阿里云+跨國(guó)企業(yè)上云登陸區(qū)（Landing+Zone）白皮書

1文檔版本：20230410目錄目錄.............................................................................................................................................21.法律聲明

..................................................................................................................................42.出品信息

..................................................................................................................................53.序言..........................................................................................................................................54.背景..........................................................................................................................................75.跨國(guó)企業(yè)上云洞察

...................................................................................................................96.行業(yè)領(lǐng)先的云治理框架..........................................................................................................157.跨國(guó)企業(yè)上云建議

.................................................................................................................208.在阿里云構(gòu)建上云登陸區(qū)（LandingZone）最佳實(shí)踐.......................................................238.1.

概述...........................................................................................................................................238.2.

資源管理....................................................................................................................................278.3.

財(cái)務(wù)管理....................................................................................................................................318.4.

網(wǎng)絡(luò)規(guī)劃....................................................................................................................................358.5.

身份權(quán)限....................................................................................................................................448.6.

安全防護(hù)....................................................................................................................................488.7.

合規(guī)審計(jì)....................................................................................................................................538.8.

運(yùn)維管理....................................................................................................................................5828.9.

自動(dòng)化

.......................................................................................................................................639.成功案例

................................................................................................................................689.1.

迪卡儂

.......................................................................................................................................689.2.

巴斯夫

.......................................................................................................................................7110.總結(jié).....................................................................................................................................8031.法律聲明本文檔的版權(quán)歸阿里云所有，您應(yīng)當(dāng)通過(guò)阿里云網(wǎng)站或阿里云提供的其他授權(quán)通道下載、獲取本文檔，且僅能用于自身的合法合規(guī)的業(yè)務(wù)活動(dòng)。一、文檔使用及更新說(shuō)明本文檔僅作為用戶使用阿里云產(chǎn)品及服務(wù)的參考性指引，阿里云以產(chǎn)品及服務(wù)的“現(xiàn)狀”、“有缺陷”和“當(dāng)前功能”的狀態(tài)提供本文檔。阿里云在現(xiàn)有技術(shù)的基礎(chǔ)上盡最大努力提供相應(yīng)的介紹及操作指引，但阿里云對(duì)本文檔內(nèi)容的準(zhǔn)確性、完整性不作任何明示或暗示的保證。由于產(chǎn)品版本升級(jí)、調(diào)整或其他原因，本文檔內(nèi)容有可能變更。阿里云保留在沒有任何通知或者提示下，對(duì)本文檔的內(nèi)容進(jìn)行修改的權(quán)利，并在阿里云授權(quán)通道中不時(shí)發(fā)布更新后的文檔。您應(yīng)當(dāng)實(shí)時(shí)關(guān)注用戶文檔的版本變更，并通過(guò)阿里云授權(quán)渠道下載、獲取最新版的用戶文檔。二、知識(shí)產(chǎn)權(quán)聲明本文檔中的材料和信息，包括但不限于文本、產(chǎn)品、圖片、數(shù)據(jù)、檔案、建議、資料，均由阿里云和/或其關(guān)聯(lián)公司依法擁有其知識(shí)產(chǎn)權(quán)，包括但不限于商標(biāo)權(quán)、專利權(quán)、著作權(quán)等。非經(jīng)阿里云和/或其關(guān)聯(lián)公司書面同意，任何人不得擅自使用、修改、復(fù)制、公開傳播、改變、散布、發(fā)行或公開發(fā)表。三、如何聯(lián)系我們您對(duì)本聲明內(nèi)容有任何疑問和意見，或者您發(fā)現(xiàn)本文檔存在任何錯(cuò)誤，您可以登錄阿里云官網(wǎng)，單擊首頁(yè)下方聯(lián)系我們與我們聯(lián)系。42.出品信息出品方：阿里云計(jì)算有限公司聯(lián)合出品方：埃森哲（中國(guó)）有限公司監(jiān)制沈繹（夏巴）、黃永法（仁宇）編委牛婉婷（繹欣）、陳海濤（驍天）、張曉銳（新洲）、張玉峰（與風(fēng)）、曲駿、周玥琳、唐雨微、李鵬飛（淘飛）特別鳴謝戴虹（埃森哲阿里事業(yè)部董事總經(jīng)理、智能云服務(wù)創(chuàng)新中心主管）姚靖宇（埃森哲阿里事業(yè)部董事總經(jīng)理）李津（阿里云智能全球技術(shù)服務(wù)部總經(jīng)理）袁千（阿里云智能國(guó)際事業(yè)部總經(jīng)理）宋瑛橋（阿里云智能國(guó)際事業(yè)部副總裁）祝順民（阿里云智能云網(wǎng)絡(luò)總經(jīng)理）歐陽(yáng)欣（阿里云智能云安全總經(jīng)理）何登成（阿里云智能開放平臺(tái)總經(jīng)理）53.序言近年來(lái)，云轉(zhuǎn)型已經(jīng)成為了眾多跨國(guó)企業(yè)的核心

IT

戰(zhàn)略，隨著跨國(guó)企業(yè)在數(shù)字化轉(zhuǎn)型方面的加速，企業(yè)在不斷提升用云的廣度和深度。但隨著全球市場(chǎng)的快速變化和各地日益嚴(yán)格的監(jiān)管要求，越來(lái)越多的跨國(guó)企業(yè)面臨著安全合規(guī)、權(quán)限管控、資源規(guī)范等方面的挑戰(zhàn)。我們認(rèn)為，在上云前基于

LandingZone

統(tǒng)一規(guī)劃完整的頂層設(shè)計(jì)和

IT治理框架，是確?？鐕?guó)企業(yè)快速上云和高效運(yùn)營(yíng)的首要條件。同時(shí)，基于先進(jìn)的云上

IT

管理和治理體系，也能幫助跨國(guó)企業(yè)在不斷深入用云的過(guò)程中，將云原生的能力和企業(yè)

IT

管理戰(zhàn)略進(jìn)行更好的結(jié)合，持續(xù)地用好云，進(jìn)一步推進(jìn)企業(yè)的數(shù)字化進(jìn)程。阿里云基于多年服務(wù)跨國(guó)企業(yè)云轉(zhuǎn)型的經(jīng)驗(yàn)，沉淀了面向跨國(guó)企業(yè)上云的頂層設(shè)計(jì)和

IT

治理方法論，編寫了這本《跨國(guó)企業(yè)上云登陸區(qū)（LandingZone）白皮書》。白皮書不僅從跨國(guó)企業(yè)用戶的角度分析了企業(yè)上云的關(guān)鍵洞察和核心挑戰(zhàn)，也闡述了行業(yè)領(lǐng)先的云上

IT

治理框架是如何幫助跨國(guó)企業(yè)從戰(zhàn)略、組織、運(yùn)營(yíng)的角度進(jìn)行云上架構(gòu)的合理規(guī)劃和使用，同時(shí)也分享了如何基于阿里云構(gòu)建云上先進(jìn)

IT治理框架的最佳實(shí)踐。白皮書提供了大量跨國(guó)企業(yè)上云場(chǎng)景和落地案例，來(lái)幫助跨國(guó)企業(yè)構(gòu)建全面高效的云上

IT

治理體系，比如有效落地跨國(guó)企業(yè)總部和本地監(jiān)管的安全合規(guī)政策；統(tǒng)一對(duì)多個(gè)賬號(hào)和身份權(quán)限進(jìn)行收口管控以降低運(yùn)營(yíng)風(fēng)險(xiǎn)；實(shí)現(xiàn)

IT資源的靈活分配和規(guī)范使用；并通過(guò)更細(xì)分更透明的成本管控幫助企業(yè)降本增效。未來(lái)，相信跨國(guó)企業(yè)用云會(huì)越來(lái)越深入，而阿里云的

LandingZone

方案白皮書也將隨之不斷迭代，持續(xù)助力跨國(guó)企業(yè)上好云、用好云和管好云。袁千阿里云智能國(guó)際事業(yè)部總裁64.背景近年來(lái)，隨著全球數(shù)字化轉(zhuǎn)型進(jìn)程的加速，越來(lái)越多的企業(yè)，尤其是跨國(guó)企業(yè)，對(duì)于云計(jì)算的興趣不斷增長(zhǎng)，從而紛紛上云。云計(jì)算作為

IT基礎(chǔ)設(shè)施、應(yīng)用體系支撐乃至行業(yè)最佳實(shí)踐的集合，已經(jīng)成為了全球企業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型的起點(diǎn)和技術(shù)載體。基于阿里云在大量企業(yè)成功上云方面的實(shí)踐經(jīng)驗(yàn)，我們已經(jīng)輸出了自己的云采用框架方法論及云采用框架白皮書，為企業(yè)上云提供了策略和技術(shù)的指導(dǎo)原則及最佳實(shí)踐。同時(shí)，在搭建一個(gè)完整的上云框架前，從宏觀層面統(tǒng)一規(guī)劃一套完整的頂層設(shè)計(jì)和相應(yīng)的基礎(chǔ)框架（LandingZone），往往是企業(yè)后續(xù)業(yè)務(wù)上云的成功基石，因此，LandingZone

作為企業(yè)上云規(guī)劃的關(guān)鍵環(huán)節(jié)和必備條件，也越發(fā)受到業(yè)界關(guān)注和客戶認(rèn)可。阿里云在過(guò)去幾年間，為眾多全球

500

強(qiáng)企業(yè)提供了

LandingZone

服務(wù)，從客戶反饋來(lái)看，阿里云

LandingZone

方案不僅能夠幫助企業(yè)解決上云相關(guān)的資源、合規(guī)、安全、網(wǎng)絡(luò)等多方面的問題，也能實(shí)現(xiàn)企業(yè)在上云后關(guān)于人員、成本、效率等方面的全局規(guī)劃和統(tǒng)籌設(shè)計(jì)。本白皮書從跨國(guó)企業(yè)的視角出發(fā)，結(jié)合多年的服務(wù)落地經(jīng)驗(yàn)，分享跨國(guó)企業(yè)對(duì)上云的關(guān)注點(diǎn)，其中

92.3%的企業(yè)管理者重點(diǎn)關(guān)注云上安全合規(guī)問題；61.5%受訪者比較關(guān)注資源權(quán)限管理問題；53.8%受訪者關(guān)注云資源使用規(guī)范，例如如何遵循企業(yè)全球總部的用云策略等。同時(shí)，本白皮書將描繪業(yè)界先進(jìn)的云上

IT治理框架和企業(yè)上云建議，并結(jié)合不同的行業(yè)案例，充分地展示阿里云

LandingZone

方案是如何解決跨國(guó)企業(yè)在云上

IT

方面的痛點(diǎn)，以及如何幫助用戶提升構(gòu)建企業(yè)上云

IT

治理框架的認(rèn)知和實(shí)踐指導(dǎo)。7來(lái)源：市場(chǎng)問卷調(diào)研，2023

年

02月本白皮書適用于豐富的跨國(guó)企業(yè)上云場(chǎng)景，包括但不限于：租戶與訪問控制：提供標(biāo)準(zhǔn)、合規(guī)的多個(gè)資源環(huán)境，實(shí)現(xiàn)不同業(yè)務(wù)間的相互隔離，降低安全風(fēng)險(xiǎn)，并和企業(yè)全球總部進(jìn)行統(tǒng)一身份對(duì)接；網(wǎng)絡(luò)：實(shí)現(xiàn)跨境數(shù)據(jù)通信的網(wǎng)絡(luò)處理及云上云下的流量管控；安全：落實(shí)企業(yè)全球總部統(tǒng)一的數(shù)據(jù)安全管控要求，保證云上的數(shù)據(jù)安全；成本：通過(guò)規(guī)模化上云和精細(xì)化管理，降低購(gòu)買服務(wù)和實(shí)施的成本；合規(guī)：滿足全球總部及本地監(jiān)管對(duì)安全、審計(jì)的要求，落實(shí)差異化安全策略審計(jì)；運(yùn)維管理：利用標(biāo)準(zhǔn)工具實(shí)現(xiàn)應(yīng)用和基礎(chǔ)設(shè)施的統(tǒng)一監(jiān)控；自動(dòng)化：基于

IaC

進(jìn)行部署自動(dòng)化，通過(guò)

Terraform

實(shí)現(xiàn)多云協(xié)同等場(chǎng)景。最終統(tǒng)一企業(yè)云規(guī)劃與用云標(biāo)準(zhǔn)，

實(shí)現(xiàn)

IT

的統(tǒng)一管控，同時(shí)確保業(yè)務(wù)在云上的快速投產(chǎn)和高效運(yùn)營(yíng)，并將云原生的能力和企業(yè)

