應(yīng)用場景

隨著很多企業(yè)逐漸將越來越多的業(yè)務(wù)系統(tǒng)往云上遷移，企業(yè)客戶需要將IT治理模式延伸或遷移到公有云上。公有云在安全穩(wěn)定、服務(wù)質(zhì)量、執(zhí)行效率、成本效益等方面的優(yōu)勢逐漸被企業(yè)接受和認(rèn)可，越來越多的企業(yè)也優(yōu)先采用 云原生 的方式開發(fā)面向未來的新應(yīng)用系統(tǒng)。企業(yè)全面云化的時代已經(jīng)來臨，為了避免大規(guī)模上云帶來的管理失控、安全失控、成本失控等系列問題，企業(yè)開始逐漸重視云上IT治理，但在具體實踐中經(jīng)常會遇到以下各種挑戰(zhàn)。

• 如何做好業(yè)務(wù)單元（如事業(yè)部、產(chǎn)品線、部門、項目組等）的安全和故障隔離，確保業(yè)務(wù)單元之間的云資源、應(yīng)用和數(shù)據(jù)的隔離？
• 如何避免單點故障帶來雪崩效應(yīng)、減少單點故障的爆炸半徑？
• 企業(yè)組織架構(gòu)和業(yè)務(wù)架構(gòu)經(jīng)常調(diào)整，云上資源如何靈活應(yīng)對？
• 如何設(shè)計跨多個業(yè)務(wù)單元的網(wǎng)絡(luò)架構(gòu)、建立受控的網(wǎng)絡(luò)連接通道？
• 如何統(tǒng)一管控多個業(yè)務(wù)單元的邊界網(wǎng)絡(luò)出入口？
• 如何規(guī)劃生產(chǎn)、開發(fā)和測試環(huán)境？
• 公共資源如何在多個業(yè)務(wù)單元之間共享？
• 如何統(tǒng)一監(jiān)控、運維和管控多個業(yè)務(wù)單元的云資源？
• 如何統(tǒng)一管控各業(yè)務(wù)單元的預(yù)算和成本？如何優(yōu)化云成本？
• 如何避免各業(yè)務(wù)單元過度使用云資源？
• 如何劃分用戶組？應(yīng)該為用戶組設(shè)置哪些權(quán)限？
• 云資源、數(shù)據(jù)和應(yīng)用如何滿足國家、行業(yè)和企業(yè)自身的安全合規(guī)標(biāo)準(zhǔn)？
• 在盡量保留原有IT治理模式的前提下，如何將其遷移到公有云上？

要應(yīng)對上述挑戰(zhàn)，需要設(shè)計一套全面的云上IT治理方案和最佳實踐，對業(yè)務(wù)單元、人員、權(quán)限、云資源、數(shù)據(jù)、應(yīng)用、成本、安全等要素進(jìn)行全面有效管理。華為云通過Landing Zone解決方案來全面應(yīng)對云上IT治理的挑戰(zhàn)。Landing Zone本身是一個航空術(shù)語，指直升飛機(jī)等飛行器可以安全著陸的區(qū)域。目前國內(nèi)外多家云廠商都借用了這個航空術(shù)語，將企業(yè)業(yè)務(wù)系統(tǒng)安全平穩(wěn)遷移到公有云的解決方案命名為Landing Zone，目的是系統(tǒng)性解決企業(yè)大規(guī)模使用云服務(wù)所帶來的IT治理和安全合規(guī)的挑戰(zhàn)。

方案架構(gòu)

Landing Zone解決方案的目標(biāo)是在云上構(gòu)建安全合規(guī)、可擴(kuò)展的多賬號運行環(huán)境，首先要規(guī)劃組織和賬號架構(gòu)。按照康威定律，企業(yè)在華為云上的組織和賬號結(jié)構(gòu)要與企業(yè)的組織和業(yè)務(wù)架構(gòu)總體保持一致，但也不要完全照搬復(fù)制。華為云提供以下參考架構(gòu)，建議按照業(yè)務(wù)架構(gòu)、地理架構(gòu)、IT職能等維度設(shè)計組織層級和賬號。

圖1 華為云Landing Zone參考架構(gòu)

