基础架构安全实施最佳实践
网络、账号和工作负载是企业客户在使用云时最先接触到的云资源,云提供了便利性的同时,企业仍要高度重视安全性,避免为了提供更便利的服务牺牲安全性。建议在业务上云初期,对网络规划、账号体系设计进行充分的考量和咨询,并进行有效的检测和评估。
阿里云提供了企业上云最佳实践咨询。对企业来说,将业务迁移到阿里云时,希望能够保障业务在云上安全合规,同时兼顾灵活的业务组织拓展。根据大量的客户实践总结发现,在上云前做好合理的规划可以避免对管理方式的反复重构,加速业务大规模上云。因此建议客户在上云之前先从顶层规划一个完善的企业上云框架,也称为 Landing Zone。
网络架构设计最佳实践
阿里云基于大量的网络架构设计,结合不同行业业务特点和网络需求,提供网络架构设计的最佳实践。如企业级云上网络分区分域设计、云上同城/异地容灾网络设计、DMZ-VPC区域设计、VPC东西向流量隔离和管控设计、云上云下混合云组网设计等最佳实践方案。详细说明参考网络安全保护中相关内容。
账号体系设计最佳实践
阿里云基于Landing Zone体系,帮助企业设计资源管理及规划,账号设计和账号组织隔离方案。
资源规划
集团型企业对业务隔离的要求比较严格,不同业务必须按照安全要求或行业监管要求,部署在不同的云账号内,根据阿里云最佳实践,Landing Zone推荐企业使用多账号架构来管理云上资源。多账号架构帮助企业实现强隔离、降风险,应对企业多分公司关系,支持多种法律主体、多种结算模式共存,便于结构化管理,让企业的业务更便于拆分和融合。
账号设计
账号规划及职能说明如下:
企业管理账号:用于多账号管理,在该账号中启用资源目录并构建账号树,具备统一设置审计、管控策略等规则并下发到各成员账号等管理职能。该账号一般也作为财务主账号,与其它账号建立财务关联关系后对企业财务进行统一管理。
安全账号:给企业的安全角色使用,用于配置相关安全产品,如Web应用防火墙(WAF)、云防火墙等。
日志账号:聚合所有成员账号的日志,便于统一收集、统一管理。
运维账号:部署运维相关工具,如堡垒机、统一监控平台、企业云管理平台CMP、云上资产管理平台CMDB等。
共享服务账号:用于部署企业共享服务,如网络等。
业务账号:业务功能账号,用于部署业务应用,如生产账号、开发测试账号。
账号组织结构及业务隔离
说明及建议:
在企业管理账号中使用资源目录构建账号树,将其它账号作为成员账号纳入资源目录进行多账号统一管理。
基础管控类账号放置到Core资源夹下,业务账号放置到Applications资源夹下。
业务账号按业务组织单元进行划分,体现企业组织架构及管理方式,常见的组织单元划分如分公司、部门、产品等,可用于对不同业务单元进行隔离。
每个组织单元下可划分测试账号及生产账号,对生产环境及测试环境进行隔离。
账号下可使用不同资源组对应用资源进行隔离。
大数据业务集中放置到大数据账号,归属大数据资源夹。
外购资源夹用于放置供应商账号,根据实际情况选择是否需要,对供应商账号可以实施管控策略等基线进行操作限制。
工作负载架构设计最佳实践
工作负载的架构设计应从工作负载保护,工作负载网络设计、工作负载的访问控制三个层面设计。详细设计最佳实践可参考工作负载安全保护一节。