IT

管理戰(zhàn)略進(jìn)行更好地結(jié)合。85.跨國(guó)企業(yè)上云洞察跨國(guó)企業(yè)上云戰(zhàn)略企業(yè)上云是適應(yīng)企業(yè)業(yè)務(wù)快速發(fā)展需求的必然趨勢(shì)，目前眾多行業(yè)和企業(yè)都已經(jīng)選用了云上的服務(wù)或采用了云上的服務(wù)或架構(gòu)，尤其是大型零售、金融、制造、化工能源、汽車、互聯(lián)網(wǎng)等行業(yè)?；诓煌袠I(yè)的屬性和要求，其對(duì)用云的關(guān)注點(diǎn)也不盡相同，下圖中的色塊形象地表示不同行業(yè)用云關(guān)注點(diǎn)，顏色越深表示此行業(yè)對(duì)這個(gè)點(diǎn)越關(guān)注，以金融行業(yè)為例，最關(guān)注點(diǎn)為用云的安全合規(guī)，第二關(guān)注點(diǎn)為用云能帶來(lái)企業(yè)的智能化創(chuàng)新。不同行業(yè)主要用云關(guān)注點(diǎn)說(shuō)明色塊表示不同行業(yè)用云關(guān)注點(diǎn)，顏色越深表示越關(guān)注，以金融行業(yè)為例，首先關(guān)注安全合規(guī)，其次關(guān)注智能化創(chuàng)新。不同行業(yè)用云情況以及具體關(guān)注點(diǎn)洞察如下：零售：零售企業(yè)非常關(guān)注成本優(yōu)化和效率提升，與此同時(shí)還面臨著大量碎片化的數(shù)據(jù)和全渠道零售的挑戰(zhàn)，因此更希望利用云上高效的數(shù)據(jù)整合能力來(lái)推動(dòng)數(shù)字化轉(zhuǎn)型，提高業(yè)務(wù)運(yùn)營(yíng)效率和發(fā)展?jié)摿Α?金融：隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的推進(jìn)以及云原生架構(gòu)技術(shù)成熟的應(yīng)用，同時(shí)，伴隨著持續(xù)性的嚴(yán)格的監(jiān)管要求，其對(duì)于技術(shù)平臺(tái)的安全、合規(guī)、彈性

IT

資源等需求也在逐漸增長(zhǎng)。因此，為金融企業(yè)提供可擴(kuò)展、高效、安全的

IT

基礎(chǔ)設(shè)施，解決數(shù)據(jù)安全性、資產(chǎn)優(yōu)化、業(yè)務(wù)創(chuàng)新等問題，成為金融行業(yè)用云建設(shè)的重要考慮點(diǎn)。同時(shí)，隨著金融出海的場(chǎng)景增多，如何實(shí)現(xiàn)技術(shù)側(cè)與合規(guī)側(cè)的雙重落地，也是很多金融機(jī)構(gòu)思考的問題。制造：傳統(tǒng)的制造業(yè)數(shù)字化轉(zhuǎn)型程度不高，亟需利用數(shù)字化完成效率提升以及成本降低的目標(biāo)，與此同時(shí)他們也很關(guān)注提升產(chǎn)業(yè)鏈供應(yīng)鏈穩(wěn)定性。利用云服務(wù)及強(qiáng)大的生態(tài)，結(jié)合上下游伙伴為制造企業(yè)進(jìn)行生產(chǎn)過(guò)程優(yōu)化、供應(yīng)鏈管理、質(zhì)量管理、能源管理等，是幫助企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型，提高生產(chǎn)效率和降低成本，增加企業(yè)的競(jìng)爭(zhēng)力和可持續(xù)性的演進(jìn)方向。化工能源：化工行業(yè)與制造行業(yè)較類似，具有生產(chǎn)效率低下、成本高昂、供應(yīng)鏈集成不到位等痛點(diǎn)。利用云上解決方案不僅能打通集團(tuán)及能源產(chǎn)業(yè)鏈生產(chǎn)、運(yùn)維、銷售等全鏈路數(shù)據(jù)；為能源運(yùn)輸過(guò)程中的損耗、安全、時(shí)效等問題進(jìn)行優(yōu)化，同時(shí)也能幫助化工企業(yè)達(dá)到綜合降低能源生產(chǎn)成本的目的。汽車：對(duì)于傳統(tǒng)車企來(lái)說(shuō)，上云建設(shè)數(shù)字化底座和打造智能化應(yīng)用是提高生產(chǎn)效率、降低成本、提高客戶體驗(yàn)的必然選擇。云平臺(tái)已經(jīng)被證實(shí)了可以幫助車企實(shí)現(xiàn)信息化、智能化管理，提升企業(yè)的數(shù)字競(jìng)爭(zhēng)力。對(duì)于已有一定數(shù)字化水平的車企來(lái)說(shuō)，更關(guān)注如何利用先進(jìn)的云服務(wù)幫助其快速構(gòu)建數(shù)字化基礎(chǔ)設(shè)施和開發(fā)智能化應(yīng)用，提高研發(fā)效率和產(chǎn)品質(zhì)量，縮短產(chǎn)品開發(fā)周期，加快創(chuàng)新速度。同時(shí)，針對(duì)汽車生產(chǎn)配套的供應(yīng)鏈企業(yè)來(lái)說(shuō)，通過(guò)云平臺(tái)能更好地實(shí)現(xiàn)與車企的數(shù)據(jù)共享和互聯(lián)互通，提升供應(yīng)鏈管理效率，減少生產(chǎn)成本，提高生產(chǎn)力水平和質(zhì)量標(biāo)準(zhǔn)?；ヂ?lián)網(wǎng)：互聯(lián)網(wǎng)企業(yè)首要的關(guān)注點(diǎn)一般是成本優(yōu)化和效率提升。其通常已基本完成數(shù)字化轉(zhuǎn)型，對(duì)用云的要求也不僅局限在彈性伸縮等基本屬性上。因?yàn)榧夹g(shù)底蘊(yùn)較深厚，互聯(lián)網(wǎng)企業(yè)更關(guān)注用云的靈活性。利用云技術(shù)幫助企業(yè)進(jìn)行運(yùn)營(yíng)效率的提升以及生產(chǎn)力創(chuàng)新是首要的目標(biāo)。10大型零售、金融、制造、化工能源、汽車、互聯(lián)網(wǎng)行業(yè)的跨國(guó)企業(yè)在上云時(shí)往往有較高的

IT治理訴求，且有這些企業(yè)通常業(yè)務(wù)部門眾多（100

個(gè)以上，含門店、工廠、業(yè)務(wù)點(diǎn)等），而上云

IT

架構(gòu)作為支撐其業(yè)務(wù)發(fā)展的重要底座，需要有更全面的考量來(lái)滿足企業(yè)的以下關(guān)注點(diǎn)：跨國(guó)企業(yè)的總部

IT

部門往往有著嚴(yán)格的管控要求，在其他區(qū)域上云時(shí)，通常需要遵循企業(yè)全球總部IT

已有的上云標(biāo)準(zhǔn)和成熟的治理體系，尤其在多云策略的前提下，形成統(tǒng)一管控；隨著全球業(yè)務(wù)的不斷發(fā)展，對(duì)上云之后的

IT

成本管控更加嚴(yán)格、透明度要求更高，并需要

IT部門能夠隨時(shí)以更精細(xì)化的顆粒度展現(xiàn)云上成本和賬單的分?jǐn)?；受本地化要求影響，?guó)內(nèi)團(tuán)隊(duì)逐漸對(duì)業(yè)務(wù)有了更強(qiáng)的認(rèn)知和把控，需要在一個(gè)統(tǒng)一的管控標(biāo)準(zhǔn)之下，更靈活高效地進(jìn)行云上資源的運(yùn)行，快速響應(yīng)國(guó)內(nèi)業(yè)務(wù)的發(fā)展需求；國(guó)內(nèi)對(duì)數(shù)據(jù)安全的要求越發(fā)嚴(yán)格，對(duì)于數(shù)據(jù)跨境業(yè)務(wù)場(chǎng)景必須從架構(gòu)設(shè)計(jì)上保證云上數(shù)據(jù)資產(chǎn)的的合規(guī)性，并具有可落地性和可實(shí)施性；企業(yè)的分支及部門眾多，例如零售行業(yè)的門店或制造業(yè)的工廠等，因此用云的業(yè)務(wù)部門越來(lái)越多，企業(yè)傳統(tǒng)的

IT部門需要逐漸承擔(dān)更多的云上治理職責(zé)，從多賬號(hào)管理到身份權(quán)限，從架構(gòu)運(yùn)維到價(jià)值呈現(xiàn)，都需要統(tǒng)一的框架設(shè)計(jì)和管理收口；通過(guò)完善的上云

IT

治理，真正建立頂層架構(gòu)威信，從組織架構(gòu)到云上資源使用都能形成標(biāo)準(zhǔn)規(guī)范，幫助企業(yè)站在一個(gè)更高的視角進(jìn)行云上

IT

治理的規(guī)劃管理；除了現(xiàn)有的成熟的上云

IT

治理框架，希望有更進(jìn)一步的

IT

治理方法，例如最佳實(shí)踐的標(biāo)準(zhǔn)模板、自動(dòng)化智能運(yùn)維、IT

人員組織的治理等方案，保障跨國(guó)企業(yè)在云上的穩(wěn)定運(yùn)行和長(zhǎng)足發(fā)展。根據(jù)調(diào)研，實(shí)施過(guò)

LandingZone

或正在考慮實(shí)施的跨國(guó)企業(yè)有如下的上云關(guān)注點(diǎn)，包括云上業(yè)務(wù)靈活快速開展、成本控制難度大、安全合規(guī)的業(yè)務(wù)考慮、資源權(quán)限管理問題、推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)度、構(gòu)建云11資源的使用標(biāo)準(zhǔn)和規(guī)范、上云后的使用效率等方面。其中超過(guò)

90%的受訪者（多為跨國(guó)企業(yè)

CIO

或

IT

負(fù)責(zé)人）最關(guān)注云上的安全合規(guī)問題，另外由于跨國(guó)企業(yè)部門和分支機(jī)構(gòu)眾多，資源權(quán)限管理和云資源的使用規(guī)范也是跨國(guó)企業(yè)

IT較為關(guān)注的部分；同時(shí)受到全球經(jīng)濟(jì)下行的影響，降本增效也成了跨國(guó)企業(yè)的重大課題，因此通過(guò)

LandingZone

的合理規(guī)劃提高上云后的使用效率，并進(jìn)行成本控制也是企業(yè)的兩大方向；最后，通過(guò)上云治理，加速業(yè)務(wù)開展，推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)度也是受訪者進(jìn)一步希望能實(shí)現(xiàn)的目標(biāo)。來(lái)源：市場(chǎng)問卷調(diào)研，2023

年

02月跨國(guó)企業(yè)上云挑戰(zhàn)跨國(guó)企業(yè)上云用云已是必然結(jié)果，但仍然面臨著一些挑戰(zhàn)。整體概括為如下：一、數(shù)據(jù)資產(chǎn)合規(guī)要求下帶來(lái)的挑戰(zhàn)數(shù)據(jù)資產(chǎn)合規(guī)監(jiān)管態(tài)勢(shì)嚴(yán)峻。中國(guó)自

2010

年起便成為世界第二大經(jīng)濟(jì)體，各跨國(guó)公司也十分重視企業(yè)在中國(guó)市場(chǎng)的發(fā)展。但中國(guó)政府對(duì)于跨國(guó)企業(yè)進(jìn)入中國(guó)市場(chǎng)有一套嚴(yán)格的法律合規(guī)準(zhǔn)入體系，與此同時(shí)跨國(guó)12企業(yè)必須面對(duì)數(shù)據(jù)的跨境傳輸?shù)葐栴}。當(dāng)前，在《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》（下文統(tǒng)稱“三法”）的約束之下，“在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)須以境內(nèi)本地化存儲(chǔ)為原則?！泵鎸?duì)如此的監(jiān)管態(tài)勢(shì)，跨國(guó)公司需尋找中國(guó)境內(nèi)云廠商對(duì)分屬于中國(guó)境內(nèi)的業(yè)務(wù)、數(shù)據(jù)資產(chǎn)進(jìn)行云平臺(tái)層面的管控落地，來(lái)保證在中國(guó)境內(nèi)的業(yè)務(wù)開展?！叭ā钡慕榻B二、用云企業(yè)在不同用云階段面臨的不同挑戰(zhàn)傳統(tǒng)云上架構(gòu)亟待優(yōu)化，缺乏先進(jìn)治理體系。許多企業(yè)在上云前，沒有根據(jù)企業(yè)的戰(zhàn)略制定計(jì)劃也缺乏對(duì)于業(yè)務(wù)發(fā)展的預(yù)判，選擇“平遷上云”。對(duì)于企業(yè)來(lái)說(shuō)，“平遷”雖初始投入低，但隨著業(yè)務(wù)的持續(xù)發(fā)展，基于傳統(tǒng)基礎(chǔ)設(shè)施的技術(shù)架構(gòu)無(wú)法滿足業(yè)務(wù)的成本優(yōu)化、彈性靈活、安全合規(guī)、持續(xù)可用等需求，亟需云上先進(jìn)架構(gòu)的規(guī)范化治理。應(yīng)用云化轉(zhuǎn)型復(fù)雜，缺乏全面上云規(guī)劃。將應(yīng)用業(yè)務(wù)遷移到云端一般涉及不同程度的業(yè)務(wù)架構(gòu)和技術(shù)架構(gòu)的調(diào)整，對(duì)于企業(yè)來(lái)說(shuō)如何完成全面上云規(guī)劃、設(shè)計(jì)整體上云流程、保障業(yè)務(wù)平穩(wěn)遷移是一個(gè)重大問題。