1. 按照業(yè)務(wù)架構(gòu)在華為云上劃分不同的組織層級和OU，每個業(yè)務(wù)OU下面可以按照業(yè)務(wù)系統(tǒng)創(chuàng)建獨立的子賬號。規(guī)模較大的業(yè)務(wù)系統(tǒng)或安全隔離要求嚴(yán)格（如需要遵守PCI-DSS、HIPPA等合規(guī)標(biāo)準(zhǔn)）的業(yè)務(wù)系統(tǒng)對應(yīng)一個獨立的子賬號，安全隔離要求不高的多個小型業(yè)務(wù)系統(tǒng)可以共享一個子賬號。以銷售部為例，可以為銷售管理系統(tǒng)、數(shù)字化營銷系統(tǒng)等較大的業(yè)務(wù)系統(tǒng)創(chuàng)建獨立的子賬號；以研發(fā)部為例，可以將圍繞單個產(chǎn)品的設(shè)計、研發(fā)等系統(tǒng)部署在一個子賬號中。
2. 按照地理架構(gòu)在華為云上劃分不同的組織層級和OU，每個地理區(qū)域OU下面可以按照國家或地區(qū)創(chuàng)建獨立的子賬號，在上面可部署本地的客戶關(guān)系管理系統(tǒng)、客戶服務(wù)系統(tǒng)等。上述參考架構(gòu)把中國區(qū)等區(qū)域組織映射為華為云的OU，為其下屬的北京、上海等分公司創(chuàng)建獨立的子賬號以承載本地化的應(yīng)用系統(tǒng)。
3. 針對企業(yè)的中心IT部門，在華為云上創(chuàng)建對應(yīng)的組織單元，并按照IT職能創(chuàng)建以下子賬號，一方面實現(xiàn)IT管理領(lǐng)域的職責(zé)和權(quán)限隔離，另一方面對企業(yè)內(nèi)多個子賬號進(jìn)行統(tǒng)一的IT管理。

   表1 IT職能賬號

   賬號名稱	賬號履行的IT職能	責(zé)任團(tuán)隊	資源或云服務(wù)
   網(wǎng)絡(luò)運營賬號	集中部署和管理企業(yè)的網(wǎng)絡(luò)資源，包括網(wǎng)絡(luò)邊界安全防護(hù)資源，實現(xiàn)多賬號環(huán)境下的統(tǒng)一網(wǎng)絡(luò)資源管理和多賬號下 VPC DMA網(wǎng)絡(luò)絡(luò)的互通，尤其需要集中管理面向互聯(lián)網(wǎng)的出入口和面向線下IDC機(jī)房的網(wǎng)絡(luò)出入口	網(wǎng)絡(luò)管理團(tuán)隊,安全管理團(tuán)隊	NATG, EIP , VPC, 專線, 云連接 , VPN , CFW ， WAF , Anti-DDoS
   公共服務(wù)賬號	集中部署和管理企業(yè)的公共資源、服務(wù)和應(yīng)用系統(tǒng)，并共享給其他所有子賬號使用	公共服務(wù)管理團(tuán)隊	NTP服務(wù)器、AD服務(wù)器、自建DNS服務(wù)器、 OBS 桶、 容器鏡像 庫、協(xié)作辦公系統(tǒng)等
   安全運營賬號	作為企業(yè)安全運營中心，統(tǒng)一管控整個企業(yè)的安全策略、安全規(guī)則和安全資源，為其他賬號設(shè)置安全配置基線，對整個企業(yè)的信息安全負(fù)責(zé)	安全管理團(tuán)隊	統(tǒng)一部署具備跨賬號安全管控的服務(wù)，如 DEW 、SCM、VSS等
   運維監(jiān)控賬號	統(tǒng)一監(jiān)控和運維各個子賬號下的資源和應(yīng)用，及時發(fā)現(xiàn)預(yù)警	運維團(tuán)隊	云堡壘機(jī) 、Grafana, Prometheus或第三方運維監(jiān)控系統(tǒng)
   日志賬號	集中存儲其他賬號的運行日志、審計日志	日志分析 團(tuán)隊,合規(guī)審計團(tuán)隊	日志服務(wù) LTS 、OBS桶、SIEM系統(tǒng)
   數(shù)據(jù)平臺賬號	集中部署企業(yè)的大數(shù)據(jù)平臺，將其他賬號的業(yè)務(wù)數(shù)據(jù)統(tǒng)一采集到數(shù)據(jù)平臺進(jìn)行存儲、處理和分析	數(shù)據(jù)處理團(tuán)隊,業(yè)務(wù)分析團(tuán)隊	數(shù)據(jù)湖 、大數(shù)據(jù)分析平臺、 數(shù)據(jù)接入服務(wù) 、 數(shù)據(jù)治理 平臺
   DevOps賬號	統(tǒng)一管理整個企業(yè)的CI/CD流水線，并進(jìn)行跨賬號部署	軟件研發(fā)團(tuán)隊	DevCloud，或自建DevOps流水線
   沙箱賬號	用于進(jìn)行各種云服務(wù)的功能測試、安全策略的測試等	測試團(tuán)隊	按需部署各種需要測試驗證的資源和服務(wù)

