Landing Zone精细化管控，构建云上安全生态

来源：《确定性运维2.0案例集第三期》

    一、业务背景

       Z企业致力于成为 “最具创新力的中国农业科技全球化公司”，随着全面云化时代的到来，为规避管理、安全、成本失控等风险，Z企业与华为云合作引入Landing Zone专业服务。通过建立多账户管理结构、改进权限管控策略、优化财务管理流程、提升网络资源利用率、完善安全防护体系，确保Z企业云化过程的安全稳定，整体提升企业数字化转型效率。

    二、业务现在

在数字化转型的背景下，Z企业主要面临以下五个业务挑战：

集中化的账号管理体系：需要建立集中化的账户管理体系，统一管理所有业务部门和子公司的云账户，确保资源的合理分配和高效利用。

       严格的权限治理策略：支持严格的权限管理策略，能够根据用户角色和职责进行权限管控，确保权限最小化。

       高性能和稳定的网络架构：网络架构要能够提供更高的性能和稳定性，确保在高峰时段也能保持低延迟和高带宽，保障业务连续性和用户体验。

       更精细的财务管理规划：旗下的多个子公司目前存在财务管理分散的情况，为了提升效率和统一管理，需要进行财务管理优化。

       多层次的安全防护机制：需多层次的安全防护，包括边界安全、应用安全和数据安全等。

    三、方案实践

通过华为云Landing Zone专业服务提供的一系列核心能力，加速实现云端数字化转型进程。具体如下：

    1. 组织账户

 针对企业现状与诉求，Landing Zone提供了多账号管理能力。从业务架构、运行环境和IT职能等维度设计组织OU层级和账号。具体设计方案如下：

Z企业按照业务和职能的不同，规划了一个职能OU和多个业务子公司OU并存的组织结构体系，职能OU由集团人员管理，职能OU下面划分DDI和HR等部门OU，DDI部门OU下设置安全账号、日志账号、基础设施账号、公共账号、流水线账号和沙箱账号；各个业务子公司OU由子公司账户管理。

组织账户框架

       2. 身份权限

 针对业务用户，华为云提供IAM身份中心（IAM Identity Center）服务，通过IAM身份中心对接第三方身份源、创建和管理用户与用户组，分配登录密码，并对其进行分组管理。以下是身份权限的设计方案：

              1)  统一身份认证

        支持多源身份认证：允许部分员工通过第三方IdP进行单点登录（SSO），同时支持其他员工通过IAM身份中心直接登录。

        身份联邦：实现IAM身份中心与第三方IdP之间的身份联邦，确保两种身份来源的用户可以无缝接入系统。

        身份同步：定期从第三方IdP同步用户信息至IAM身份中心，保持用户数据的一致性和准确性。

              2)  权限管理

             集中权限控制：所有用户的权限均由IAM身份中心统一管理，确保权限分配的一致性和安全性。

             基于角色的权限分配：根据员工的角色和职责分配相应的权限，简化权限管理。

             细粒度权限控制：支持对不同资源和操作进行细粒度的权限设置，确保最小权限原则。

权限管理规划

       3. 网络架构

 网络架构是企业的重要组成部分，Landing Zone通过构建稳定可靠、可扩展的网络基础设施，统一管理各类网络资源和相关的网络安全防护资源，使业务账号和IT职能账号之间实现安全可靠的通信。具体网络结构如下：

网络架构设计

              1) 骨干互联区

              云上VPC互联，将业务账号和IT职能账号的VPC网络进行互联。

              云上云下互联，将本地数据中心和办公区接入到华为云。

              云间互联，将华为云与第三方云进行网络互联。

              多Region互联，将部署在华为云多个Region的业务系统进行互联。

              提供东西向防火墙功能，集中控制东西向网络的安全访问策略。

              2) 业务应用部署区

              为各个业务系统提供IaaS资源和PaaS资源。

              在业务账号内为不同的业务系统提供隔离的VPC 。

              按照应用架构分层在每个VPC下面再划分应用、数据库等子网。

             3）公共和管理服务部署区

             公共服务，如虚拟机镜像库、容器镜像库等。

             集中的安全运营管理系统。

             集中的运维监控系统，补丁更新服务器等。

             集中的DevOps流水线。

             4) 公网接入区

             通过对互联网访问流量进行实时监测，及时发现和清洗DDoS攻击流量。

            提供南北向防火墙功能，包括访问控制、入侵防御、流量分析和日志审计等。

             防护Web应用遭受来自互联网的SQL注入、XSS等应用层攻击。

             公网接入资源下沉到业务账号，在业务账号的VPC中的边界子网中集中部署 和管理面向互联网连接的EIP和ELB。

             在业务账号VPC的边界子网上管理互联网的入口，作为互联网连接的终结点。

  4. 财务管理当前企业在华为云上的财务模式为财务托管模式，通过调用华为云提供的接口，进行二次开发，实现财务账单的集中管理，确保财务数据的准确分账和管理。

当前Z企业在华为云上的财务模式为财务托管模式，组织下资源的花销统一由管理员账号支付，Z企业通过调用华为云提供的接口，进行二次开发，实现了本企业整体财务明细的把控和财务的汇聚，Z企业的子公司从可以从私有云获取账单信息，旨在达到精确分账和精准管理的效果。

财务治理方案

      5. 安全防护

 企业依据自身安全状况，并以华为云安全防护体系为基础，围绕用户账户安全、网络安全、主机安全、应用安全、数据安全等多个维度，构建专门针对企业的安全防护体系

      具体安全防护体系如下：

            1)  职能OU下的安全保障：

             数据安全：负责数据的加密、备份和恢复，确保数据的完整性和保密性。

             主机安全：管理主机的安全配置、漏洞扫描和补丁管理，防止恶意软件和未授权访问。

             网络安全：配置和管理网络防火墙、DDoS防护、安全组等，确保网络的稳定性和安全性。

             安全云脑：利用智能安全分析和威胁检测，实时监控和响应安全事件，提高安全防护的智能化水平。

             2) 业务OU下的安全保障：

              业务安全：监控业务系统的运行状态，及时发现和处理异常情况，确保业务的连续性和稳定性。

              应用安全：通过安全测试、Web应用防火墙（WAF）和漏洞扫描，确保应用程序的安全性和可靠性。

 通过分层管理方式，能够明确安全责任，提高安全管理和响应的效率，确保在用户账户安全、网络安全、主机安全、应用安全和数据安全等各个方面得到全面保护，构建起坚固的云上安全屏障。

安全防护设计

     四，业务提升

   Z企业借助华为云的Landing Zone，提升财务治理、成本管理和授权管理的效率，为企业提供一个安全、合规、高效的运营环境。

1. 完全消除账户安全事件：通过账号统一管理，将账号泄露问题从每月5次下降到0次，完全杜绝账号泄露的风险。
2. 授权效率提升10倍：从实施前每个账户登录授权，实施后统一授权管理，极大提升管理效率，授权效率也从实施前的20分钟缩短到实施后的2分钟。
3. 网络资源利用率提升30%：实施前网络资源利用率约为60%，存在大量闲置资源，实施后网络资源利用率提升至90%。
4. 人力成本下降75%：通过财务治理，减少重复性工作，人力成本节约75%。
5. 安全事件降低80%：使用华为云专有防护体系后，安全攻击事件减少80%。

     五、案例总结

    Z企业通过华为云Landing Zone专业服务，解决云资源管理中的五大挑战，通过统一的账户管理、简化运维、精细化的财务管理和自动化合规检查，该企业不仅有效提高管理效率，而且有效降低运维成本和安全风险，同时确保数据资产的安全。