通常情況下，企業(yè)向云端遷移并非一蹴而就的過(guò)程，而如何在遷移的過(guò)程中實(shí)現(xiàn)云上云下階段性共存也是企業(yè)上云規(guī)劃中需要統(tǒng)一考慮的重要因素。13深度用云背景下的云運(yùn)營(yíng)支撐管理要求變高。伴隨企業(yè)用云的深入，云上應(yīng)用系統(tǒng)越來(lái)越復(fù)雜，云平臺(tái)對(duì)于企業(yè)用戶的云運(yùn)營(yíng)支撐管理的要求也越來(lái)越高。云運(yùn)營(yíng)支撐服務(wù)會(huì)涵蓋企業(yè)的整個(gè)云旅程，包括企業(yè)上云前的咨詢與規(guī)劃、上云時(shí)的遷移與部署，尤其是上云后的運(yùn)營(yíng)管理、高效用云等。對(duì)企業(yè)云運(yùn)營(yíng)來(lái)說(shuō)，如何從“用云”到“會(huì)用云”再到“用好云”是一個(gè)長(zhǎng)久的課題。三、跨國(guó)企業(yè)面臨額外挑戰(zhàn)多云，混合云部署解決方案復(fù)雜。由于海外云的發(fā)展較國(guó)內(nèi)云更早，跨國(guó)企業(yè)業(yè)務(wù)部署也多由海外向中國(guó)延伸，因此跨國(guó)企業(yè)的云發(fā)展之旅也多從海外云開始，一些跨國(guó)企業(yè)在當(dāng)前已有了一到兩朵非國(guó)內(nèi)云的實(shí)施部署應(yīng)用。因而，對(duì)跨國(guó)企業(yè)來(lái)說(shuō)，合理的多云、混合云部署方案顯得尤為重要。而這種牽涉多種云的治理部署相較于單個(gè)云的上云解決方案顯得更為復(fù)雜，尤其是會(huì)給企業(yè)云運(yùn)維帶來(lái)挑戰(zhàn)。企業(yè)對(duì)于

IT

標(biāo)準(zhǔn)化的要求和多云產(chǎn)品架構(gòu)的不同，也會(huì)導(dǎo)致在多云環(huán)境中的應(yīng)用程序部署和管理存在差異，管理成本難以衡量和控制。事實(shí)上，目前有一些跨國(guó)企業(yè)需要在中國(guó)落地的業(yè)務(wù)仍然部署在其他海外云上，但隨著中國(guó)數(shù)據(jù)資產(chǎn)合規(guī)監(jiān)管越發(fā)嚴(yán)格，如“在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)須以境內(nèi)本地化存儲(chǔ)為原則。”，則這部分業(yè)務(wù)的本地化也需要盡早考慮。隨著近年來(lái)業(yè)務(wù)出海的聲勢(shì)越來(lái)越高，對(duì)許多想要出海的企業(yè)來(lái)說(shuō)，也會(huì)面臨類似的問題。如何讓跨國(guó)業(yè)務(wù)盡量平滑且不受損地在不同云之間過(guò)渡遷移，如何在多云之間進(jìn)行統(tǒng)一的管控收口，都是值得深思熟慮的?？沙掷m(xù)云戰(zhàn)略難度升級(jí)。一些有經(jīng)驗(yàn)的用云企業(yè)會(huì)知道，上云并不是解決問題的終點(diǎn)，而是一切的起點(diǎn)?？鐕?guó)公司在上云后，不僅需要將業(yè)務(wù)逐漸從其他云遷移過(guò)來(lái)，同時(shí)更需要思考的是如何才能在當(dāng)?shù)氐臉I(yè)務(wù)市場(chǎng)站穩(wěn)腳跟，長(zhǎng)期經(jīng)營(yíng)。因此可持續(xù)的云平臺(tái)運(yùn)營(yíng)就十分重要。但龐大的業(yè)務(wù)體量以及對(duì)當(dāng)?shù)卦破脚_(tái)水土不服等情況會(huì)造成持續(xù)運(yùn)營(yíng)的難度升級(jí)。146.行業(yè)領(lǐng)先的云治理框架伴隨企業(yè)云旅程的發(fā)展，基礎(chǔ)設(shè)施與應(yīng)用設(shè)施越來(lái)越受到企業(yè)管理層組織的廣泛重視，如何建立體系化云IT

治理框架，也成為越來(lái)越多客戶關(guān)注的問題。先進(jìn)的云

IT

治理框架，不僅包括技術(shù)服務(wù)、運(yùn)營(yíng)、安全，也包括組織和文化的變革。云為每一家企業(yè)所提供的要素，包括靈活、易擴(kuò)展、高可用和極致算力等等，都是面對(duì)數(shù)字經(jīng)濟(jì)中企業(yè)所需要的，同時(shí)，云也能夠確保符合企業(yè)的信息安全策略，特別是數(shù)據(jù)保護(hù)、審計(jì)功能、訪問控制以及網(wǎng)絡(luò)和終端保護(hù)。先進(jìn)的云上IT

治理框架先進(jìn)的云上IT

治理，相較于傳統(tǒng)的

IT治理模式，更強(qiáng)調(diào)全局管控以及靈活管理。15先進(jìn)的云上

IT

治理模式分為兩個(gè)層次，第一層為

IT

治理本身，即以規(guī)范化體系化的框架去調(diào)整現(xiàn)有的云上資源配置部署，在上云前的“治理”即為構(gòu)建上云登錄區(qū)

LandingZone，一般來(lái)說(shuō)會(huì)從：資源、財(cái)務(wù)、網(wǎng)絡(luò)、身份、安全、合規(guī)審計(jì)等角度對(duì)企業(yè)的現(xiàn)狀進(jìn)行上云規(guī)劃。對(duì)企業(yè)云架構(gòu)的治理可以分為全局治理以及部分治理。全局云

IT

治理指綜合全面的上云規(guī)劃，但對(duì)于一些企業(yè)來(lái)說(shuō)，由于治理成本等因素，有時(shí)候會(huì)采用部分治理的模式，例如，一家企業(yè)對(duì)安全方面有很大的訴求，則可采用資源、身份、網(wǎng)絡(luò)、安全的模塊搭配進(jìn)行部分云治理轉(zhuǎn)型，這對(duì)于一些難以一次性投入全面云治理解決方案成本的小型企業(yè)來(lái)說(shuō)，是最優(yōu)的結(jié)果。在此結(jié)果上進(jìn)行數(shù)字化轉(zhuǎn)型并利用云平臺(tái)提高業(yè)務(wù)效率，后續(xù)可以對(duì)剩余模塊按需分批進(jìn)行治理，以達(dá)成全面規(guī)范化體系化用云的結(jié)果。第二層先進(jìn)的“治理”為在上云規(guī)劃以及部署的過(guò)程中的流程治理，即幫助企業(yè)以更靈活協(xié)調(diào)的方式進(jìn)行交付。復(fù)雜的跨職能云轉(zhuǎn)型計(jì)劃需要謹(jǐn)慎地協(xié)調(diào)，尤其是在組織結(jié)構(gòu)更為傳統(tǒng)的企業(yè)中。許多相互關(guān)聯(lián)和依賴的關(guān)系在交付過(guò)程中才會(huì)凸顯出來(lái)，需要完善的技術(shù)項(xiàng)目管理計(jì)劃，結(jié)合優(yōu)化或整合的成本、時(shí)間安排、工作量和收益來(lái)協(xié)調(diào)管理這些相互依賴的關(guān)系。這種治理更像是一種服務(wù)于云交付過(guò)程的一種保障和支撐作用，對(duì)于云治理流程是必不可少的。此外，一個(gè)良好的流程治理也可以幫助跨國(guó)企業(yè)規(guī)劃、衡量和優(yōu)化云支出?？梢詫⒃铺峁┑馁Y源預(yù)置簡(jiǎn)便性和敏捷性益處與團(tuán)隊(duì)的云支出財(cái)務(wù)責(zé)任結(jié)合起來(lái)，以確保公司持續(xù)優(yōu)化云工作負(fù)載，并使用最佳定價(jià)模式。同時(shí)，明確與云相關(guān)的財(cái)務(wù)角色和責(zé)任，并確保企業(yè)中的各部門就云成本分配達(dá)成共識(shí)。目前先進(jìn)的云上框架，可以支持更加動(dòng)態(tài)的預(yù)測(cè)和預(yù)算編制流程，更快地識(shí)別成本差異和異常情況，從而更好地管理云支出。同時(shí)，一個(gè)完整的先進(jìn)云

IT

治理框架，還需要在企業(yè)安全合規(guī)的監(jiān)管下，做到從戰(zhàn)略、組織、運(yùn)營(yíng)三個(gè)角度對(duì)企業(yè)管理進(jìn)行提效、優(yōu)化組織結(jié)構(gòu)以及云能力標(biāo)準(zhǔn)化規(guī)范化運(yùn)營(yíng)，建議如下：一、戰(zhàn)略16采用先進(jìn)的云上治理框架能夠有助于確保企業(yè)在云戰(zhàn)略上的決策正確，助力企業(yè)快速實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型目標(biāo)并取得業(yè)務(wù)成果。與傳統(tǒng)

IT

治理相比，云上

IT治理更具有靈活性，可以幫助企業(yè)快速構(gòu)建企業(yè)級(jí)、可擴(kuò)展線上線下融合的云平臺(tái)架構(gòu)，不僅能優(yōu)化企業(yè)

IT

資源，同時(shí)也能更好地支撐當(dāng)前工作負(fù)載，并隨時(shí)可結(jié)合最新的云原生方案快速開展新的業(yè)務(wù)場(chǎng)景探索。以云上

IT

治理框架為企業(yè)

IT

的核心戰(zhàn)略，有助于企業(yè)利用云來(lái)支持和塑造長(zhǎng)期業(yè)務(wù)目標(biāo)、實(shí)現(xiàn)降本增效。這包括找出并消除技術(shù)債務(wù)、利用云優(yōu)化技術(shù)和業(yè)務(wù)運(yùn)營(yíng)的機(jī)會(huì)，以及探索借助云功能實(shí)現(xiàn)的新的價(jià)值主張和收入模式。并且通過(guò)在正確的時(shí)間交付正確的云產(chǎn)品和項(xiàng)目計(jì)劃，有助于實(shí)施企業(yè)策略并加快實(shí)現(xiàn)業(yè)務(wù)成果，高效開發(fā)新的流程、產(chǎn)品和體驗(yàn)，并改進(jìn)現(xiàn)有情況。先進(jìn)的云上

IT

治理框架考慮對(duì)平臺(tái)架構(gòu)的標(biāo)準(zhǔn)化規(guī)劃設(shè)計(jì)，建立和維護(hù)架構(gòu)完善的云環(huán)境，包括線上線下一致性的混合場(chǎng)景及多云策略；幫助跨國(guó)企業(yè)加快實(shí)施、降低風(fēng)險(xiǎn)并推動(dòng)云采用框架?；诮y(tǒng)一的平臺(tái)設(shè)計(jì)，在跨國(guó)企業(yè)內(nèi)部推動(dòng)

IT

流程的優(yōu)化，并采用最佳實(shí)踐以及持續(xù)集成、測(cè)試和部署，幫助跨國(guó)企業(yè)提高敏捷性，從而更快地進(jìn)行創(chuàng)新，更好地進(jìn)入并適應(yīng)新的市場(chǎng)。二、組織先進(jìn)的云上