4. 除了上述子賬號之外，中心IT部門可以根據(jù)自己的職責(zé)和權(quán)限隔離需求創(chuàng)建更多的子賬號。比如獨立的應(yīng)用集成賬號、協(xié)同辦公賬號等。
5. 需要注意的是在組織的根下面會默認(rèn)關(guān)聯(lián)一個主賬號，主賬號下不建議部署任何云資源，主要是做好以下管理工作：
   • 統(tǒng)一組織和賬號管理：創(chuàng)建和管理組織結(jié)構(gòu)和組織單元，為組織單元創(chuàng)建子賬號，或者邀請已有賬號作為組織單元的子賬號。
   • 統(tǒng)一財務(wù)管理：針對整個企業(yè)在華為云上的成本進(jìn)行分析和統(tǒng)計；統(tǒng)一在華為云上充值、申請信用額度和激活代金券，再劃撥給各個子賬號，定期審視子賬號的資金、信用額度和代金券的使用情況，及時進(jìn)行回收。
   • 統(tǒng)一組織策略管理：為各個組織單元和子賬號設(shè)置組織策略，強(qiáng)制限定子賬號下用戶（包括賬號管理員）的權(quán)限上限，避免用戶權(quán)限過大帶來安全風(fēng)險，創(chuàng)建組織策略時可以將其應(yīng)用到某一個組織單元，該組織策略可以繼承到關(guān)聯(lián)的子賬號和下層組織單元。
6. 在每個子賬號下面還可以通過企業(yè)項目（Enterprise Project, EP）對資源進(jìn)行細(xì)粒度的邏輯分組，比如將一個應(yīng)用系統(tǒng)的子系統(tǒng)、一個產(chǎn)品的子產(chǎn)品映射為華為云上的一個企業(yè)項目，用戶還可以按照EP進(jìn)行成本分?jǐn)偤图?xì)粒度授權(quán)。
   圖2 網(wǎng)絡(luò)運營賬號
   
7. 在上述多賬號架構(gòu)下，網(wǎng)絡(luò)運營賬號作為Landing Zone的網(wǎng)絡(luò)樞紐，該賬號集中管理多賬號的邊界網(wǎng)絡(luò)出入口，并打通多賬號下VPC之間的網(wǎng)絡(luò)。在網(wǎng)絡(luò)運營賬號下集中部署 企業(yè)路由器 （ Enterprise Router , ER），通過ER聯(lián)通各賬號下的VP CDM A網(wǎng)絡(luò)絡(luò)，從而實現(xiàn)多賬號共享使用VPN和 云專線 與線下IDC互通，也能實現(xiàn)多賬號共享使用公網(wǎng) NAT網(wǎng)關(guān) 與互聯(lián)網(wǎng)通信，還能共享使用云連接與其他Region進(jìn)行互通。在該賬號下統(tǒng)一管理網(wǎng)絡(luò)資源，一方面可以減少管理工作量，另外也有利于制定和實施統(tǒng)一的網(wǎng)絡(luò)安全策略，例如統(tǒng)一部署面向互聯(lián)網(wǎng)連接的DDoS高仿、 云防火墻 CFW、WAF等安全資源并統(tǒng)一配置具體的安全防護(hù)策略
   圖3 多賬號資源共享和統(tǒng)一管控
   
8. 在多賬號網(wǎng)絡(luò)互通的基礎(chǔ)上，可以進(jìn)一步實現(xiàn)多賬號的資源共享和統(tǒng)一管控。資源共享主要是針對公共資源的共享，比如NTP服務(wù)器、AD服務(wù)器、自建DNS服務(wù)器、OBS桶、容器 鏡像 庫等，也可以是DevCloud等PaaS服務(wù)，在一個或多個獨立的子賬號中集中部署和維護(hù)這些公共資源，并共享給其他賬號使用，沒有必要在每一個子賬號中單獨部署和維護(hù)。統(tǒng)一管控主要針對的是管理類系統(tǒng)，如監(jiān)控運維、資源治理、安全防護(hù)、財務(wù)管理等，集中管理多賬號環(huán)境下的監(jiān)控、運維、資源、安全、財務(wù)等，避免在每個子賬號中分散式管理帶來的管理成本高、標(biāo)準(zhǔn)不統(tǒng)一的問題。統(tǒng)一管控可以有效制定和實施企業(yè)范圍內(nèi)的IT治理策略。

