企业云化IT治理服务工作说明书
1.服务概述
1.1.服务说明
企业云化IT治理服务(Landing Zone)是在客户系统上云的过程中,提供基于阿里云产品体系的云治理方案设计与方案技术验证服务。通过该服务帮助客户进行资源管理、财务管理、身份管理、网络规划、安全防护、合规管理、运维管理、基础设施即代码的自动化方案(IaC)设计的技术服务。该服务指导客户根据阿里云最佳实践更快地设置安全的多账户阿里云环境。
企业云化IT治理服务包含3个版本,客户可以结合自身业务需求进行购买,注意,任何未在本SOW中定义的工作内容或方案均不包含在本项目的交付范围中。
企业云化IT治理服务 (必选,基础版与标准版 2 选 1;实施服务按需购买)
基础版
基础咨询服务:基于客户的需求进行方案设计,含资源管理、身份管理、网络规划和安全防护。
包含基于以上方案的技术验证工作,确保设定的技术方案具备落地能力。
包含以上内容与客户自建系统的对接技术方案,例如 SSO、CMDB、ITSM、财务系统,该集成只基于阿里云已有标准产品能力,客户已有系统的重构、定制开发、配置工作不在服务范围之内。
标准版
标准咨询服务:基于客户的需求进行方案设计,含资源管理、身份管理、网络规划、安全防护、合规审计、财务管理、运维管理以及基础设施即代码的自动化方案(IaC)。
包含基于以上方案的技术验证工作,确保设定的技术方案具备落地能力。
包含以上内容与客户自建系统的对接技术方案,例如 SSO、CMDB、ITSM、财务系统,该集成只基于阿里云已有标准产品能力,客户已有系统的重构、定制开发、配置工作不在服务范围之内。
实施服务
如果客户需要阿里云团队提供具体的落地实施工作,则可购买实施服务,根据项目实际工作量来评估需要购买服务包的数量。
实施服务负责落地项目中的全部设计,但不包括客户自建系统或其他云平台、SaaS 服务上的配置、改造、调试工作,范围仅限于阿里云上的产品。
本服务包以远程服务为主,可结合项目需求与客户实际情况进行调整。
对于基础版服务,推荐至少购买实施服务包 x 1,结合具体项目情况进行调整。
对于标准版服务,推荐至少购买实施服务包 x 2,结合具体项目情况进行调整。
如客户有额外的集成需求,或项目范围大于标准版,结合实际情况进行沟通。
2.服务范围
以下服务范围按照3个版本分类,分别是企业云化IT治理服务基础版,企业云化IT治理服务标准版,企业云化IT治理实施服务,不同版本类型服务范围如下。
2.1.企业云化IT治理服务基础版服务范围
企业云化IT治理服务基础版内容如下:
企业云化IT治理调研与评估
通过远程信息收集及现场沟通的方式,对客户的业务现状及应用系统进行全面调研,了解客户对于业务及应用的长期规划。
调研客户现行IT治理规范,如安全规范、网络规范、运维规范等,了解客户的管理现状以及在规范层面对治理方案的需求。
资源管理方案设计
基于调研与评估的结果,为客户设计资源管理方案,包含:
账号架构:规划阿里云上多账号体系,规划上云应用的资源部署原则。
标签体系:基于标签进行资源的管理,设计标签元数据和标签的全生命周期流程。
身份管理方案设计
基于调研与评估的结果,为客户设计身份管理方案,包含:
身份认证:梳理身份使用场景,根据场景设计身份认证集成方案,实现与现有身份认证管理系统的集成。
基于角色授权方案:梳理企业云上角色,基于“权限最小化”原则进行权限定义。
网络规划方案设计
基于调研与评估的结果,为客户设计网络治理方案,包含:
网络接入方案:规划客户环境与云平台网络接入方案,包括专线或VPN接入、应用层访问接入,运维管理接入方案。
云内部网络方案:定义网络架构规划方案,包括VPC规划、网段及IP地址规划、云上DMZ区域设计。