IT

治理框架，是技術(shù)與業(yè)務(wù)之間的橋梁，可以幫助企業(yè)更快地打造持續(xù)增長(zhǎng)和學(xué)習(xí)的文化，使變革成為常態(tài)，并將重點(diǎn)放在組織結(jié)構(gòu)優(yōu)化上。先進(jìn)的云上

IT

治理框架有助于企業(yè)進(jìn)行人才創(chuàng)新、加速變革以及提高組織協(xié)調(diào)性?？梢詾槠髽I(yè)吸引、培養(yǎng)和留住有較高的專業(yè)能力、學(xué)習(xí)潛力且適應(yīng)能力強(qiáng)的員工，也可以幫助企業(yè)實(shí)現(xiàn)組織角色變革，通過(guò)標(biāo)準(zhǔn)能力的建設(shè)，進(jìn)一步提高員工的工作效率和工作滿意度；此外，當(dāng)云上

IT

治理框架指導(dǎo)企業(yè)形成具體的落地規(guī)范后，可以幫助提升內(nèi)外部（IT

與其他部門）的協(xié)調(diào)與合作，從而提升企業(yè)的整體效能；最后，作為17技術(shù)與業(yè)務(wù)策略之間的橋梁，先進(jìn)的云上

IT

治理框架能夠反向推動(dòng)業(yè)務(wù)部門能夠更好地接受技術(shù)變革，實(shí)現(xiàn)業(yè)務(wù)與技術(shù)的良性互動(dòng)。事實(shí)上，先進(jìn)的云上

IT治理框架對(duì)組織的要求，可推動(dòng)企業(yè)云卓越中心

CCoE

的形成，在企業(yè)中為其他團(tuán)隊(duì)提供云戰(zhàn)略方面的指導(dǎo)、并為企業(yè)的云采用實(shí)現(xiàn)最佳實(shí)踐。云卓越中心

CCoE

可由云架構(gòu)師，工程師，安全分析人員，項(xiàng)目經(jīng)理和其他在云技術(shù)方面具有專業(yè)知識(shí)的

IT

專業(yè)人員組成。在其帶領(lǐng)下各

IT

團(tuán)隊(duì)或者云團(tuán)隊(duì)對(duì)云的治理以及運(yùn)營(yíng)會(huì)保持安全和經(jīng)濟(jì)高效。三、運(yùn)營(yíng)針對(duì)云上

IT治理框架的運(yùn)營(yíng)，首先是需要確保云產(chǎn)品以及云平臺(tái)相關(guān)交付可滿足企業(yè)業(yè)務(wù)需求，在無(wú)任何業(yè)務(wù)侵入性的情況下，使業(yè)務(wù)在云上進(jìn)行高效運(yùn)轉(zhuǎn)。當(dāng)企業(yè)以云的方式快速并規(guī)?；涞剡\(yùn)營(yíng)時(shí)，良好的云運(yùn)營(yíng)需要預(yù)測(cè)出問題的所在，并在問題導(dǎo)致企業(yè)業(yè)務(wù)中斷之前修正。相較于傳統(tǒng)的

IT

治理，先進(jìn)的

IT治理框架可實(shí)現(xiàn)企業(yè)運(yùn)營(yíng)的可觀測(cè)性、流程高效協(xié)作以及

ITIL

平臺(tái)優(yōu)化，可幫助企業(yè)從基礎(chǔ)設(shè)施和應(yīng)用程序數(shù)據(jù)中獲得切實(shí)可行的洞察。先進(jìn)的云上

IT

治理框架是確保高效的

IT

管理流程的基礎(chǔ)，為云運(yùn)營(yíng)提供了便捷，為企業(yè)的運(yùn)營(yíng)自動(dòng)化及智能化提供了可能。先進(jìn)的體系化的云平臺(tái)通過(guò)高效的事件和問題管理，能夠幫助企業(yè)快速恢復(fù)服務(wù)運(yùn)營(yíng)并將不良業(yè)務(wù)影響降至最低。隨著用云進(jìn)程的深入，可實(shí)現(xiàn)服務(wù)問題和應(yīng)用程序運(yùn)行狀況的響應(yīng)流程高度自動(dòng)化，從而增加服務(wù)正常運(yùn)行時(shí)間。此外，先進(jìn)的云上

IT

治理框架可以幫助企業(yè)使用平臺(tái)工程中包含的DevOps（DevSecOps）等能力建立

CI/CD

技術(shù)快速管理發(fā)布和回滾，建設(shè)敏捷的變更流程，實(shí)現(xiàn)與云的敏捷性保持一致的自動(dòng)化審批（ITSM）工作流。同時(shí)，可以使用部署管理系統(tǒng)來(lái)跟蹤并實(shí)施變更，通過(guò)頻繁進(jìn)行可逆的小規(guī)模變更可以提升迭代效率，縮小變更影響的范圍。18先進(jìn)的云上

IT

治理框架能夠幫忙企業(yè)通過(guò)管理提效，從而實(shí)現(xiàn)執(zhí)行層面的降本增效。同時(shí)能夠?qū)⑵髽I(yè)運(yùn)營(yíng)的反饋更新到戰(zhàn)略層面，形成新的優(yōu)化目標(biāo)，不斷迭代，確保企業(yè)云上

IT

治理的時(shí)效性。四、安全合規(guī)不管是傳統(tǒng)

IT

治理還是先進(jìn)的云

IT

治理框架，都需要遵循企業(yè)安全以及合規(guī)的監(jiān)管約束。先進(jìn)的云上

IT治理框架，能夠?qū)崿F(xiàn)數(shù)據(jù)和云工作負(fù)載的機(jī)密性、完整性和可用性，幫助企業(yè)構(gòu)建一個(gè)可見、可控、可追溯的安全的云環(huán)境。首先，先進(jìn)的云上

IT

治理框架可以清晰定義責(zé)任范圍、明確安全計(jì)劃的目標(biāo)和要求，同時(shí)適用于企業(yè)所處行業(yè)和其資產(chǎn)、安全風(fēng)險(xiǎn)和合規(guī)性要求，幫助企業(yè)確定工作的優(yōu)先級(jí)。安全合規(guī)的監(jiān)管也會(huì)對(duì)企業(yè)的

IT治理進(jìn)行有效的指導(dǎo)和建議，可以幫助加強(qiáng)

IT

團(tuán)隊(duì)間的協(xié)作，在安全合規(guī)的前提下加速企業(yè)的云化轉(zhuǎn)型。其次，先進(jìn)的云上

IT

治理框架可以對(duì)企業(yè)的

IT操作進(jìn)行持續(xù)監(jiān)控、評(píng)估和管理，提供堅(jiān)實(shí)有力的安全保障，確保企業(yè)的安全和隱私管理不僅達(dá)到企業(yè)總部的要求，也符合國(guó)際標(biāo)準(zhǔn)或本地法律法規(guī)。這對(duì)于維護(hù)跨區(qū)企業(yè)和其服務(wù)的客戶之間的信任關(guān)系至關(guān)重要，同時(shí)還可以減少企業(yè)管理上不必要的復(fù)雜性，加強(qiáng)企業(yè)管理的連續(xù)性和穩(wěn)定性。197.跨國(guó)企業(yè)上云建議基于上云洞察的一些基本考量點(diǎn)，我們對(duì)跨國(guó)企業(yè)客戶進(jìn)行市場(chǎng)調(diào)研，我們了解到跨國(guó)企業(yè)對(duì)于采用先進(jìn)的云治理解決方案的需求強(qiáng)烈，主要原因如下：1.

企業(yè)全球總部有實(shí)施

LandingZone的策略要求。2.

基于數(shù)據(jù)資產(chǎn)安全合規(guī)要求（“三法”），亟需在本地進(jìn)行云架構(gòu)治理。3.

隨著企業(yè)深入用云，亟需規(guī)范化標(biāo)準(zhǔn)化的云架構(gòu)。4.

為應(yīng)對(duì)市場(chǎng)競(jìng)爭(zhēng)（如：市場(chǎng)上已有其他同類型客戶采用了先進(jìn)的云治理框架），采用

LandingZone?？鐕?guó)企業(yè)采用

LandingZone

的主要原因示意圖20從上圖可直觀看出，跨國(guó)企業(yè)選用

LandingZone

的原因可以歸納為企業(yè)用云的成熟度（縱向線）以及用云以外的原因反推動(dòng)對(duì)云的要求（橫向的面），在這些原因的綜合影響下，跨國(guó)企業(yè)會(huì)采用

LandingZone（線和面的交叉點(diǎn)）。從這個(gè)面上看，跨國(guó)企業(yè)客戶將面臨來(lái)自內(nèi)部（企業(yè)全球總部的要求）和外部（安全合規(guī)需求和應(yīng)對(duì)市場(chǎng)競(jìng)爭(zhēng)的要求）的挑戰(zhàn)。而就縱向而言，隨著企業(yè)用云的深入，不可避免地需要采用阿里云

LandingZone

來(lái)更好地管理云平臺(tái)。事實(shí)上，跨國(guó)企業(yè)在經(jīng)營(yíng)過(guò)程中，核心關(guān)注點(diǎn)是如何在國(guó)內(nèi)更好地提升運(yùn)營(yíng)效率和業(yè)務(wù)增長(zhǎng)。企業(yè)在面對(duì)數(shù)據(jù)合規(guī)等監(jiān)管要求時(shí)，相較于采用單純的數(shù)據(jù)合規(guī)解決方案，更傾向于采用基于

LandingZone

體系化的合規(guī)審計(jì)方案。除此之外，市場(chǎng)調(diào)研顯示，采用阿里云服務(wù)的跨國(guó)企業(yè)大多對(duì)

LandingZone

或多或少有了解，知曉

LandingZone

具有上云規(guī)范的地基屬性。這也成為企業(yè)采用

LandingZone

的一個(gè)關(guān)鍵原因。綜上所述，跨國(guó)企業(yè)采用

LandingZone

已成為實(shí)現(xiàn)云戰(zhàn)略以及實(shí)現(xiàn)業(yè)務(wù)下一代增長(zhǎng)曲線的首要策略。為了建立穩(wěn)固的云基礎(chǔ)設(shè)施，我們推薦以

LandingZone

為基礎(chǔ)全面設(shè)計(jì)并實(shí)現(xiàn)規(guī)范上云、體系用云、全面管云的價(jià)值?？鐕?guó)企業(yè)為了成功的運(yùn)營(yíng)，還需要關(guān)注以下幾項(xiàng)：投資人才資源，建立云卓越

CCoE

團(tuán)隊(duì)；深度融入當(dāng)?shù)匚幕蛡鹘y(tǒng)，并與當(dāng)?shù)卣捅O(jiān)管機(jī)構(gòu)保持良好合作，在商業(yè)模式和云運(yùn)營(yíng)方式上進(jìn)行適配與調(diào)整，使企業(yè)始終符合當(dāng)?shù)乇O(jiān)管要求與法律；對(duì)當(dāng)?shù)厥袌?chǎng)和消費(fèi)者進(jìn)行全面了解和研究，以便確定合適的云產(chǎn)品和云服務(wù)組合；持續(xù)關(guān)注云技術(shù)和市場(chǎng)的發(fā)展趨勢(shì)，確保企業(yè)的云產(chǎn)品服務(wù)始終處于前沿趨勢(shì)；提高企業(yè)的云運(yùn)營(yíng)效率和靈活性，快速應(yīng)對(duì)市場(chǎng)變化；21建立強(qiáng)壯合作伙伴網(wǎng)絡(luò)與本土企業(yè)（如云供應(yīng)商等）和渠道高效合作；228.在阿里云構(gòu)建上云登陸區(qū)（Landing

Zone）最佳實(shí)踐8.1.