方案優(yōu)勢

1. 為了實現(xiàn)業(yè)務(wù)單元的安全和故障隔離，華為云的推薦做法是將不同業(yè)務(wù)單元的應(yīng)用系統(tǒng)分別部署在不同的賬號中。華為云賬號具備以下三個屬性。
   • 華為云賬號是一個資源容器，用戶可以在其中部署任意云資源和上層業(yè)務(wù)應(yīng)用系統(tǒng)，不同的賬號相當(dāng)于不同的資源容器，賬號之間是完全隔離的。因此在一個賬號中的故障和安全風(fēng)險不會影響和傳播到其他賬號。
   • 華為云賬號也是安全管理邊界，每個賬號都有獨立的身份和權(quán)限管理系統(tǒng)，一個賬號內(nèi)的用戶只能訪問和管理本賬號的資源，未經(jīng)允許，一個賬號內(nèi)的用戶不能訪問其他賬號的資源、數(shù)據(jù)和應(yīng)用。
   • 華為云賬號還可以作為獨立的賬單實體，每個賬號可以單獨在華為云上充值、購買云資源、結(jié)算和開票。
2. 因此華為云賬號可以針對業(yè)務(wù)單元進(jìn)行有效的故障和安全隔離，還可以進(jìn)一步進(jìn)行管理和財務(wù)隔離。
3. 另外，為了避免單點故障帶來雪崩效應(yīng)、減少單點故障的爆炸半徑，核心辦法就是不要把所用業(yè)務(wù)系統(tǒng)及其云資源部署在單一賬號，也就是不要“把雞蛋放在一個籃子里”。單一賬號存在兩個嚴(yán)重的問題：其一是單一賬號的爆炸半徑太大，如果該賬號發(fā)生崩潰將導(dǎo)致企業(yè)所有業(yè)務(wù)系統(tǒng)不可用；其二是云平臺上賬號的資源配額是有上限的，不能在一個賬號內(nèi)無限擴(kuò)容云資源。
4. 因此當(dāng)企業(yè)全面上云時通常需要采用多賬號架構(gòu)。按照康威定律，企業(yè)的多賬號架構(gòu)通常會與其組織架構(gòu)或業(yè)務(wù)架構(gòu)保持一致，即按照業(yè)務(wù)單元、地理單元、職能單元等維度劃分賬號。采用多賬號架構(gòu)后可以實現(xiàn)職責(zé)分離，不同的賬號負(fù)責(zé)不同的事情、承載不同的業(yè)務(wù)，每個賬號的管理員可以對本賬號內(nèi)的資源進(jìn)行自治管理，但同時從IT治理角度肯定要求一定程度的統(tǒng)一管控，比如多賬號的統(tǒng)一運維管理、安全管控、資源管理、網(wǎng)絡(luò)管理、財務(wù)管理等。針對這些核心訴求，華為云提出了Landing Zone解決方案來幫助企業(yè)在云上構(gòu)建安全合規(guī)、可擴(kuò)展的多賬號運行環(huán)境，實現(xiàn)多賬號的資源共享和“人財物權(quán)法”的統(tǒng)一管控。
   • 人的管理：多賬號環(huán)境下對業(yè)務(wù)單元、賬號、用戶、用戶組、角色等進(jìn)行統(tǒng)一管理；
   • 財?shù)墓芾?/strong>：多賬號環(huán)境下對資金、預(yù)算、成本、發(fā)票、折扣等進(jìn)行統(tǒng)一管理；
   • 物的管理：多賬號環(huán)境下對計算、存儲、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等云資源進(jìn)行統(tǒng)一運維、監(jiān)控和管理；
   • 權(quán)的管理：多賬號環(huán)境下對云資源的訪問權(quán)限進(jìn)行統(tǒng)一管理，確保訪問權(quán)限符合最小授權(quán)原則；
   • 法的管理：多賬號環(huán)境下對安全合規(guī)進(jìn)行統(tǒng)一管理，確保符合國家、行業(yè)和企業(yè)自身的安全合規(guī)要求。
5. 企業(yè)成功實施了Landing Zone解決方案之后，可以有效規(guī)避大規(guī)模上云之后的管理失控、安全失控、成本失控的風(fēng)險，全面應(yīng)對各種IT治理挑戰(zhàn)，幫助企業(yè)建立分統(tǒng)結(jié)合的IT治理體系和完善的安全合規(guī)體系。
   • 分統(tǒng)結(jié)合的IT治理體系：即在分權(quán)分域分級管理的基礎(chǔ)上進(jìn)行一定程度的統(tǒng)一管控，如統(tǒng)一運維、統(tǒng)一安全等；
   • 完善的安全合規(guī)體系：云上運行環(huán)境（包括云資源、數(shù)據(jù)、應(yīng)用等）滿足國家、行業(yè)和企業(yè)自身的安全合規(guī)標(biāo)準(zhǔn)。