构建安全合规、可管理和可扩展的云上环境

如果无法正常显示,请先停止浏览器的去广告插件。
分享至:
1. 构建安全合规、可管理及可扩展 的云环境 众安国际·综合运维专家 / 李奕 阿里云·产品架构师总监 / ⻩永法(仁宇)
2.
3. WHY/WHAT 1.构建可持续发展云环境的重要性 HOW 2.众安国际上云Landing Zone之旅 • 企业上云最需要避免的三个误区 • 业务挑战分析 • 可持续发展云环境的三要素 • Landing Zone架构设计与落地 • 实现安全合规、可管理和可扩展 • 收益分析和经验总结
4. 三年200家上云企业 跨国500强 传统企业 准备上云 上云中 互联网 全站上云 关于云转型,最想分享的三个上云误区?
5. 误区1:只关注技术层面,不关注组织协同 研发 -技术满足度和前瞻性、非功能需求、API完备性 运维 -租户架构、资源分组、权限分配、统一管控、运维自动化 安全 -网络安全、访问安全、等保或行业标准、行为审计 财务 -成本可⻅、预算管理、成本优化 经营 -TCO、收益、⻛险
6. 误区2:只关注应用架构,不关注治理架构 -应用架构:三层架构、容器、大数据、无服务器 -室内设计:简约现代、日式、地中海、田园⻛ -治理架构:权限管控、安全设计、成本效益 -建筑地基:地基条件、承载力、经济性
7. 误区3:安全只做亡羊补牢,不做未雨绸缪 事前加固:漏洞、密码、网络隔离 显性 隐性 通用密码 问题严重 网络隔离 不充分 安全防护架构缺设计 已知漏洞修 复不及时 事中防护、检测、响应 互联网边 界防护能 力不足 应急和运营流程不健全 未知威胁 攻击检测 能力不足 应急响应 处置不当 安全意识较淡薄
8. 不可持续发展的云架构根因在于没有规划 安全⻛险 1. AK泄露导致账号被外部入侵 2. 离职员工权限未及时回收 3. 被导致被植入挖矿木⻢ 成本失控 1. 业务团队独立运作,云上开 支说不清楚 2. 闲置和不合理利用,但资源 谁在用也说不清楚 3. 财务成本算不清和预算超支 架构治理 1. Shadow IT问题,云账号分散 管理,业务各自为政 2. 身份和安全⻛险敞口巨大 3. 云上网络架构的规划,不具 备可持续发展能力 没有针对安全进行体系化设计 没有对资源和成本 在组织层面 身份->网络->主机->数据 制定管理办法 没有统一管控云采用和统一设计
9. “不幸的人各有各的不幸, 但幸福的人都是相似的。” 托尔斯泰《安娜·卡列尼娜》
10. 架构可持续发展云环境的三要素 安全合规 • 全方位访问、网络、主机和 数据等技术层面的安全保障 • 满足国家和行业的法律法规 • 满足内部的合规检查 可管理 • 资源标识清晰 • ⻆色权限分配有规范 • 业务成本可分摊 可扩展 • 灵活适配企业的组织变化 • 网络架构可扩展 • 管理架构可扩展
11. 安全合规为先 租户/应用安全 网络安全 拒绝服务攻击防护 网络入侵检测防护 网络边界隔离 网络攻击反制 网络传输加密 身份安全 身份认证 访问授权 操作审计 • 安全共担模型 数据访问 数据安全 数据库审计 敏感数据保护 主机安全 资产管理 弱点管理 合规管理 主机防护 • 安全是多层次的 运维审计 • 安全是设计出来的 数据加密 云平台安全 云平台内部 身份与访问控制 物理安全 硬件安全 虚拟化安全 云产品安全 云平台安全 监控和运营
12. 可管理性确保上云有章可循 • 资源管理基线 • 身份权限基线 • 成本管理基线 • 网络安全基线
13. 可扩展性助力业务的灵活性 企业管理账号 Resource Directory Cloud SSO 日志账号 Control Policy Resource Sharing Control Policy 资源目录 Cost Management Master Account Folder Core 开发环境 Application Cloud FW Control Policy Security Center • 组织可扩展 Log Service Action Trail Config Production Dev Stage • 租户可扩展 Dev VPC Accounts 安全账号 Anti-DDoS 运维账号 CI/CD Pipelines Control Policy WAF Logging Account Prod App 1 Dev App 1 