概述如果將跨國(guó)企業(yè)上云比作建造一棟現(xiàn)代化的大樓，我們將如何去規(guī)劃和設(shè)計(jì)地基（LandingZone）？設(shè)計(jì)一棟穩(wěn)固、安全、高效、美觀、智能的大樓絕非易事，需要考慮到位置、基礎(chǔ)設(shè)施、樓宇結(jié)構(gòu)、功能分區(qū)、建筑外觀、環(huán)保設(shè)計(jì)、室內(nèi)設(shè)計(jì)、安全設(shè)計(jì)、成本造價(jià)、建造周期等因素，如果缺乏充分的調(diào)研以及合理的規(guī)劃，最終的大樓可能只是磚塊的簡(jiǎn)單堆砌，缺乏美感甚至有安全隱患。規(guī)劃大樓的建造和設(shè)計(jì)云上治理方案類似。在阿里云，我們建議跨國(guó)企業(yè)在第一個(gè)應(yīng)用上云前，需要有一套完整的頂層設(shè)計(jì)，為后續(xù)的業(yè)務(wù)上云掃清障礙。否則，可能會(huì)導(dǎo)致后續(xù)業(yè)務(wù)上云面臨成本、網(wǎng)絡(luò)、安全、效率等多方面的問題。設(shè)計(jì)一個(gè)完善的企業(yè)

IT

治理方案需要充分的調(diào)研、合理的規(guī)劃和設(shè)計(jì)。通常來(lái)說(shuō)，很多大型跨國(guó)企業(yè)在阿里云規(guī)劃整體治理方案的時(shí)候，其已經(jīng)有著非常成熟的業(yè)務(wù)模型和治理規(guī)范，并不是一個(gè)從零到一的過(guò)程，所以我們?cè)跒榭蛻粼O(shè)計(jì)的時(shí)候，需要結(jié)合多方面因素進(jìn)行方案設(shè)計(jì)，最終形成一套既符合跨國(guó)企業(yè)整體規(guī)范和要求、又具有本地特色、且擁有領(lǐng)先性的治理框架：1、現(xiàn)有規(guī)范用戶現(xiàn)有的治理規(guī)范是我們?cè)谠O(shè)計(jì)云上框架時(shí)需要遵循的重要依據(jù)，比如：資源管理、資源命名、賬戶分配、權(quán)限管控、財(cái)資管理、網(wǎng)絡(luò)連通、安全管控、日志監(jiān)控、合規(guī)審計(jì)、CICD

規(guī)范等。同時(shí)，也需要結(jié)合企業(yè)所處的治理階段進(jìn)行設(shè)計(jì)，在客戶的云資源規(guī)模比較小的時(shí)候，控制臺(tái)操作是一個(gè)不錯(cuò)的選擇；但當(dāng)23云資源達(dá)到較大規(guī)模如成百上千臺(tái)服務(wù)器甚至更多的時(shí)候，控制臺(tái)手工操作變成一件幾乎不可能完成的事情，自動(dòng)化運(yùn)維變成了推薦的選擇。2、業(yè)務(wù)特征所謂“隔行如隔山”，不同行業(yè)的特征有著明顯不同，這也導(dǎo)致不同行業(yè)的治理規(guī)范也有顯著的不同，就像建造商場(chǎng)和學(xué)校，雖然同為建筑但卻需要遵循不同的設(shè)計(jì)規(guī)范。在設(shè)計(jì)整體的云上框架的時(shí)候，需要充分考慮客戶的行業(yè)特征，比如金融行業(yè)更加關(guān)注合規(guī)安全、互聯(lián)網(wǎng)行業(yè)更加注重性能效率，所以需要結(jié)合具體需求進(jìn)行針對(duì)性的方案設(shè)計(jì)。3、法律法規(guī)跨國(guó)公司在當(dāng)?shù)亻_展業(yè)務(wù)的時(shí)候，需要對(duì)當(dāng)?shù)氐姆煞ㄒ?guī)有全面的了解，并嚴(yán)格遵循所有相關(guān)規(guī)定。

不同的國(guó)家和地區(qū)對(duì)于維護(hù)數(shù)據(jù)合規(guī)性和隱私安全有著不同的要求，例如歐洲的

GDPR、美國(guó)的

CCPA、中國(guó)的等保合規(guī)等。隨著中國(guó)對(duì)數(shù)據(jù)安全和隱私合規(guī)要求的不斷提高，近年來(lái)也頒布了一系列法律法規(guī)，如《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》。數(shù)據(jù)安全是企業(yè)的生存之本，遵循法律法規(guī)也是我們?cè)谠O(shè)計(jì)云上框架的首要指導(dǎo)原則。4、最佳實(shí)踐阿里云經(jīng)過(guò)和客戶的長(zhǎng)期的合作，并通過(guò)了持續(xù)的迭代和優(yōu)化，積累了豐富的最佳實(shí)踐，這些最佳實(shí)踐涵蓋：安全性、可擴(kuò)展性、可用性、可控性、可靠性、靈活性、效率等范疇，同行業(yè)的客戶在業(yè)務(wù)模型和技術(shù)架構(gòu)上存在諸多相似性，可以作為跨國(guó)企業(yè)在規(guī)劃云上治理框架的重要參考。245、三方應(yīng)用一些跨國(guó)企業(yè)在海外的治理框架和具體方案中會(huì)引入一些第三方的應(yīng)用，這樣的組合方案在很多海外區(qū)域運(yùn)行良好，但是在國(guó)內(nèi)可能會(huì)面臨著一定程度的“水土不服”困境，常見的問題有：部分海外應(yīng)用在國(guó)內(nèi)本地化不足、功能上有缺失、存在合規(guī)風(fēng)險(xiǎn)：管控平臺(tái)部署在海外，有數(shù)據(jù)出境的可能。規(guī)劃云上治理框架的時(shí)候，需要提前知悉此方面的風(fēng)險(xiǎn)，如果可能，可以考慮做相應(yīng)的方案調(diào)整，用本地化或者云原生的方案予以替代?；谏鲜鲫P(guān)注點(diǎn)，LandingZone

將企業(yè)云上

IT治理框架分為八個(gè)模塊，并通過(guò)這八個(gè)模塊實(shí)現(xiàn)客戶的云上治理：LandingZone

框架示意圖25LandingZone

八個(gè)模塊介紹模塊描述根據(jù)公司的運(yùn)維模式，規(guī)劃云上賬號(hào)及其組織結(jié)構(gòu)，定義所需要的管控關(guān)系。資源管理明確云資源使用情況以及費(fèi)用情況，優(yōu)化云資源成本，降低不必要的支出，更快地識(shí)別成本差異和異常情況。明確與云相關(guān)的財(cái)務(wù)角色和責(zé)任，并確保企業(yè)內(nèi)部各部門對(duì)云成本的分配達(dá)成共識(shí)。財(cái)務(wù)管理網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)云上的網(wǎng)絡(luò)架構(gòu)，包括

VPC

拓?fù)浣Y(jié)構(gòu)、混合云網(wǎng)絡(luò)集成、網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)安全，以及確保構(gòu)建穩(wěn)健可靠的可伸縮的網(wǎng)絡(luò)架構(gòu)。通過(guò)確保用戶賬號(hào)與實(shí)際權(quán)限之間的分離，可以分割風(fēng)險(xiǎn)和安全問題，保障最低權(quán)限制度，避免信息濫用和泄露。使用最低權(quán)限原則，設(shè)置權(quán)限邊界，并使用服務(wù)控制策略，以便隨著環(huán)境發(fā)展和用戶群的擴(kuò)大，正確的實(shí)體能夠訪問正確的資源。身份權(quán)限安全防護(hù)通過(guò)云服務(wù)安全合規(guī)基線管理、云服務(wù)治理，滿足企業(yè)合規(guī)性要求，降低組織風(fēng)險(xiǎn)，并根據(jù)不斷變化的風(fēng)險(xiǎn)和要求不斷地更新。26主動(dòng)管理云平臺(tái)與監(jiān)管和治理要求的合規(guī)性的服務(wù)，對(duì)治理的目標(biāo)和流程進(jìn)行審計(jì)以達(dá)到監(jiān)管的要求。合規(guī)審計(jì)運(yùn)維管理確保所有的日志被集成整合在單一的工具中，以進(jìn)行更為有效的分析。與此同時(shí)，構(gòu)建以

CMDB為核心的運(yùn)維管理體系，包含標(biāo)準(zhǔn)的發(fā)布變更流程，應(yīng)用和基礎(chǔ)設(shè)施的統(tǒng)一監(jiān)控，集成企業(yè)的

ITSM系統(tǒng)，提供自助服務(wù)。實(shí)現(xiàn)云資源使用和調(diào)配的自動(dòng)化，改善客戶服務(wù)體驗(yàn)、解放員工生產(chǎn)力和提高決策正確率等，最終達(dá)到提高運(yùn)營(yíng)效率，降低運(yùn)營(yíng)成本并改善員工和客戶體驗(yàn)等結(jié)果。自動(dòng)化8.2.

資源管理一、概述資源管理指對(duì)云資源進(jìn)行全面、有效、安全、可控地管理和利用的過(guò)程，是跨國(guó)企業(yè)上云過(guò)程中首先需要考慮的問題，這里提到的資源主要包括賬號(hào)資源（Accounts）以及云資源（Resources），資源管理主要探討結(jié)構(gòu)性的賬戶體系來(lái)應(yīng)對(duì)業(yè)務(wù)的持續(xù)發(fā)展，保障資源的有效隔離又不影響運(yùn)維效率，同時(shí)要兼顧資源的統(tǒng)一管理。隨著企業(yè)上云業(yè)務(wù)的增多和規(guī)模的增大，業(yè)務(wù)之間的復(fù)雜度明顯提升，對(duì)于云資源的管理提出了巨大的挑戰(zhàn)，這也要求企業(yè)在上云初期要做好提前規(guī)劃。二、挑戰(zhàn)27相較而言，跨國(guó)企業(yè)對(duì)于資源管理有著更為嚴(yán)格的規(guī)范，在保證云資源高效使用的同時(shí)，又需要滿足嚴(yán)格的規(guī)范性，為之后管理更大規(guī)模的云資源奠定基礎(chǔ)。目前我們觀察到跨國(guó)企業(yè)在管理資源方面可能面臨著如下的挑戰(zhàn)：所有資源部署在一個(gè)賬號(hào)下，隔離管控不徹底。云資源缺乏統(tǒng)一的命名規(guī)范，后期管理成本高。缺乏合理的標(biāo)簽對(duì)資源進(jìn)行分類?；诖?，我們建議上云之初就規(guī)劃采用多賬號(hào)、結(jié)構(gòu)化的資源（賬號(hào)）管理架構(gòu)，通過(guò)合理的組織結(jié)構(gòu)和規(guī)則配置，以滿足業(yè)務(wù)日后擴(kuò)展的需求，多賬號(hào)體系具備以下優(yōu)勢(shì)：賬號(hào)間的天然隔離性，多個(gè)賬號(hào)實(shí)現(xiàn)企業(yè)不同業(yè)務(wù)或應(yīng)用間的相互獨(dú)立。對(duì)于業(yè)務(wù)復(fù)雜的大型企業(yè)，多賬號(hào)可以解決多法律實(shí)體、差異化結(jié)算關(guān)系等業(yè)務(wù)訴求。多個(gè)賬號(hào)可以突破單賬號(hào)下云資源服務(wù)配額限制等約束。三、解決方案我們將通過(guò)以下的資源管理設(shè)計(jì)幫助跨國(guó)企業(yè)進(jìn)行合理的資源管控。1.

企業(yè)多賬號(hào)結(jié)構(gòu)設(shè)計(jì)28多賬號(hào)結(jié)構(gòu)規(guī)劃結(jié)合跨國(guó)企業(yè)的賬號(hào)規(guī)范以及資源管控隔離的需求，我們通常建議設(shè)置一個(gè)主賬號(hào)（MA:MasterAccount）作為支付賬號(hào)，同時(shí)也是賬號(hào)結(jié)構(gòu)中的根賬號(hào)，該賬號(hào)下不放置具體的云資源，在該賬號(hào)的根資源夾下創(chuàng)建兩個(gè)資源夾：Core、Applications，用以管理成員賬號(hào)。o在

Core

資源夾中放置共享資源的賬號(hào)：用于集中橫向管理類服務(wù)的部署，例如網(wǎng)絡(luò)賬號(hào)、日志賬號(hào)、安全賬號(hào)等。o在

Applications

資源夾中放置具體的應(yīng)用：應(yīng)用賬號(hào)可以結(jié)合跨國(guó)企業(yè)的實(shí)際需要按照多個(gè)維度進(jìn)行設(shè)計(jì)，如：環(huán)境（開發(fā)、測(cè)試、生產(chǎn)）、成本中心、應(yīng)用、業(yè)務(wù)線、部門等。使用資源夾作為日后管控策略和基線實(shí)施單元。企業(yè)管理賬號(hào)為資源目錄的超級(jí)管理員，建議不要將其用于資源目錄管理之外的其他任何用途。妥善管理此賬號(hào)，并設(shè)置

MFA

雙重驗(yàn)證，加強(qiáng)安全訪問管理措施。建議通過(guò)角色扮演的方式訪問成員賬號(hào)。2.