云间互联方案:基于阿里云CEN,在不同的区域、不同的账号、不同的本地数据中心建立VPC互联。
安全防护方案设计
基于企业IT治理调研与评估的结果,为客户设计安全防护方案,包含:
网络安全:主要指安全组配置,设计云上网络安全域划分方案,通过网络安全区域进行应用的隔离,同时针对应用的具体需求进行联通配置。
主机安全:包括主机的漏洞、威胁和攻击防护方案。
数据安全:包括密钥管理、数据库访问控制、存储访问控制,根据客户需求设计满足客户安全要求的数据安全方案。
需要注意的是,安全方案仅包含云平台本身涉及到的安全,并遵循企业安全管理规范,不涉及客户应用及其它安全需求。
技术验证
根据以上资源管理方案、身份管理方案、网络规划方案和安全防护方案,该阶段的目标是为了对方案中所用的技术选型进行技术验证。技术验证范围包括:
企业多账号体系验证
用户身份、权限管理验证
网络分配、网段划分、网络连通验证
本服务不包含:
云化IT治理仅包含客户云上的IT治理内容,不提供企业自身IT体系治理咨询,如有需求请单独购买相关服务。
方案涉及到安全治理仅包括云平台层面的安全审计治理相关设计,不涉及客户业务系统本身的应用安全、内容安全、数据安全与传输安全,不包含客户的等保要求等。
方案涉及到对接客户自有平台,如SSO、CMDB、ITSM、计费平台等,均只提供对接方案,不负责处理客户自有平台本身的技术问题以及不负责具体的对接实现。
由甲方原因导致的进度不符合预期,乙方不承担延期责任。
乙方按照项目需要通过现场或远程方式进行详细调研以及咨询方案设计,并产出最终结果。
乙方不负责提供除阿里云官方文档、项目交付范围内文档之外的任何技术文档。
乙方不负责甲方业务系统规划、架构设计、上云改造、应用过程中的任何实施与维护责任。
乙方不负责非阿里云平台以外(第三方软件、应用系统)问题处理、技术的支持和答疑工作。
云化IT治理方案设计完成后的方案实施不在云化IT治理咨询服务的服务范围之内,需要客户结合自身情况落地实施。
2.2.企业云化IT治理服务标准版服务范围
企业云化IT治理服务标准版内容如下:
企业云化IT治理调研与评估
通过远程信息收集及现场沟通的方式,对客户的业务现状及应用系统进行全面调研,了解客户对于业务及应用的长期规划。
调研客户现行IT治理规范,如安全规范、网络规范、运维规范等,了解客户的管理现状以及在规范层面对治理方案的需求。
资源管理方案设计
基于调研与评估的结果,为客户设计资源管理方案,包含
账号架构:规划阿里云上多账号体系,规划上云应用的资源部署原则。
标签体系:基于标签进行资源的管理,设计标签元数据和标签的全生命周期流程。
身份管理方案设计
基于调研与评估的结果,为客户设计身份管理方案,包含:
身份认证:梳理身份使用场景,根据场景设计身份认证集成方案,实现与现有身份认证管理系统的集成。
基于角色授权方案:梳理企业云上角色,基于“权限最小化”原则进行权限定义。
网络规划方案设计
基于调研与评估的结果,为客户设计网络治理方案,包含:
网络接入方案:规划客户环境与云平台网络接入方案,包括专线或VPN接入、应用层访问接入,运维管理接入方案。
云内部网络方案:定义网络架构规划方案,包括VPC规划、网段及IP地址规划、云上DMZ区域设计。
云间互联方案:基于阿里云CEN,在不同的区域、不同的账号、不同的本地数据中心建立VPC互联。
安全防护方案设计
基于企业IT治理调研与评估的结果,为客户设计安全防护方案,包含:
网络安全:主要指安全组配置,设计云上网络安全域划分方案,通过网络安全区域进行应用的隔离,同时针对应用的具体需求进行联通配置。
主机安全:包括主机的漏洞、威胁和攻击防护方案。
数据安全:包括密钥管理、数据库访问控制、存储访问控制,根据客户需求设计满足客户安全要求的数据安全方案。
