安全与治理-方案概述:方案架构
下载安全与治理用户手册完整版
方案架构
Landing Zone解决方案的目标是在云上构建安全合规、可扩展的多账号运行环境,首先要规划组织和账号架构。按照康威定律,企业在华为云上的组织和账号结构要与企业的组织和业务架构总体保持一致,但也不要完全照搬复制。华为云提供以下参考架构,建议按照业务架构、地理架构、IT职能等维度设计组织层级和账号。
- 按照业务架构在华为云上划分不同的组织层级和OU,每个业务OU下面可以按照业务系统创建独立的子账号。规模较大的业务系统或安全隔离要求严格(如需要遵守PCI-DSS、HIPPA等合规标准)的业务系统对应一个独立的子账号,安全隔离要求不高的多个小型业务系统可以共享一个子账号。以销售部为例,可以为销售管理系统、数字化营销系统等较大的业务系统创建独立的子账号;以研发部为例,可以将围绕单个产品的设计、研发等系统部署在一个子账号中。
- 按照地理架构在华为云上划分不同的组织层级和OU,每个地理区域OU下面可以按照国家或地区创建独立的子账号,在上面可部署本地的客户关系管理系统、客户服务系统等。上述参考架构把中国区等区域组织映射为华为云的OU,为其下属的北京、上海等分公司创建独立的子账号以承载本地化的应用系统。
- 针对企业的中心IT部门,在华为云上创建对应的组织单元,并按照IT职能创建以下子账号,一方面实现IT管理领域的职责和权限隔离,另一方面对企业内多个子账号进行统一的IT管理。
表1 IT职能账号 账号名称
账号履行的IT职能
责任团队
资源或云服务
网络运营账号
集中部署和管理企业的网络资源,包括网络边界安全防护资源,实现多账号环境下的统一网络资源管理和多账号下VPCDMA网络络的互通,尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口
网络管理团队,安全管理团队
NATG, EIP, VPC, 专线, 云连接, VPN, CFW,WAF, Anti-DDoS
公共服务账号
集中部署和管理企业的公共资源、服务和应用系统,并共享给其他所有子账号使用
公共服务管理团队
NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器镜像库、协作办公系统等
安全运营账号
作为企业安全运营中心,统一管控整个企业的安全策略、安全规则和安全资源,为其他账号设置安全配置基线,对整个企业的信息安全负责
安全管理团队
统一部署具备跨账号安全管控的服务,如DEW、SCM、VSS等
运维监控账号
统一监控和运维各个子账号下的资源和应用,及时发现预警
运维团队
云堡垒机、Grafana, Prometheus或第三方运维监控系统
日志账号
集中存储其他账号的运行日志、审计日志
日志分析团队,合规审计团队
日志服务LTS、OBS桶、SIEM系统
数据平台账号
集中部署企业的大数据平台,将其他账号的业务数据统一采集到数据平台进行存储、处理和分析
数据处理团队,业务分析团队
数据湖、大数据分析平台、数据接入服务、数据治理平台
DevOps账号
统一管理整个企业的CI/CD流水线,并进行跨账号部署
软件研发团队
DevCloud,或自建DevOps流水线
沙箱账号
用于进行各种云服务的功能测试、安全策略的测试等
测试团队
按需部署各种需要测试验证的资源和服务
- 除了上述子账号之外,中心IT部门可以根据自己的职责和权限隔离需求创建更多的子账号。比如独立的应用集成账号、协同办公账号等。
- 需要注意的是在组织的根下面会默认关联一个主账号,主账号下不建议部署任何云资源,主要是做好以下管理工作:
- 统一组织和账号管理:创建和管理组织结构和组织单元,为组织单元创建子账号,或者邀请已有账号作为组织单元的子账号。
- 统一财务管理:针对整个企业在华为云上的成本进行分析和统计;统一在华为云上充值、申请信用额度和激活代金券,再划拨给各个子账号,定期审视子账号的资金、信用额度和代金券的使用情况,及时进行回收。
- 统一组织策略管理:为各个组织单元和子账号设置组织策略,强制限定子账号下用户(包括账号管理员)的权限上限,避免用户权限过大带来安全风险,创建组织策略时可以将其应用到某一个组织单元,该组织策略可以继承到关联的子账号和下层组织单元。
- 在每个子账号下面还可以通过企业项目(Enterprise Project, EP)对资源进行细粒度的逻辑分组,比如将一个应用系统的子系统、一个产品的子产品映射为华为云上的一个企业项目,用户还可以按照EP进行成本分摊和细粒度授权。
图2 网络运营账号
- 在上述多账号架构下,网络运营账号作为Landing Zone的网络枢纽,该账号集中管理多账号的边界网络出入口,并打通多账号下VPC之间的网络。在网络运营账号下集中部署企业路由器(Enterprise Router, ER),通过ER联通各账号下的VPCDMA网络络,从而实现多账号共享使用VPN和云专线与线下IDC互通,也能实现多账号共享使用公网NAT网关与互联网通信,还能共享使用云连接与其他Region进行互通。在该账号下统一管理网络资源,一方面可以减少管理工作量,另外也有利于制定和实施统一的网络安全策略,例如统一部署面向互联网连接的DDoS高仿、云防火墙CFW、WAF等安全资源并统一配置具体的安全防护策略
图3 多账号资源共享和统一管控
- 在多账号网络互通的基础上,可以进一步实现多账号的资源共享和统一管控。资源共享主要是针对公共资源的共享,比如NTP服务器、AD服务器、自建DNS服务器、OBS桶、容器镜像库等,也可以是DevCloud等PaaS服务,在一个或多个独立的子账号中集中部署和维护这些公共资源,并共享给其他账号使用,没有必要在每一个子账号中单独部署和维护。统一管控主要针对的是管理类系统,如监控运维、资源治理、安全防护、财务管理等,集中管理多账号环境下的监控、运维、资源、安全、财务等,避免在每个子账号中分散式管理带来的管理成本高、标准不统一的问题。统一管控可以有效制定和实施企业范围内的IT治理策略。