使用標(biāo)簽進(jìn)行資源分類29標(biāo)簽是對(duì)資產(chǎn)進(jìn)行分類的簡(jiǎn)便方法。標(biāo)簽將元數(shù)據(jù)關(guān)聯(lián)到資產(chǎn)，該元數(shù)據(jù)可用于基于各種數(shù)據(jù)點(diǎn)對(duì)資產(chǎn)進(jìn)行分類。當(dāng)使用標(biāo)簽對(duì)資產(chǎn)進(jìn)行分類作為成本管理工作的一部分時(shí)，企業(yè)通常需要以下標(biāo)簽：業(yè)務(wù)線、部門、成本中心、地理位置、環(huán)境、項(xiàng)目、應(yīng)用等。阿里云費(fèi)用中心的“分賬賬單”可以使用這些標(biāo)記創(chuàng)建成本數(shù)據(jù)的不同視圖。提前定義標(biāo)簽的目錄和取值范圍。綁定標(biāo)簽的背后是一個(gè)流程，因此提前設(shè)計(jì)好如何綁定標(biāo)簽非常重要。明確標(biāo)簽的使用場(chǎng)景。我們建議使用標(biāo)簽用于包括但不限于如下場(chǎng)景：o使用標(biāo)簽描述應(yīng)用：一般情況下，組織可根據(jù)日常管理層級(jí)構(gòu)建資源歸屬的標(biāo)簽組合。組合形式一般不建議超過(guò)

3

個(gè)標(biāo)簽。例如，某跨國(guó)企業(yè)為了能夠快速找到對(duì)應(yīng)資源，設(shè)計(jì)如下標(biāo)簽：...project：描述資源項(xiàng)目歸屬。env：描述資源環(huán)境信息。user：描述資源持有者信息。o使用標(biāo)簽進(jìn)行分賬：阿里云費(fèi)用中心的分賬賬單支持按標(biāo)簽細(xì)分阿里云成本的功能。最常見的情況，客戶可以使用成本中心（costcenter）、業(yè)務(wù)單元（businessunit）或者項(xiàng)目組（project）將成本與業(yè)務(wù)部門進(jìn)行關(guān)聯(lián)。在分賬賬單中，費(fèi)用報(bào)告可以以任何標(biāo)簽維度歸納賬單。因此，客戶也可以輕松地將成本與技術(shù)或安全性維度作為分賬維度，例如特定應(yīng)用（application）、環(huán)境（env）等。o自動(dòng)化運(yùn)維和監(jiān)控：

自動(dòng)化運(yùn)維/自動(dòng)化開通是在日常業(yè)務(wù)中比較常見的場(chǎng)景。技術(shù)人員往往通過(guò)一類標(biāo)簽來(lái)定義批量運(yùn)維、檢測(cè)的策略。建立標(biāo)簽的巡檢機(jī)制，及時(shí)發(fā)現(xiàn)沒有綁定標(biāo)簽的云產(chǎn)品并評(píng)估影響和制定應(yīng)對(duì)策略。303.

云資源統(tǒng)一命名規(guī)范云資源建議遵循統(tǒng)一的命名規(guī)范，后期在運(yùn)維階段，可以通過(guò)資源名稱快速定位到該資源的所有者及其關(guān)鍵信息，云資源的命名規(guī)范我們建議遵循以下原則：使用描述性和有意義的名稱：使用能清楚表明資源用途和功能的名稱，為了避免名稱過(guò)長(zhǎng)，建議使用無(wú)歧義的縮寫。保持一致性：確保在所有資源的命名規(guī)范中保持一致性。避免使用特殊字符：避免在資源名稱中使用逗號(hào)、點(diǎn)或空格等特殊字符。使用分層命名結(jié)構(gòu)：使用分層命名結(jié)構(gòu)，幫助您將資源組織成邏輯組。例如，您可以使用包含環(huán)境、應(yīng)用和資源類別的命名規(guī)范。通常建議命名規(guī)范中不應(yīng)超過(guò)五個(gè)字段。四、方案價(jià)值管控隔離：企業(yè)將云上資源按照賬號(hào)維度進(jìn)行有效的管控隔離，一定程度上防止因過(guò)度授權(quán)引發(fā)的業(yè)務(wù)隱患。獨(dú)立結(jié)算：可以實(shí)現(xiàn)各業(yè)務(wù)賬號(hào)的獨(dú)立結(jié)算，突破單賬號(hào)資源配額的限制。運(yùn)維提效：通過(guò)標(biāo)簽以及統(tǒng)一的命名規(guī)范，運(yùn)維團(tuán)隊(duì)可以更加規(guī)范和敏捷地管理云資源，提升運(yùn)維效率和規(guī)范性。8.3.

財(cái)務(wù)管理一、概述財(cái)務(wù)管理主要指企業(yè)在用云過(guò)程中的賬單、資金、費(fèi)用、發(fā)票等財(cái)資票稅方面的管理；云上的財(cái)務(wù)管理規(guī)范的設(shè)計(jì)需要考慮到財(cái)務(wù)管理的核心目標(biāo)，即確保企業(yè)財(cái)務(wù)的合法、規(guī)范、透明和精準(zhǔn)，同時(shí)提高財(cái)務(wù)管理的效率和便捷性，對(duì)于跨國(guó)企業(yè)，除了上述的關(guān)注點(diǎn)外，財(cái)務(wù)處理的自動(dòng)化和智能化也是其重點(diǎn)關(guān)注的31內(nèi)容，阿里云提供了豐富的財(cái)務(wù)功能來(lái)滿足企業(yè)復(fù)雜的財(cái)務(wù)管理需求，企業(yè)可以根據(jù)實(shí)際的業(yè)務(wù)要求選擇最合適的財(cái)資管理方式。二、挑戰(zhàn)通常而言，跨國(guó)企業(yè)有著完善的財(cái)務(wù)結(jié)算體系以及在其他云上的財(cái)務(wù)實(shí)踐，所以阿里云上的財(cái)務(wù)管理方案需要適配企業(yè)已有的財(cái)務(wù)管理體系，在設(shè)計(jì)財(cái)務(wù)管理方案之初，跨國(guó)企業(yè)可能會(huì)面臨如下的挑戰(zhàn)：如何在阿里云上統(tǒng)一管理賬單、信控、合同、付款、發(fā)票？如何根據(jù)團(tuán)隊(duì)、部門、成本中心、項(xiàng)目等維度進(jìn)行快速的賬單拆分？如何有效集中監(jiān)控成本和支出？三、解決方案針對(duì)以上的挑戰(zhàn)，結(jié)合跨國(guó)企業(yè)財(cái)務(wù)組織結(jié)構(gòu)、商務(wù)優(yōu)惠、結(jié)算模式、成本監(jiān)控等因素進(jìn)行考量。我們?cè)O(shè)計(jì)如下：1.

企業(yè)財(cái)務(wù)組織結(jié)構(gòu)企業(yè)財(cái)務(wù)組織結(jié)構(gòu)，通常代表一家企業(yè)的成本管理結(jié)構(gòu)。這個(gè)結(jié)構(gòu)是多層級(jí)的，包括財(cái)務(wù)管理部門、業(yè)務(wù)部門和云資源。財(cái)務(wù)管理部門負(fù)責(zé)評(píng)估和管理云業(yè)務(wù)預(yù)算，為業(yè)務(wù)部門的云上費(fèi)用做統(tǒng)一結(jié)算，持續(xù)跟蹤和分析消費(fèi)賬單。財(cái)務(wù)管理部門的職責(zé)通過(guò)財(cái)務(wù)管理部門賬號(hào)來(lái)承載。業(yè)務(wù)部門負(fù)責(zé)在預(yù)算范圍內(nèi)開通和管理云資源。每個(gè)業(yè)務(wù)部門開通獨(dú)立的云賬號(hào)。云資源由業(yè)務(wù)部門開通和管理，歸屬于相應(yīng)的業(yè)務(wù)部門賬號(hào)下。32使用企業(yè)財(cái)務(wù)服務(wù)提供的關(guān)聯(lián)賬號(hào)能力，將組織多層級(jí)結(jié)構(gòu)搭建起來(lái)。在這種結(jié)構(gòu)下，財(cái)務(wù)人員能清晰完整地了解整個(gè)企業(yè)的云上成本，便于進(jìn)行消費(fèi)預(yù)測(cè)和成本優(yōu)化。業(yè)務(wù)部門的技術(shù)人員在預(yù)算范圍內(nèi)可以靈活地按需實(shí)時(shí)開通云資源，省去傳統(tǒng)企業(yè)繁瑣的資源申請(qǐng)流程，提升了工作效率。各企業(yè)的內(nèi)部組織結(jié)構(gòu)雖然不盡相同，但業(yè)務(wù)部門可以同時(shí)是項(xiàng)目或小組等成本管理的單元，可以按照自己的組織模式映射成上述結(jié)構(gòu)。設(shè)計(jì)建議財(cái)務(wù)人員需要與業(yè)務(wù)部門加強(qiáng)溝通，及時(shí)收集業(yè)務(wù)部門的資源采購(gòu)計(jì)劃，定期向業(yè)務(wù)部門同步成本分?jǐn)傂畔?。?cái)務(wù)人員需要持續(xù)關(guān)注費(fèi)用趨勢(shì)。財(cái)務(wù)人員設(shè)計(jì)標(biāo)簽分類，建議技術(shù)人員在開通云資源時(shí)綁定對(duì)應(yīng)標(biāo)簽，便于基于標(biāo)簽做細(xì)粒度的分賬。技術(shù)人員按需開通資源，在預(yù)算范圍內(nèi)優(yōu)化資源結(jié)構(gòu)。2.

財(cái)務(wù)管理模式33企業(yè)在建立賬號(hào)關(guān)聯(lián)時(shí)，客戶可以根據(jù)企業(yè)自身的管理需要，選擇如下業(yè)務(wù)模式之一：【財(cái)務(wù)管理】、【財(cái)務(wù)托管】。財(cái)務(wù)托管主賬號(hào)、子賬號(hào)都是官網(wǎng)的普通賬號(hào)，有完整的財(cái)務(wù)屬性。在該業(yè)務(wù)模式下，子賬號(hào)將自己的資金、發(fā)票、賬單財(cái)務(wù)權(quán)限賦予給主賬號(hào)，統(tǒng)一由主賬號(hào)進(jìn)行子賬號(hào)的代付、開票、賬單結(jié)算等業(yè)務(wù)管理，這也是跨國(guó)企業(yè)在廣泛使用的一種財(cái)資管理模式。財(cái)務(wù)管理主賬號(hào)、子賬號(hào)都是官網(wǎng)的普通賬號(hào)，有完整的財(cái)務(wù)屬性。主子賬號(hào)之間建立關(guān)聯(lián)后，通過(guò)授權(quán)關(guān)系進(jìn)行業(yè)務(wù)管理。在日常業(yè)務(wù)過(guò)程中，主子賬號(hào)分別管理自己的資金信控、優(yōu)惠合同、賬單發(fā)票等。當(dāng)進(jìn)行授權(quán)后，被授權(quán)一方可以管理另一方被授權(quán)的業(yè)務(wù)。如：子賬號(hào)授權(quán)主賬號(hào)查看賬單，則被授權(quán)的主賬號(hào)可以查看子賬號(hào)的賬單。343.

商務(wù)優(yōu)惠商務(wù)優(yōu)惠，指企業(yè)購(gòu)買使用云服務(wù)的資費(fèi)與優(yōu)惠，包括與阿里云簽訂的商務(wù)合同條款中約定的框架折扣。企業(yè)可以采用財(cái)務(wù)托管的模式，從而將主賬號(hào)（如財(cái)務(wù)部門管理賬號(hào)）設(shè)置為折扣生效的目標(biāo)賬號(hào)。這么做的優(yōu)勢(shì)體現(xiàn)在：關(guān)聯(lián)賬號(hào)的開通和云資源的使用，計(jì)費(fèi)出賬時(shí)可以享受到主賬號(hào)的折扣優(yōu)惠。4.

