构建安全合规、可管理和可扩展的云上环境

1. 构建安全合规、可管理及可扩展的云环境众安国际·综合运维专家 / 李奕阿里云·产品架构师总监 / ⻩永法（仁宇）

2.

3. WHY/WHAT 1.构建可持续发展云环境的重要性 HOW 2.众安国际上云Landing Zone之旅 • 企业上云最需要避免的三个误区 • 业务挑战分析 • 可持续发展云环境的三要素 • Landing Zone架构设计与落地 • 实现安全合规、可管理和可扩展 • 收益分析和经验总结

4. 三年200家上云企业跨国500强传统企业准备上云上云中互联网全站上云关于云转型，最想分享的三个上云误区？

5. 误区1：只关注技术层面，不关注组织协同研发 -技术满足度和前瞻性、非功能需求、API完备性运维 -租户架构、资源分组、权限分配、统一管控、运维自动化安全 -网络安全、访问安全、等保或行业标准、行为审计财务 -成本可⻅、预算管理、成本优化经营 -TCO、收益、⻛险

6. 误区2：只关注应用架构，不关注治理架构 -应用架构：三层架构、容器、大数据、无服务器 -室内设计：简约现代、日式、地中海、田园⻛ -治理架构：权限管控、安全设计、成本效益 -建筑地基：地基条件、承载力、经济性

7. 误区3：安全只做亡羊补牢，不做未雨绸缪事前加固：漏洞、密码、网络隔离显性隐性通用密码问题严重网络隔离不充分安全防护架构缺设计已知漏洞修复不及时事中防护、检测、响应互联网边界防护能力不足应急和运营流程不健全未知威胁攻击检测能力不足应急响应处置不当安全意识较淡薄

8. 不可持续发展的云架构根因在于没有规划安全⻛险 1. AK泄露导致账号被外部入侵 2. 离职员工权限未及时回收 3. 被导致被植入挖矿木⻢成本失控 1. 业务团队独立运作，云上开支说不清楚 2. 闲置和不合理利用，但资源谁在用也说不清楚 3. 财务成本算不清和预算超支架构治理 1. Shadow IT问题，云账号分散管理，业务各自为政 2. 身份和安全⻛险敞口巨大 3. 云上网络架构的规划，不具备可持续发展能力没有针对安全进行体系化设计没有对资源和成本在组织层面身份->网络->主机->数据制定管理办法没有统一管控云采用和统一设计

9. “不幸的人各有各的不幸, 但幸福的人都是相似的。” 托尔斯泰《安娜·卡列尼娜》

10. 架构可持续发展云环境的三要素安全合规 • 全方位访问、网络、主机和数据等技术层面的安全保障 • 满足国家和行业的法律法规 • 满足内部的合规检查可管理 • 资源标识清晰 • ⻆色权限分配有规范 • 业务成本可分摊可扩展 • 灵活适配企业的组织变化 • 网络架构可扩展 • 管理架构可扩展

11. 安全合规为先租户/应用安全网络安全拒绝服务攻击防护网络入侵检测防护网络边界隔离网络攻击反制网络传输加密身份安全身份认证访问授权操作审计 • 安全共担模型数据访问数据安全数据库审计敏感数据保护主机安全资产管理弱点管理合规管理主机防护 • 安全是多层次的运维审计 • 安全是设计出来的数据加密云平台安全云平台内部身份与访问控制物理安全硬件安全虚拟化安全云产品安全云平台安全监控和运营

12. 可管理性确保上云有章可循 • 资源管理基线 • 身份权限基线 • 成本管理基线 • 网络安全基线

13. 可扩展性助力业务的灵活性企业管理账号 Resource Directory Cloud SSO 日志账号 Control Policy Resource Sharing Control Policy 资源目录 Cost Management Master Account Folder Core 开发环境 Application Cloud FW Control Policy Security Center • 组织可扩展 Log Service Action Trail Config Production Dev Stage • 租户可扩展 Dev VPC Accounts 安全账号 Anti-DDoS 运维账号 CI/CD Pipelines Control Policy WAF Logging Account Prod App 1 Dev App 1 Security Account Prod App 2 Dev App 2 Ops Account Prod App 3 Dev App 3 Cloud FW Ops VPC Security Center Application • 网络可扩展 Connectivity Account Cloud Security FW Center Control Policy Application Application 网络账号 Control Policy CEN DMZ VPC EIP Cloud FW Security Center 生产环境 Control Policy Cloud FW Security Center Production VPC Nat Gateway Application Application Application

14. 构建上云登陆区，实现可持续发展应用应用应用应用应用 Landing Zone Zone Zone Zone 资源结构财务管理网络规划合规审计安全防护身份权限运维管理自动化应用

15. 资源管理的四个维度众安国际上云Landing Zone之旅

16. 关于众安：打造有温度的金融 ZA是众安国际于2019年成立的综合金融品牌,以用户共创为理念，打造有温度的金融服务。目前，ZA已通过香港第一虚拟银行及全数字化保险、财富管理等业务，为用户带来崭新的体验。

17. 从资源回收说起

18. 面临的业务痛点扩展困难：业务线持续扩展，架构难以支撑网络复杂：VPC/网段等难以统一管理分账困难：分账耗时耗力维护困难：人工维护标签和资源组的工作繁重

19. Landing Zone的实现路径选择自主研发云管平台云原生的登录区定制化更好，更贴合原使用模式云厂商内部战略推动各产品的适配复杂度随使用云产品的变化而增加扩展性强，可随业务变化快速交付难以满足业务敏捷性前期设计成本较高

20. 众安国际的云治理体系多业务线支持基于切面的统一管控可扩展性强

21. 安全合规源云治理基线资 ▪ 安全：安全标准、数据安全、攻击面防护等管理审计成本管控 ▪ 授权：授权策略、认证策略、实时告警、事后审计 ▪ 成本：预算管理、支出监控、分账 ▪ 资源：资源配置基线、资源利用率、资源变更留痕 ▪ 网络： EIP资源管理、公网出入口收敛、网络平面管理

22. 众安国际Landing Zone之旅确认边界确认基线明确目标收集需求建立团队跨领域⻆色的专业团队 CCoE 贴合实际使用场景想解决什么问题形成具体的基线要求 OU账号边界确认方案实施账号改造协作推进专项攻艰改造原账号结构完成落地达成目标成果回顾

23. 基于组织的账号体系

24. 身份权限和SSO SSO账号 OU账号⻆色张三在业务A非生产账号持有SRE权限

25. 网络架构

26. Landing Zone实施收益维度实施前实施后分账人力变化 2人天/月 0.5人天/月账号管理方式管理分散统一管理授权效率 10分钟 2分钟授权复杂度逐OU账号授权统一授权去权方式逐OU账号回收统一回收审计方式分散化审计统一审计 75% 80%

27. 你是否需要Landing Zone？标准型企业集团型企业一种业务或业务在同一专有网络下运行多业务系统需要在不同的专有网络下运行业务共享统一的基础设施多业务部⻔具有不同的基础设施需求统一的IT预算管理各部⻔独立结算统一的合规、安全策略各部⻔的合规、安全策略有所不同

28. 关键经验总结框架先行领域整合厂商协同 • 在实施前就明确账号权限、网络基线、财务模式等框架非常重要 • 云治理需要安全、SRE、网络、DevOps、云管理员等多部⻔协同推进 • 厂商已在很多方面有好的产品或最佳实践可供使用持续优化 • 云治理是一个持续过程，需要持续优化改进

29. 关注我们关注我们的技术公众号

30.

31.