阿里云+跨国企业上云登陆区（Landing+Zone）白皮书

112 2 8.在阿里云构建上云登陆区(LandingZone)最佳实践 238.1.概述 238.2.资源管理 278.3.财务管理 31 8.5.身份权限 448.6.安全防护 488.7.合规审计 538.8.运维管理 5838.9.自动化 63 9.1.迪卡侬 689.2.巴斯夫 71 41.法律声明52.出品信息联合出品方：埃森哲(中国)有限公司沈绎(夏巴)、黄永法(仁宇)牛婉婷(绎欣)、陈海涛(骁天)、张晓锐(新洲)、张玉峰(与风)、曲骏、周玥琳、唐雨微、李鹏飞(淘飞)戴虹(埃森哲阿里事业部董事总经理、智能云服务创新中心主管)姚靖宇(埃森哲阿里事业部董事总经理)李津(阿里云智能全球技术服务部总经理)袁千(阿里云智能国际事业部总经理)宋瑛桥(阿里云智能国际事业部副总裁)祝顺民(阿里云智能云网络总经理)欧阳欣(阿里云智能云安全总经理)何登成(阿里云智能开放平台总经理)63.序言了这本《跨国企业上云登陆区(LandingZone)白皮书》。白皮书不仅从跨国企业用户的角度分析了企T74.背景T 局8m95.跨国企业上云洞察业有这些企业通常业务部门众多(100个以上，含门店、工厂、业务点等)，而上云IT架构作为支撑其业务由于跨国企业部门和分支机构众多，资源权限管理和云资源的使Tne和国境内运营中收集和产生的重要数据须以境内本地化存储为云“三法”的介绍6.行业领先的云治理框架IT为T的敏捷性保持一致的自动化审批(ITSM)工作流。同时，可以使用部署管理系统来跟踪并实施变更，通过T7.跨国企业上云建议2.基于数据资产安全合规要求(“三法”)，亟需在本地进行云架构治理。从上图可直观看出，跨国企业选用LandingZone的原因可以归纳为企业用云的成熟度(纵向线)以及用云以外的原因反推动对云的要求(横向的面)，在这些原因的综合影响下，跨国企业会采用LandingZone(线和面的交叉点)。从这个面上看，跨国企业客户将面临来自内部(企业全球总部的要求)和外部 (安全合规需求和应对市场竞争的要求)的挑战。而就纵向而言，随着企业用云的深入，不可避免地需要ngZonee建立强壮合作伙伴网络与本土企业(如云供应商等)和渠道高效合作；8.在阿里云构建上云登陆区(LandingZone)最佳实践8.1.概述如果将跨国企业上云比作建造一栋现代化的大楼，我们将如何去规划和设计地基(LandingZone)？T当8.2.资源管理考虑的问题，这里提到的资源主要包括账号资源(Accounts)以及云资源(Resources)，资源管理主要。基于此，我们建议上云之初就规划采用多账号、结构化的资源(账号)管理架构，通过合理的组织结构和的账号规范以及资源管控隔离的需求，我们通常建议设置一个主账号(MA:Masterts进行设计，如：环境(开发、测试、生产)、成本中心、应用、业务线、部门等。o情况，客户可以使用成本中心(costcenter)、业务单元(businessunit)或者项目组(project)户也可以轻松地将成本与技术或安全性维度作为分账维度，例如特定应用(application)、环境 (env)等。符。8.3.财务管理。财务托管财务管理商务优惠企业可以采用财务托管的模式，从而将主账号(如财务部门管理账号)设置为折扣生效的目标账号。这么.成本监控成本账单费用分析以多维度查看资源成本的趋势(最大支持12个月)、查看全面的成本组成结构、进行未来成本的预8.4.网络规划发测试，北务使用TR多张路由表能力，支持建立可信流量(防火墙处理后)和不可信流量(防火墙处理前)等不使用网络智能服务(NIS)产品作为统一的监控平台，结合VPC流日志(Flowlog)功能进行实例诊断、智能检测流量分析智能拓扑o速验证网络配置。8.5.身份权限当身份、权限发生变化(如新增用户，用户职责发生变化，员工离职、转岗等)时，可以做到持续管流动(离职、转岗等)，账号和权限变更需求多，有账号泄密风险。假设企业在本地IdPOkta中有大量用户，且已在阿里云资源目录(ResourceDirectory)中搭建了单点登录(SSO登录)的方式直接访问资源目录指定成员账号中的指定资源。可以先配置SSO登点登录云SSO支持基于SAML2.0的单点登录(SSO登录)。阿里云是服务提供商(SP)，而企业自有的身份管理系统则是身份提供商(IdP)。通过SSO登录，企业员工可以使用IdP中的用户身份直接登8.6.安全防护：务架构认配置风险露面多对网络攻击端数据安全IS的联8.7.合规审计规。IT期留存。这些日志一方面可以满足三方审计的要求(留分析得到该企业的安全运维数据画o禁止授权中出现“*”。o限定资源采购的地域、规格、数量。o强制设定强密码策略。8.8.运维管理SOC构建基于配置管理数据事。多账号资源统一监控告警：云监控和资源目录(ResourceDirectory)产品已经做好集成。只需要在上I8.9.自动化制、安全合规)，以及账号工厂(新账号初始化)的云资源的搭建过程，为用户的云上自动化管理提供指IaC(InfrastructureasCode,基础设施即代码)是使用软件开发原则和实践的基础设施自动化。简而言ProofofConcept可以参。idere使用CI/CD(ContinuousIntegration/ContinuousDelivery)流程实现自动化部署：结合CI/CDM。9.成功案例9.1.迪卡侬MichelLerclercq生希望在数十年里实现在一家商场可以实现购齐所有品类的体育nene所有的用户能够使用迪卡侬员工ID进行单点登录(SSO)和多因素认证 (MFA)。部提供的身份系统(IdP)，但授权管理能够在本地团队内控制。三、面临挑战-权限管控。在资源管理上迪卡侬遵循了多账号管理最佳实践，使用了阿里云资源目录(ResourceDirectory)产品作 (CloudSSO)是基于阿里云资源目录(ResourceDirectory)的多账号统一身份管理与访问控制产品，3.创建一系列权限集合(称为访问配置)。9.2.巴斯夫巴斯夫(BASF)是一家全球领先的化工企业，总部位于德国，现在在全球各地拥有超过110,000名员二、转型之路-数字化驱动balDigitalServiceGD&高效管控F四、破局之道-从零到一搭建云上治理框架1.组建云卓越中心(CCoE)团队nterofExcellence)，包括如下角色：ror规划拥有自构ResourceDirectory)服务，实现云上的结构设计和实际的组织管理架构相匹RootAccountGD别的巴斯夫的企业管理账号，可核心账号(CoreAccounts)：设计网络管理账号ConnectivityAccount、日志账号LoggingApplicationAccounts要在公司内部GD系统中进行申请InternetAccount (RBAC)，从而实现更细颗粒度的员工权限。4.财务管理网络架构全合规集中式身份认证：通过访问控制(RAM)中的SSO功能，可以为企业提供统一的身份认证入口，同一体化的网络架构：基于