成本監(jiān)控成本賬單阿里云面向企業(yè)客戶財(cái)務(wù)管理的成本監(jiān)控訴求，提供成本賬單功能：企業(yè)可以用來(lái)觀察每月的成本；可以基于實(shí)例、基于產(chǎn)品來(lái)看費(fèi)用的分?jǐn)偳闆r。對(duì)于預(yù)付費(fèi)的消費(fèi)而言，也可以把消費(fèi)費(fèi)用分?jǐn)偟矫總€(gè)月。并且，財(cái)務(wù)管理與托管的主賬號(hào)可顯示全部關(guān)聯(lián)賬戶的所有分?jǐn)倲?shù)據(jù)。費(fèi)用分析另外，阿里云費(fèi)用分析功能還可幫助企業(yè)更好地管理云服務(wù)資源的消費(fèi)情況。使用費(fèi)用分析功能，可以多維度查看資源成本的趨勢(shì)（最大支持

12個(gè)月）、查看全面的成本組成結(jié)構(gòu)、進(jìn)行未來(lái)成本的預(yù)測(cè)等，并可將一組篩選條件保存為報(bào)告，快捷查看。四、方案價(jià)值統(tǒng)一管控：企業(yè)財(cái)務(wù)部門可以實(shí)現(xiàn)統(tǒng)一的財(cái)資管理：賬單、信控、合同、付款、發(fā)票集中管控。快速分賬：企業(yè)財(cái)務(wù)部門可以根據(jù)不同維度實(shí)現(xiàn)快速分賬，如成本中心、團(tuán)隊(duì)、BU、項(xiàng)目等。成本分析：結(jié)合多賬號(hào)體系，各賬號(hào)的開銷一目了然，有助于各業(yè)務(wù)部門的成本分析和管理。8.4.

網(wǎng)絡(luò)規(guī)劃一、概述35企業(yè)在上云之前，IT

資源部署在私有數(shù)據(jù)中心，不同的服務(wù)器之間使用二層、三層交換機(jī)，路由器，防火墻等網(wǎng)絡(luò)設(shè)備相互連接起來(lái)，通過(guò)路由協(xié)議，訪問控制條目，防火墻策略等將企業(yè)不同部門、業(yè)務(wù)、資源隔離并進(jìn)行安全管控。近些年隨著公有云的迅速發(fā)展，企業(yè)在規(guī)劃云上治理框架的時(shí)候，如何合理規(guī)劃網(wǎng)絡(luò)架構(gòu)成為企業(yè)需要直面的問題，健壯的網(wǎng)絡(luò)架構(gòu)要能夠支撐企業(yè)存量業(yè)務(wù)，同時(shí)能夠具備高可靠性和可擴(kuò)展性，以保證業(yè)務(wù)的穩(wěn)定和未來(lái)的系統(tǒng)擴(kuò)容和升級(jí)。二、挑戰(zhàn)相較而言，跨國(guó)企業(yè)擁有較大的

IT資產(chǎn)規(guī)模，并且需要遵循嚴(yán)格的行業(yè)規(guī)范，所以對(duì)于網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、部署使用、運(yùn)維管理都有較高的要求，并且還可能面臨各種各樣的特殊業(yè)務(wù)場(chǎng)景，僅僅具備云產(chǎn)品的初級(jí)使用能力已不能滿足實(shí)際使用需求。所以網(wǎng)絡(luò)規(guī)劃模塊重點(diǎn)是幫助企業(yè)高效設(shè)計(jì)云上網(wǎng)絡(luò)環(huán)境，解決云上云下網(wǎng)絡(luò)互通、云上企業(yè)內(nèi)部網(wǎng)絡(luò)互通等場(chǎng)景下的問題。具體方案設(shè)計(jì)，應(yīng)結(jié)合企業(yè)自身的業(yè)務(wù)需求出發(fā)，當(dāng)前總結(jié)的業(yè)務(wù)場(chǎng)景需求如下：36云上網(wǎng)絡(luò)分區(qū)場(chǎng)景：按照使用習(xí)慣和業(yè)務(wù)訪問關(guān)系，可以分為業(yè)務(wù)生產(chǎn)區(qū)、互聯(lián)網(wǎng)出口區(qū)、開發(fā)測(cè)試區(qū)、東西向安全過(guò)濾區(qū)、運(yùn)維管理區(qū)、內(nèi)聯(lián)網(wǎng)區(qū)、外聯(lián)網(wǎng)區(qū)等。每個(gè)分區(qū)內(nèi)又可能分多個(gè)小的分區(qū)，用來(lái)承載不同的子業(yè)務(wù)模塊。業(yè)務(wù)系統(tǒng)之間需要隔離，但又有部分的數(shù)據(jù)調(diào)用需求。企業(yè)內(nèi)網(wǎng)安全場(chǎng)景：一個(gè)規(guī)范的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)是業(yè)務(wù)安全的基礎(chǔ)。企業(yè)內(nèi)網(wǎng)通常存在東西向、南北向、混合云等多種流量，內(nèi)網(wǎng)安全需要滿足跨國(guó)企業(yè)安全合規(guī)的規(guī)范同時(shí)，也要支持跨國(guó)企業(yè)的業(yè)務(wù)可持續(xù)發(fā)展?？偛?分支全球組網(wǎng)場(chǎng)景：跨國(guó)企業(yè)有總部和數(shù)目眾多的全球分支結(jié)構(gòu)、

線下機(jī)房之間以及和云上有內(nèi)網(wǎng)互通需求，當(dāng)業(yè)務(wù)逐步上云后，會(huì)涉及到線下分支既需要和線下總部互通，也需要和云上互通。網(wǎng)絡(luò)運(yùn)維監(jiān)控場(chǎng)景：跨國(guó)企業(yè)

IT

部門需要對(duì)云上內(nèi)網(wǎng)流量、公網(wǎng)流量以及混合云流量進(jìn)行統(tǒng)一監(jiān)控，在做好網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)的同時(shí)，及時(shí)隔離潛在的安全風(fēng)險(xiǎn)，合理規(guī)范地使用云資源。三、解決方案1.

云上網(wǎng)絡(luò)分區(qū)場(chǎng)景企業(yè)業(yè)務(wù)系統(tǒng)部署在云上，需要考慮業(yè)務(wù)系統(tǒng)之間的調(diào)用和訪問關(guān)系，需要關(guān)注路由邊界，

關(guān)注未來(lái)的規(guī)模擴(kuò)展，實(shí)現(xiàn)合理的分區(qū)設(shè)計(jì)、簡(jiǎn)單的運(yùn)維管理、靈活的彈性擴(kuò)展。滿足業(yè)務(wù)規(guī)?；l(fā)展需求，合理劃分

VPC

和

vSW，DMZ、生產(chǎn)、開發(fā)測(cè)試、運(yùn)維管理等獨(dú)立

VPC

部署；滿足可靠穩(wěn)定性，建議重要業(yè)務(wù)系統(tǒng)跨可用區(qū)部署；滿足業(yè)務(wù)之間的高效調(diào)用和交互，關(guān)聯(lián)業(yè)務(wù)盡可能部署同Region。37企業(yè)客戶統(tǒng)一由云

IT

團(tuán)隊(duì)管理公網(wǎng)資源和開通權(quán)限，禁止業(yè)務(wù)部門私自開通公網(wǎng)類型實(shí)例?？蛻粜枰ㄟ^(guò)安全合規(guī)的網(wǎng)絡(luò)架構(gòu)最大化保護(hù)企業(yè)內(nèi)部服務(wù)，防止?jié)撛诘陌踩{。統(tǒng)一管理公網(wǎng)類型產(chǎn)品預(yù)算，同時(shí)最大化復(fù)用公網(wǎng)帶寬資源，降低

IT成本。解決方案：38按照使用習(xí)慣和業(yè)務(wù)訪問關(guān)系，可以分為業(yè)務(wù)生產(chǎn)區(qū)、互聯(lián)網(wǎng)出口區(qū)、開發(fā)測(cè)試區(qū)、東西向安全區(qū)、運(yùn)維管理區(qū)、內(nèi)聯(lián)網(wǎng)區(qū)、外聯(lián)網(wǎng)區(qū)等。每個(gè)分區(qū)可以由一個(gè)獨(dú)立的

VPC

承載，VPC

內(nèi)按照部署的業(yè)務(wù)模塊選擇創(chuàng)建不同的

vSW（子網(wǎng)），不同業(yè)務(wù)系統(tǒng)之間的互通即不同

VPC

之間的路由打通，可以使用云企業(yè)網(wǎng)CEN

快速打通，同時(shí)可以按需進(jìn)行路由表隔離、路由過(guò)濾、路由策略設(shè)置等，來(lái)滿足企業(yè)用戶的個(gè)性化需求。針對(duì)需要被外部訪問的應(yīng)用設(shè)置

PublicVPC

和

PrivateVPC，其中

PublicVPC

開通

IPv4網(wǎng)關(guān)和公網(wǎng)

ALB/NLB

實(shí)例，PrivateVPC

禁止開通

IPv4網(wǎng)關(guān)和公網(wǎng)實(shí)例。針對(duì)主動(dòng)訪問

Internet的場(chǎng)景，設(shè)置

DMZVPC

作為統(tǒng)一的流量出口，通過(guò)

NAT

網(wǎng)關(guān)、IPv4

網(wǎng)關(guān)+EIP實(shí)現(xiàn)云上流量的出向。通過(guò)

TR連接訪問所有

VPC，構(gòu)建企業(yè)級(jí)云上組網(wǎng)。同地域的

EIP

加入同一個(gè)共享帶寬包，提升帶寬峰值的同時(shí)提高帶寬復(fù)用比。2.

企業(yè)內(nèi)網(wǎng)安全場(chǎng)景實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)東西向和南北向流量統(tǒng)一管控，借助云原生或第三方防火墻安全能力，降低企業(yè)內(nèi)網(wǎng)東西向安全威脅，通過(guò)網(wǎng)絡(luò)安全架構(gòu)實(shí)現(xiàn)企業(yè)不同業(yè)務(wù)的隔離。通過(guò)管控南北向流量，降低企業(yè)外部安全威脅，防止遭受來(lái)自互聯(lián)網(wǎng)的攻擊、滲透、爬蟲等，通過(guò)網(wǎng)絡(luò)安全架構(gòu)保護(hù)企業(yè)應(yīng)用安全。39解決方案：使用

TR多張路由表能力，支持建立可信流量（防火墻處理后）和不可信流量（防火墻處理前）等不同路由表隔離網(wǎng)絡(luò)流量。設(shè)置安全

VPC，使用云原生防火墻或第三方防火墻進(jìn)行內(nèi)網(wǎng)流量安全檢測(cè)。IDC

上云/下云流量，跨地域流量同樣也可以通過(guò)安全

VPC

內(nèi)的防火墻進(jìn)行安全處理。設(shè)置單獨(dú)的DMZVPC，從網(wǎng)絡(luò)規(guī)劃層面隔離保護(hù)后端業(yè)務(wù)

VPC。配合互聯(lián)網(wǎng)邊界防火墻，在流量到達(dá)

DMZVPC

之前進(jìn)行安全檢測(cè)和異常防護(hù)。3.

總部-分支全球組網(wǎng)場(chǎng)景大型跨國(guó)企業(yè)，總部-分支采用三方

SDWAN

混合云組網(wǎng)，同時(shí)需要具備全球化跨

Region

組網(wǎng)的能力，構(gòu)建真正的全球一張網(wǎng)。40解決方案：通過(guò)云企業(yè)網(wǎng)

CEN

構(gòu)建一張高可用的全球企業(yè)私網(wǎng)，跨地域網(wǎng)絡(luò)部分可根據(jù)業(yè)務(wù)流量模型選擇按帶寬/按流量的靈活計(jì)費(fèi)方式，降低企業(yè)成本。憑借

TR強(qiáng)大的路由和組網(wǎng)能力，配合

SDWAN、VPN

網(wǎng)關(guān)、專線接入等多種方式構(gòu)建云上、云下、跨地域等多個(gè)場(chǎng)景的全球一張網(wǎng)。SDWAN

鏡像部署在

HubVPC

的

ECS

上，與

Office/IDC

的硬件設(shè)備

IPsec

連接，通過(guò)

Connect-Attachment

能力接入云上轉(zhuǎn)發(fā)路由器

TR，可以實(shí)現(xiàn)靜態(tài)/BGP主備、雙活等多種接入模式。4.