Security Account Prod App 2 Dev App 2 Ops Account Prod App 3 Dev App 3 Cloud FW Ops VPC Security Center Application • 网络可扩展 Connectivity Account Cloud Security FW Center Control Policy Application Application 网络账号 Control Policy CEN DMZ VPC EIP Cloud FW Security Center 生产环境 Control Policy Cloud FW Security Center Production VPC Nat Gateway Application Application Application
14. 构建上云登陆区,实现可持续发展 应用 应用 应用 应用 应用 Landing Zone Zone Zone Zone 资源结构 财务管理 网络规划 合规审计 安全防护 身份权限 运维管理 自动化 应用
15. 资源管理的四个维度 众安国际 上云Landing Zone之旅
16. 关于众安:打造有温度的金融 ZA是众安国际于2019年成立的综合金融品牌,以用 户共创为理念,打造有温度的金融服务。 目前,ZA已通过香港第一虚拟银行及全数字化保 险、财富管理等业务,为用户带来崭新的体验。
17. 从资源回收说起
18. 面临的业务痛点 扩展困难:业务线持续扩展,架构难以支撑 网络复杂:VPC/网段等难以统一管理 分账困难:分账耗时耗力 维护困难:人工维护标签和资源组的工作繁重
19. Landing Zone的实现路径选择 自主研发云管平台 云原生的登录区 定制化更好,更贴合原使用模式 云厂商内部战略推动各产品的适配 复杂度随使用云产品的变化而增加 扩展性强,可随业务变化快速交付 难以满足业务敏捷性 前期设计成本较高
20. 众安国际的云治理体系 多业务线支持 基于切面的统一管控 可扩展性强
21. 安全合规 源 云治理基线 资 ▪ 安全: 安全标准、数据安全、攻击面防护等 管 理 审 计 成 本 管 控 ▪ 授权: 授权策略、认证策略、实时告警、事后审计 ▪ 成本: 预算管理、支出监控、分账 ▪ 资源: 资源配置基线、资源利用率、资源变更留痕 ▪ 网络: EIP资源管理、公网出入口收敛、网络平面管理
22. 众安国际Landing Zone之旅 确认边界 确认基线 明确目标 收集需求 建立团队 跨领域⻆色 的专业团队 CCoE 贴合实际 使用场景 想解决什么问题 形成具体的 基线要求 OU账号 边界确认 方案实施 账号改造 协作推进 专项攻艰 改造原账号结构 完成落地 达成目标 成果回顾
23. 基于组织的账号体系
24. 身份权限和SSO SSO账 号 OU账号 ⻆色 张三 在业务A非生产账号 持有SRE权限
25. 网络架构
26. Landing Zone实施收益 维度 实施前 实施后 分账人力变化 2人天/月 0.5人天/月 账号管理方式 管理分散 统一管理 授权效率 10分钟 2分钟 授权复杂度 逐OU账号授权 统一授权 去权方式 逐OU账号回收 统一回收 审计方式 分散化审计 统一审计 75% 80%
27. 你是否需要Landing Zone? 标准型企业 集团型企业 一种业务或业务在同一专有网络下运行 多业务系统需要在不同的专有网络下运行 业务共享统一的基础设施 多业务部⻔具有不同的基础设施需求 统一的IT预算管理 各部⻔独立结算 统一的合规、安全策略 各部⻔的合规、安全策略有所不同
28. 关键经验总结 框架先行 领域整合 厂商协同 • 在实施前就明确账号权限、网络基线、财务模式等 框架非常重要 • 云治理需要安全、SRE、网络、DevOps、云管理 员等多部⻔协同推进 • 厂商已在很多方面有好的产品或最佳实践可供使用 持续优化 • 云治理是一个持续过程,需要持续优化改进
29. 关注我们 关注我们的技术公众号
30.
31.

trang chủ - Wiki
Copyright © 2011-2024 iteam. Current version is 2.137.1. UTC+08:00, 2024-11-15 17:44
浙ICP备14020137号-1 $bản đồ khách truy cập$