需要注意的是,安全方案仅包含云平台本身涉及到的安全,并遵循企业安全管理规范,不涉及客户应用及其它安全需求。
财务管理方案设计
基于调研与评估的结果,为客户设计财务管理方案,包含:
成本分账:设计成本核算模型,对云上支出进行基于成本中心的账单分析方案。
成本分析:设计客户的财务分析方案,提供阿里云计费能力对接方案,协助客户接入企业内部财务分析平台,获取账单、费用明细等费用数据。
成本优化:根据所采用的云服务成本优化的最佳实践、部署方案和审计方案。
合规审计方案设计
基于调研与评估的结果,为客户设计合规审计方案,包含:
事前防护:基于管控策略对于合规的红线进行租户级别的限制。
事中审计:包含操作审计、账号审计、日志审计等,结合企业审计要求定制服务企业要求的审计方案
预防性管控:设计符合企业合规红线,禁止执行某些管理操作,基于管控策略实现租户级的管控。
发现性管控:设计合规基线并对企业资源进行持续监控,发现不合规资源时,进行记录、报警乃至自动修复。
操作日志的审计:对云上操作、资源变更等日志进行持久化保存,以备审计之需。
运维管理方案设计
基于企业IT治理调研与评估的结果,为客户设计运维管理方案,其包含:
监控管理:基于阿里云已有的监控产品,以阿里云云监控+Arms+Prometheus 为基础,帮助客户设计应用和基础设施监控的标准和规范。
日志管理:基于阿里云已有日志服务产品SLS,结合客户实际情况设计日志接入和管理规范。
基础设施即代码(IaC)的自动化资源管理方案设计
基于企业IT治理调研与评估的结果,为客户设计自动化资源管理方案,其中包含:
自动化基础设施管理流程设计:基于客户项目现状,设计自动化基础设施管理流程,包括基础设施代码研发、管理、部署规范;但不包含应用相关的自动化流程设计。
CI/CD 工具集成设计:设计针对客户现有CI/CD工具的集成方案,包含CI/CD 工具部署基础设施所需的阿里云环境网络连通性方案以及基础设施部署所需的阿里云上相关服务的认证授权方案。
IaC 模版:构建服务目录模版化资源创建,实现自助服务,包含RAM 身份创建模板、网络基础设施构建模板。
技术验证
根据以上资源管理方案、财务管理方案、身份管理方案、网络规划方案、合规审计方案、安全防护方案、运维管理方案和自动化方案,该阶段的目标是为了对方案中所用的技术选型进行技术验证。技术验证范围包括:
企业多账号体系验证
用户身份、权限管理验证
网络分配、网段划分、网络连通验证
IP白名单、网络安全组
操作审计、配置审计验证
安全域隔离性、数据访问白名单验证
本服务不包含:
云化IT治理仅包含客户云上的IT治理内容,不提供企业自身IT体系治理咨询,如有需求请单独购买相关服务。
方案涉及到安全治理仅包括云平台层面的安全审计治理相关设计,不涉及客户业务系统本身的应用安全、内容安全,不包含客户的等保要求等。
方案涉及到对接客户自有平台,如SSO、CMDB、计费平台等,均只提供对接方案,不负责处理客户自有平台本身的技术问题以及不负责具体的对接实现。
方案涉及到的运维管理方案仅包括云平台层面的运维管理规范设计,不包括客户业务系统本身以及客户自拥有IT 系统的运维和管理。
方案涉及到的自动化管理规范仅包括阿里云服务基础设施自动化管理的流程与规范,不包括客户业务应用、自拥有 IT 系统的研发、管理、部署规范。
由甲方原因导致的进度不符合预期,乙方不承担延期责任。
乙方按照项目需要通过现场或远程方式进行详细调研以及咨询方案设计,并产出最终结果。
乙方不负责提供除阿里云官方文档、项目交付范围内文档之外的任何技术文档。
乙方不负责甲方业务系统规划、架构设计、上云改造、应用过程中的任何实施与维护责任。
乙方不负责非阿里云平台以外(第三方软件、应用系统)问题处理、技术的支持和答疑工作。
