服务范围 服务覆盖范围 阶段 服务活动 服务说明 云上IT治理调研评估 IT治理调研评估 调研客户IT治理现状,收集客户IT治理规范(如安全规范、网络规范、账号管理规范、计费分账规范等),分析客户当前的IT治理架构,收集客户对于云上IT治理的需求。 基础场景设计与实施服务 资源组织 根据企业的业务结构和IT管理模式,设计华为云上多账号以及账号内资源分组方案,实现职责分离。 身份权限 完成身份提供商(Active Directory/Google等)与云上身份联邦设计,使用现有凭证访问华为云。 用户/用户组方案设计,多账号或单账号的权限集配置,授权管理、凭证安全方案设计。 完成用户/用户组人员及应用身份的权限边界、组织级护栏策略设计。 网络规划 公网接入能力设计,完成公网NAT网关、公网EIP和proxy服务器设置设计。 云上云下,同一朵云多Region互联,与第三方云互连设计。 业务部署VPC划分,云间VPC互连方案设计,以及公共服务和管理区文件系统、OBS桶等网络设计。 合规审计 云上资产成本运营,运维,安全,可靠性的资源配置合规检测最佳实践。 操作日志审计,对云上操作、资源变更等日志进行持久化保存。 安全防护 主机安全:主机漏洞、威胁、攻击保护方案。 数据安全:秘钥管理、数据库安全防护策略、存储访问控制等。 高阶场景 数据边界 设计网络边界安全/内网安全管控策略,路由表/ACL/安全组分权管控,确保网络最小暴露面。 基于SOD安全原则,通过配置SCP身份护栏、VPC Endpoint护栏和资源护栏策略,阻断所有非预期的访问路径,确保数据资源只能由确定用户在确定网络或环境内部可访问,并提供分析工具来证明策略配置的有效性,彻底消除特权凭证泄露、错误配置等导致的数据泄露风险。 云财务治理 根据Landing Zone组织结构,结合财务关系,构筑分级财务管理。 每个子账号按照标签进行逻辑资源分组,并按照标签成本分账。 运维管理 支持对所有成员账号的资源管理、事件管理进行统一查看、操作。 针对拥有多账号的企业,管理账号统一管理组织中的其他账号的日志监控。 技术验证 IT治理方案技术验证 在客户的测试或预生产环境进行Landing Zone IT治理架构的技术验证,范围包括:多账号体系、SSO登录、用户权限、身份管理,网络连通性,操作审计等。 方案实施 IT治理方案实施 在客户的生产环境实施整体的Landing Zone IT治理设计方案。 服务不覆盖范围 非Landing Zone方案设计范围内的软件设计、改造和安装部署,如客户自行购买的第三方安全软件、应用软件、网络软件等。 Landing Zone方案验证、实施所需的云服务费用由客户承担,如ER、专线、VPN、CFW、WAF等云服务产品。 超出Landing Zone方案范围外的服务,如
安全云脑 、灾备设计、云服务(大数据、数据库等)资源使用规划等。 服务区域 中国
