方案概述

企业将业务搬迁上云的过程中和后续云上运营期间，都需要面对云环境带来的新的潜在风险和管理挑战。搬迁上云之后，云上的运维更高频、更灵活、更自由，云上数据存储、网络搭建、安全防护设计都有了新的模式，这对企业的中心审计团队、合规团队、运维团队都提出新的要求。

在云环境下，企业的各中心管理团队面对云上多账号、多业务、多环境的复杂部署，需要一种从上而下的管理框架，能持续监管整个企业的安全合规性，及时发现问题、响应问题，从而规避可能存在的数据泄露、业务中断、成本溢出等IT管理风险。

本方案旨在给企业的各中心管理团队提供一种面向多账号的合规管理方案，从上而下的实施统一的合规基线并强制管理，可中心化的持续监测所有业务的合规状态。提升中心管理团队工作的可见性可控性，切实起到监管效力，规避潜在风险。

方案优势

规避企业IT运维的风险

企业经营中所面临的许多业务风险本质上是IT管控风险，如数据泄露、业务中断、IT成本溢出、IT系统不合规等。这些风险可能给企业造成财产损失、信誉损失、商机损失、资质损失等。该方案帮助企业构建机制来约束IT运维的合规性和可靠性，规避这些风险。

轻松应对企业IT运维职责挑战

企业IT运维团队在日常工作中时刻伴随着各种风险，在部署和交付的各个环节都可能因配置错误、配置疏漏、管理粗糙等原因留下安全隐患，使IT系统可能发生账号被盗、成本溢出、数据泄露等严重事故。该方案一方面帮助企业建立起中心审计合规团队对于运维团队的监管，另一方面帮助运维团队自身实现系统化的运维监督，从依赖人的可靠性转变为依赖系统能力。

客户场景

实现多账号的合规管控

场景描述

企业在云上使用多个阿里云账号支撑多个业务应用，企业内的中心审计团队、合规团队或运维团队需要统筹监管所有业务的安全运行。首先这需要中心监管团队制定合规制度，要求所有业务遵从。同时各中心监管团队还需要从上而下的强制手段去禁止不合规情况的发生、及时发现不合规情况的发生，使合规制度得以正确实施和遵从。如中心审计团队要求所有账号必须开启操作审计，长期记录云上管控事件日志。

适用客户

• 使用资源目录管理云上多个账号的企业客户

• 使用多个阿里云账号的企业客户

• 存在中心运维团队、审计团队的企业客户

• 有独立合规团队的企业客户

客户案例

客户背景

某海外公司，专为全球资本市场提供独立信用评级、指数服务、风险评估、投资研究和数据服务。

客户痛点

在阿里云有20多个注册账号，根据账号职能不同，对账号下资源的合规要求也不同。资源托管云上的情况下，很难构建统一的CMDB中心和日志中心。无法中心化的进行整个体系的合规测评、监督和改进。在面对等保法规时，20多个账号要作为一个信息系统应对检测，这非常繁琐且成本巨大。

实施方案

• 使用资源目录进行多账号统一管理

• 使用配置审计对不同账号强制实施不同的合规基线

• 使用配置审计对等保2.0充分预检

客户收益

• 使用资源目录和审计产品，中心化的对多账号进行合规管控，将操作日志和配置快照归集到统一地址。

• 使用配置审计对不同账号强制实施不同的合规基线，并持续监控云上多账号下IT系统的合规性。

• 使用配置审计对等保2.0充分预检，加速通过等保2.0三级测评。

方案架构

关键流程

1. 在资源目录服务创建组织，用树结构把账号管理起来。

2. 企业管理主账号在配置审计服务基于资源目录的组织结构创建账号组，圈定合规管理的账号范围。

3. 企业管理主账号在配置审计服务的账号组中创建实施的合规规则。

4. 企业管理主账号在配置审计服务查看整个组织的合规情况。