云化IT治理方案设计完成后的方案实施不在云化IT治理服务的服务范围之内,需要客户结合自身情况落地实施。
2.3.企业云化IT治理实施服务范围
实施服务包含基于 IT 治理咨询与设计的结果,进行云上环境的落地与实施的服务,工作内容具体包含:
协助开通云资源、云账号、完成云上基础架构搭建、设置多账号体系,设置云上授权体系,配置混合云网络与相关安全防护。
对接客户自有平台,如SSO、CMDB、ITSM、计费平台等,完成阿里云侧的设置,并协助客户团队进行集成,提供过程中问题排查与解决方案。
优先使用基础设施即代码(IaC)的方式完成实施工作,对不支持 IaC 的云服务与配置,使用阿里云 OpenAPI 或手动配置。对于代码库与流水线,优先复用客户已有 DevOps 工具链。
客户可根据实际服务范围采购多个实施服务包。
本服务不包含:
实施服务包必须和咨询服务配合使用,不支持单独购买。
实施阶段不承诺提供任何书面交付物。
乙方服务过程中不负责甲方应用的部署、应用代码的改造、数据代码改造、数据迁移等具体的实施工作,具体的实施工作由甲方执行,在实施过程中乙方只负责阿里云侧云上环境设置与集成,并协助甲方解决阿里云产品使用相关的问题。
由甲方原因导致的进度不符合预期,乙方不承担延期责任。
3.前提条件
客户应提前至少15个工作日申请该服务,以便于阿里云评估客户业务目标及时间计划可行,确认是否承接该服务申请。
如客户的申请涉及大批量资源需求,建议客户提前一个月申请,具体视供应链评估情况协商。
客户应及时向乙方提供所有需要的合理的文档、信息、数据、图表以及必要的系统权限、远程访问通道以使乙方可以提供服务。且所有这些资料将受到本协议项下的保密条款的约束。甲方同意向乙方已披露的或将要披露的所有信息是真实、准确并且不会产生误导。
企业云化IT治理服务基础版和企业云化IT治理服务标准版,乙方的办公地点不受项目约束,服务的提供方式主要以:电话、钉钉、邮件等方式。
本项目交付过程中,实施主体为甲方,乙方主要提供方案设计及技术验证过程中的问题处理,具体的IT治理实施动作需要由甲方进行。
乙方将在正常业务时间,即星期一到星期五北京时间上午 9:00 到下午 6:00(国家法定节假日除外)提供本项目的交付服务。
双方在项目实施期间采用双方同意的通讯方式,由双方的项目经理负责传递本项目所需的书面信息,可选择的通讯方式包括:钉钉,互联网、FAX、电子邮件等。
所有项目交付物为中文(简体),工作语言为中文。所有交付作品采用MicrosoftOffice(包括PPT,WORD,Excel,Visio)格式,并以电子拷贝方式提交。
甲方与乙方应须按双方事先达成一致的工作计划、人员资源计划与系统确定的工作起止日期投入项目工作。如遇到甲方相关业务系统迭代延期上线,相关项目进度将会产生顺延,乙方对此不承担责任。
如需引入第三方,甲乙双方应分别负责同各自第三方签订合同。乙方不对甲方的其他分包商或厂商(除乙方的分包商外)的行为负责、亦不对由其造成的延迟负责;甲方不对乙方的其他分包商或厂商(除甲方的分包商外)的行为负责、亦不对由其造成的延迟负责。
任何一方均不对本合同项下的特殊、附带、或间接损害或后果性经济损害(包括利润或节省金额损失)负责,即便该方已被告知该等损害赔偿的可能性。
4.分工界面
4.1.客户与阿里云
客户购买企业云化IT治理服务(基础版、标准版),经过阿里云审核及交流后确认服务成立
针对该服务期限内,双方商定并确认具体业务目标及范围
具体分工界面见下图
服务类型 | 阶段 | 任务名称 | 任务明细 | 客户 | 阿里云 |
---|---|---|---|---|---|
企业云化IT治理服务 | 现状调研 | 基础设施调研 | 分析用户的部署架构,收集当前运行收集当前计算、存储、中间件与应用之间的关系,并对这些节点进行数据上的统计和分析 | A/S/C/I | R/I |