網(wǎng)絡(luò)運(yùn)維監(jiān)控場(chǎng)景企業(yè)

IT

部門需要對(duì)云上內(nèi)網(wǎng)流量、公網(wǎng)流量以及混合云流量進(jìn)行統(tǒng)一監(jiān)控。定期開展網(wǎng)絡(luò)健康度分析，關(guān)注日常網(wǎng)絡(luò)資源水位，對(duì)于異常流量進(jìn)行及時(shí)的預(yù)警和排查。減少網(wǎng)絡(luò)使用復(fù)雜性，提供自助運(yùn)維能力，方便網(wǎng)絡(luò)架構(gòu)師和運(yùn)維工程師更快捷的設(shè)計(jì)、規(guī)劃和使用網(wǎng)絡(luò)。4142解決方案：使用網(wǎng)絡(luò)智能服務(wù)（NIS）產(chǎn)品作為統(tǒng)一的監(jiān)控平臺(tái)，結(jié)合

VPC

流日志（Flowlog）功能進(jìn)行實(shí)例診斷、路徑分析和流量分析等，具體功能如下：智能檢測(cè)o狀態(tài)檢測(cè)：全面監(jiān)測(cè)網(wǎng)元實(shí)例運(yùn)行狀態(tài)和路徑連通性，智能匹配異常特征及時(shí)預(yù)警。快速排障：智能提醒故障原因，一鍵恢復(fù)或給出解決步驟，用戶可以自助解決常見問題。o流量分析oo源站選址：根據(jù)性能大盤數(shù)據(jù)選擇業(yè)務(wù)部署最優(yōu)可用區(qū)。可多維度分析流量，如公網(wǎng)/跨域/專線的

TOP流量發(fā)現(xiàn)和應(yīng)用流量分析。智能拓?fù)鋙智能發(fā)現(xiàn)云上網(wǎng)絡(luò)連接，智能繪制組網(wǎng)架構(gòu)，所有云上資源連接關(guān)系清晰可視。43oo一鍵生成資源連通性情況，快速驗(yàn)證網(wǎng)絡(luò)配置。關(guān)聯(lián)資源水位等關(guān)鍵運(yùn)維信息，云網(wǎng)絡(luò)運(yùn)行情況一目了然。四、方案價(jià)值結(jié)合跨國(guó)企業(yè)的實(shí)際業(yè)務(wù)需求以及合理的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問的安全隔離和有效管控，保障

IT

架構(gòu)合規(guī)性和企業(yè)數(shù)據(jù)安全性。與此同時(shí)，可以實(shí)現(xiàn)

IT

成本最大化利用。針對(duì)多種場(chǎng)景云上云下網(wǎng)絡(luò)互通，可以做到中心化的統(tǒng)一運(yùn)維管理。8.5.

身份權(quán)限一、概述：身份管理和訪問控制是

LandingZone

的基礎(chǔ)模塊之一。在跨國(guó)企業(yè)上云之初，企業(yè)需要考慮如何設(shè)計(jì)和落地身份管理和訪問控制方案。這樣做的好處是：確保對(duì)云資源的任何訪問都使用適當(dāng)?shù)纳矸?，且每個(gè)身份擁有“最小夠用”（既不過(guò)大，也不過(guò)?。┑臋?quán)限。確保從不同網(wǎng)絡(luò)環(huán)境、設(shè)備、地理位置發(fā)起的對(duì)云資源的訪問都是安全的。當(dāng)身份、權(quán)限發(fā)生變化（如新增用戶，用戶職責(zé)發(fā)生變化，員工離職、轉(zhuǎn)崗等）時(shí)，可以做到持續(xù)管理，降低配置難度和管理成本，避免信息泄漏、誤操作等風(fēng)險(xiǎn)。在阿里云，我們使用訪問控制（RAM），CloudSSO

等產(chǎn)品和服務(wù)來(lái)實(shí)現(xiàn)身份管理與訪問控制的能力。二、挑戰(zhàn)：1.

跨國(guó)企業(yè)大多采用多云戰(zhàn)略，云資源分布在多個(gè)廠商，導(dǎo)致本身的身份權(quán)限體系存在混亂的情況，不同云廠商對(duì)用戶和標(biāo)簽或有不同的命名規(guī)則，給身份管理造成困難，需要整合統(tǒng)一，納入統(tǒng)一登錄的流程。442.

跨國(guó)企業(yè)大多擁有較大的規(guī)模，在國(guó)際化拓展的過(guò)程中，用戶數(shù)快速增長(zhǎng)，用戶維度擴(kuò)大。同時(shí)人員流動(dòng)（離職、轉(zhuǎn)崗等），賬號(hào)和權(quán)限變更需求多，有賬號(hào)泄密風(fēng)險(xiǎn)。3.

跨國(guó)企業(yè)三方合作多，需要對(duì)第三方外部人員，針對(duì)其所需權(quán)限，進(jìn)行身份管理，需要堅(jiān)持最小權(quán)限準(zhǔn)則，搭配嚴(yán)格的認(rèn)證技術(shù)，支持企業(yè)與三方高效合作且保障信息安全。三、解決方案場(chǎng)景1：企業(yè)多云賬號(hào)集成1.

SCIM集成遵照跨國(guó)企業(yè)現(xiàn)有的身份管理做

SSO

集成，將其他云服務(wù)中正在使用的用戶或用戶組同步到云SSO。通過(guò)

SCIM

協(xié)議，將

AD

中的用戶或用戶組同步到云

SSO。假設(shè)企業(yè)在本地

IdPOkta

中有大量用戶，且已在阿里云資源目錄（ResourceDirectory）中搭建了多賬號(hào)體系結(jié)構(gòu)。企業(yè)希望經(jīng)過(guò)配置，將

Okta

的用戶同步到云

SSO，然后使用用戶名和密碼或通過(guò)單點(diǎn)登錄（SSO

登錄）的方式直接訪問資源目錄指定成員賬號(hào)中的指定資源。可以先配置

SSO登錄，然后使用同一個(gè)應(yīng)用程序

CloudSSODemo通過(guò)

SCIM

同步用戶或用戶組。2.

單點(diǎn)登錄云

SSO

支持基于

SAML2.0的單點(diǎn)登錄（SSO

登錄）。阿里云是服務(wù)提供商（SP），而企業(yè)自有的身份管理系統(tǒng)則是身份提供商（IdP）。通過(guò)

SSO

登錄，企業(yè)員工可以使用

IdP中的用戶身份直接登錄云

SSO。云

SSO

可以一次性配置企業(yè)身份管理系統(tǒng)與阿里云的

SSO登錄。場(chǎng)景2：企業(yè)云資源賬號(hào)或人員發(fā)生變化451.

企業(yè)云資源賬號(hào)發(fā)生變化在企業(yè)新增或移除阿里云賬號(hào)時(shí)，需要相應(yīng)進(jìn)行

SSO

配置修改，包括如下：根據(jù)

IdP的

SAML屬性配置方式不同，可能需要進(jìn)行配置修改，或重新分配用戶與用戶組。在新增賬號(hào)中配置身份提供商。在移除賬號(hào)中刪除身份提供商。2.

企業(yè)云資源訪問人員發(fā)生變化解決方案：當(dāng)企業(yè)發(fā)生訪問云資源的人員配置變化（新增用戶，刪除用戶，變更用戶權(quán)限）時(shí)，通常不需要進(jìn)行

SSO

配置修改，只需要對(duì)用戶和用戶組進(jìn)行操作，包括如下：新增用戶時(shí)，應(yīng)在

IdP中將其加入到已經(jīng)配置了

SSO

訪問的用戶組。刪除用戶時(shí)，直接刪除即可，IdP通常會(huì)自動(dòng)移除其訪問權(quán)限。用戶權(quán)限發(fā)生修改時(shí)，應(yīng)修改其用戶組配置。場(chǎng)景3：企業(yè)人員通過(guò)外部身份系統(tǒng)登錄阿里云管理云資源解決方案：針對(duì)超級(jí)管理員、企業(yè)員工和需要長(zhǎng)期使用企業(yè)云資源的企業(yè)人員，應(yīng)使用企業(yè)自有的身份系統(tǒng)，以外部身份憑證登錄阿里云。阿里云提供基于

SAML2.0協(xié)議的

SSO

能力，以滿足企業(yè)使用外部身份憑證登錄阿里云的需求。根據(jù)登錄后轉(zhuǎn)換成的云平臺(tái)身份不同，SSO又可以分為用戶

SSO

和角色

SSO

兩種。我們建議企業(yè)客戶使用角色

SSO，并將企業(yè)

IdP中的用戶組映射到阿里云

RAM

角色，從而實(shí)現(xiàn)對(duì)企業(yè)內(nèi)外部員工的有效管理。46并且，當(dāng)客戶請(qǐng)求到達(dá)阿里云時(shí)，阿里云將評(píng)估當(dāng)前訪問的請(qǐng)求特征、身份特征、資源特征，并與身份所配置的權(quán)限進(jìn)行匹配，從而完成鑒權(quán)。每個(gè)云產(chǎn)品有對(duì)應(yīng)的支持的身份和訪問控制粒度。針對(duì)大部分人員用戶來(lái)說(shuō)，可以根據(jù)其職責(zé)進(jìn)行較粗粒度的權(quán)限劃分即可。四、方案價(jià)值1.

實(shí)現(xiàn)多云賬號(hào)集成，多云資源管理。2.

企業(yè)員工可以使用與企業(yè)中相同的用戶名和密碼登錄企業(yè)自身應(yīng)用和云平臺(tái)。473.

當(dāng)員工轉(zhuǎn)崗、離職時(shí)，跨國(guó)企業(yè)只需要在本地進(jìn)行轉(zhuǎn)移組、刪除等操作，即可解除其在云上的權(quán)限，不會(huì)造成信息泄露。4.

高效的身份權(quán)限配置以及管理，提高跨國(guó)企業(yè)身份權(quán)限管理效率。8.6.

安全防護(hù)一、概述安全是企業(yè)的生命線，隨著網(wǎng)絡(luò)攻擊愈發(fā)多樣性以及攻擊成本越來(lái)越低，企業(yè)在上云之初需要規(guī)劃出健壯的安全防護(hù)架構(gòu)，這也是跨國(guó)企業(yè)在上云之初最為關(guān)注的模塊之一，安全防護(hù)需要重點(diǎn)關(guān)注，原因是：安全架構(gòu)和網(wǎng)絡(luò)以及業(yè)務(wù)構(gòu)建相輔相成，增加一項(xiàng)安全防護(hù)能力有時(shí)候需要改變網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)架構(gòu)等，可能會(huì)影響業(yè)務(wù)避免亡羊補(bǔ)牢，安全若沒有在業(yè)務(wù)上線前做好整體設(shè)計(jì)，那就只能是哪里出問題補(bǔ)哪里，沒有辦法體系化的設(shè)計(jì)和部署安全；提前預(yù)防風(fēng)險(xiǎn)，盡早做安全規(guī)劃能夠在業(yè)務(wù)上線前識(shí)別架構(gòu)的風(fēng)險(xiǎn)，是否存在暴露面；充分考慮合規(guī)因素，跨國(guó)企業(yè)應(yīng)該考慮好業(yè)務(wù)在國(guó)內(nèi)運(yùn)行需要滿足的合規(guī)要求，如等級(jí)保護(hù)要求、個(gè)人隱私數(shù)據(jù)保護(hù)要求、企業(yè)重要數(shù)據(jù)的保護(hù)要求。二、挑戰(zhàn)AK

特權(quán)泄露云上的

AK

存在較高的權(quán)限，利用獲取到的

AK

可以進(jìn)行這個(gè)

AK

擁有權(quán)限內(nèi)的各種操作，導(dǎo)致入侵和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。默認(rèn)配置風(fēng)險(xiǎn)48企業(yè)上云之后采用了大量的云產(chǎn)品，這些云產(chǎn)品默認(rèn)配置會(huì)有風(fēng)險(xiǎn)，例如采用對(duì)象存儲(chǔ)用戶配置之后可以進(jìn)行

Public

的訪問，可導(dǎo)致數(shù)據(jù)、代碼等被直接訪問。云資產(chǎn)暴露面多企業(yè)上云后資產(chǎn)變得分散，暴露方式，攻擊入口變多，管理成本變高，需要不斷維護(hù)和更新資產(chǎn)的基本信息以及脆弱性，降低安全風(fēng)險(xiǎn)。應(yīng)對(duì)網(wǎng)絡(luò)攻擊云上存在大量網(wǎng)絡(luò)攻擊，包括

Web攻擊、DDoS攻擊、勒索病毒、挖礦木馬等，這些攻擊在云端非常嚴(yán)重。尤其是在云端資產(chǎn)暴露面多的情況下，攻擊成本正在逐步降低，給企業(yè)帶來(lái)越來(lái)越大的威脅。云端數(shù)據(jù)安全o如何安全地將核心敏感數(shù)據(jù)上云，如何保障云端數(shù)據(jù)的安全，如何進(jìn)行敏感數(shù)據(jù)的識(shí)別和管理，以及如何防止數(shù)據(jù)泄露，這些都是企業(yè)需要考慮的問題。o合規(guī)層面，國(guó)內(nèi)相繼出臺(tái)數(shù)據(jù)安全相關(guān)法規(guī)，包含重要敏感數(shù)據(jù)的安全管控和敏感數(shù)據(jù)出境的管理要求，企業(yè)該如何應(yīng)對(duì)。多賬號(hào)體系的安全運(yùn)營(yíng)跨國(guó)企業(yè)在云端以多賬號(hào)的架構(gòu)建立業(yè)務(wù)體系