多数落地区设计止步于架构。 本方案更进一步，将威胁建模与检测工程相链接。 STRIDE | 检测重点 Spoofing | 可疑登录 / 角色假设 Tampering | 策略与配置漂移 Repudiation | 未授权的高权限操作 Information Disclosure | 数据外泄模式 Denial of Service | 流量突增 / 滥用 Privilege Escalation | 角色变更与敏感 API 调用 👉 查看完整映射：`docs/stride-threat-hunting-mappings.md` ## ⚙️ 快速开始 ``` # Example (AWS Terraform) cd aws/terraform terraform init terraform apply ``` ## 🧠 重要性 落地区不仅仅是基础设施。 它也是： * 您的安全边界 * 您的审计证据来源 * 您的事件调查基础 如果构建错误，其上的一切都将面临风险。 ## 🧠 适用对象 * 安全架构师 * 云工程师 * 平台团队 * 构建安全云环境的组织 ## 👤 作者 Saleem Yousaf 网络安全架构师 | 云安全 | 零信任 ## ⭐ 如果有帮助 如果本仓库对您有帮助： * 给仓库点 ⭐ 星标 * 分享它 * 提出改进建议

标签：AMSI绕过, AWS, Azure, Bicep, CSV导出, DNS 解析, DPI, EC2, ECS, GCP, IaC, Lerna, Modbus, SEO: IaC 模板, SEO: 云落地中心, SEO: 多云安全, STRIDE, StruQ, Terraform, 云落地中心, 多云, 威胁建模, 威胁检测, 安全优先, 安全设计, 快速部署, 日志, 最小权限, 漏洞利用检测, 生产就绪, 监控, 策略执行, 网络分段, 身份管理, 集中日志