业务现状与应用系统调研 | 通过远程信息收集+现场沟通讨论的方式,摸清客户当前IT治理现状,对于云上IT治理的需求情况 | A/S/C/I | R/I | ||
企业IT治理规范调研 | 收集用户IT治理规范,如安全规范、网络规范、账号管理规范、计费分账规范的等,摸清企业IT治理架构 | A/S/C/I | R/I | ||
方案设计 | 资源管理方案设计 | 根据评估对云上资源的需求进行资源架构设计,满足应用对于云资源部署和管理需求 | A/S/C/I | R/I | |
身份管理方案设计 | 针对企业用户账号设计方案,包含SSO对接、权限管理等 | A/S/C/I | R/I | ||
网络规划方案设计 | 基于客户网络规划,设计网络治理方案,满足客户系统对于网络的需求 | A/S/C/I | R/I | ||
安全防护方案设计 | 基于企业安全规范,结合云上产品制定安全治理方案,满足企业诉求。仅包含云上安全 | A/S/C/I | R/I | ||
财务管理方案设计 | 基于客户财务管理需求,设计付款、开票、成本分析和优化方案,满足企业对财务管理的需求 | A/S/C/I | R/I | ||
合规审计方案设计 | 基于企业合规审计规范,结合云上产品制定合规与审计方案,满足企业诉求 | A/S/C/I | R/I | ||
运维管理方案设计 | 基于企业运维管理规范,结合云上产品制定云上运维管理方案,满足企业诉求 | A/S/C/I | R/I | ||
自动化资源管理方案设计 | 基于企业自动化管理规范,结合云上产品制定云上资源自动化管理方案,满足企业诉求 | A/S/C/I | R/I | ||
技术验证 | 企业云化IT治理方案技术验证 | 方案技术验证,协助解决方案验证过程中遇到的问题 | A/R/I | S/C/I |
责任简称:R-Responsible执行人,A-Accountable负责人,C-Consulted征求意见人,I-Informed被告知人,S-Support负责配合“R”完成指标的工作
4.1.1.客户
客户指定一名具备合适技能和经验的项目经理作为与阿里云沟通的主要联系人,代表客户直接负责项目实施的计划、协调、监督与控制以及升级问题与风险,同时全权代表客户在本项目的各个方面做出决策。
根据项目情况,由甲方项目经理协调各方资源主导云化IT治理调研以及技术验证工作。
项目开始由甲方提供企业内部IT治理相关的资料和规范文档,并明确说明执行要求。
4.1.2.阿里云
指派一名有经验的技术经理执行云化IT治理项目管理,并引入、管理乙方项目组人员,与甲方项目经理沟通。
通过现状调研了解客户系统的基本架构、业务使用场景、技术组件和开发框架等信息,并对企业IT治理规范进行评估。
基于现状调研设计企业云化IT治理方案。
配合甲方进行企业云化IT治理方案技术验证,协助解决技术验证过程中遇到的各类问题。
4.1.3.完工标准
企业云化IT治理服务基础版完工标准
企业云化IT治理方案设计完成并经过甲方确认,需包含资源管理、身份管理、网络规划及安全防护四项内容
产出交付物:《企业云化IT治理基础治理方案》
企业云化IT治理服务标准版完工标准
企业云化IT治理方案设计完成并经过甲方确认,需包含资源管理、身份管理、网络规划、安全防护、合规审计、财务管理、运维管理、IaC 自动化八项内容。
产出交付物:《企业云化IT治理标准治理方案》
企业云化IT治理服务实施服务完工标准
该服务为实施落地服务,客户环境实施完成并经过甲方确认,实施部分应包含《企业云化IT治理基础/标准治理方案》的所有需实施的内容。
4.2.服务目录
服务内容:企业云化IT治理服务针对客户的业务目标,包含以下服务:
阶段名称 | 服务目录 | 企业云化IT治理服务基础版 | 企业云化IT治理服务标准版 |
现状调研 | 基础设施调研 | 支持 | 支持 |
业务现状与应用系统调研 | 支持 | 支持 | |
企业IT治理规范调研 | 支持 | 支持 | |
方案设计 | 资源管理 | 支持 | 支持 |
身份管理 | 支持 | 支持 | |
网络规划 | 支持 | 支持 | |
安全防护 | 支持 | 支持 | |
财务管理 | 支持 | ||
合规审计 | 支持 | ||
运维管理 | 支持 | ||
IaC 自动化资源管理 | 支持 | ||
技术验证 | 企业云化IT治理方案技术验证 | 支持 | 支持 |
5.服务SLA
提供企业云化IT治理服务
在服务期间内向客户提供方案技术验证支持群以及按需的现场保障
按对应服务规格提供《企业云化IT治理基础治理方案》或《企业云化IT治理标准治理方案》
6.服务流程
企业云化IT治理服务流程
7.验收标准
7.1.验收分项清单
编号 | 交付阶段 | 交付明细 | 交付物 | 交付物类型 |
1 | 现状调研阶段 | 基础设施调研 | 《企业云化IT治理现状调研报告》 | 文档 |
业务现状和应用系统调研 | ||||
企业IT治理规范调研 | ||||
2 | 方案设计阶段 | 资源管理 | 《企业云化IT治理基础治理方案》 或 《企业云化IT治理标准治理方案》 | |
身份管理 | ||||
网络规划 | ||||
安全防护 | ||||
财务管理(标准版) | ||||
合规审计(标准版) | ||||
运维管理(标准版) | ||||
IaC 自动化资源管理(标准版) | ||||
3 | 技术验证 | 方案技术验证 | 无 |
7.2.验收标准
乙方项目交付过程中提供企业云化IT治理咨询,并将关键信息记录在文档内,因此文档类交付成果应着重文档实质内容的验收,确认乙方提交内容符合甲方需求。
若甲方业务流程要求在乙方提交交付成果前需进行各类内部评审,甲方应在约定的验收时点前推动并及时完成其内部所需评审和汇报。
文档内容经过评审会,若需要修改,乙方修改后提请甲方进行验收,由甲方指定的代表进行签收确认。验收在公共云服务系统页面上点击验收确认按钮。
企业云化IT治理服务基础版验收标准
《企业云化IT治理基础治理方案》满足预期
企业云化IT治理服务标准版验收标准
《企业云化IT治理标准治理方案》满足预期
企业云化IT治理实施服务验收标准
在阿里云上完成《企业云化IT治理基础/标准版治理方案》落地
7.3.验收计划
根据《7.1验收分项清单》所列示各阶段的交付内容与交付物,本项目将按照以下验收计划进行项目验收,甲方同意根据此验收计划对乙方的交付物进行验收。
企业云化IT治理服务基础版验收计划
编号 | 验收里程碑 | 验收内容 | 验收完成标志 |
1 | 《企业云化IT治理基础治理方案》设计与验证完成 | 《企业云化IT治理基础治理方案》 | 甲方在线确认验收方案 |
企业云化IT治理服务标准版验收计划
编号 | 验收里程碑 | 验收内容 | 验收完成标志 |
1 | 《企业云化IT治理基础治理方案》《企业云化IT治理标准治理方案》 设计与验证完成 | 《企业云化IT治理基础治理方案》 《企业云化IT治理标准治理方案》 | 甲方在线确认验收方案 |
企业云化IT治理实施服务验收计划
编号 | 验收里程碑 | 验收内容 | 验收完成标志 |
1 | 基于《企业云化IT治理基础/标准治理方案》,在客户云账号下实施完成 | 基于《企业云化IT治理基础/标准治理方案》,在客户云账号下的实施成果 | 甲方在线确认验收实施成果 |
8.完成标志
客户验收完成