产品介绍
服务概述
随着很多大型企业和政府机构逐步将越来越多的业务系统往云上迁移,全面云化的时代已经来临。大型政企客户非常关注业务隔离、安全合规和IT治理,为应对这些客户诉求,华为云系统性提出Landing Zone解决方案,帮助客户构建架构卓越、安全合规、可扩展的多账号运行环境,在此基础上构建精益IT治理体系,实现“人财物权法”的有序和集中管控,确保云战略与业务目标和IT战略对齐。本文档从组织单元账号、身份权限、数据边界、网络规划、安全防护、合规审计、运维监控、财务管理等方面进行详细阐述,帮助客户最大化云化收益,同时最小化风险。
服务内容
- 基础场景设计与实施服务
服务规格
服务内容
适用场景
Landing Zone基础场景设计-中规模
基于客户需求调研,提供组织账号、身份权限、网络规划、安全防护、合规审计这五个Landing Zone场景详细设计方案。
中大型企业上华为云,提供基于多账号的组织、身份权限、网络、安全防护、合规审计这五个场景的规划与实施服务,助力企业完成易扩展的云上高效治理架构的设计与落地。
Landing Zone基础场景设计-大规模
Landing Zone基础场景设计-超大规模
Landing Zone设计集团版-基础包
Landing Zone设计集团版-增量包
Landing Zone基础场景设计-中规模
基于基础场景的详细设计,进行云上环境的实施服务,开通云资源、云账号,设置多账号体系,设置云上授权体系,完成云上基础架构的搭建,配置云网络与相关安全防护。
Landing Zone基础场景设计-大规模
Landing Zone基础场景设计-超大规模
Landing Zone实施集团版-基础包
Landing Zone实施集团版-增量包
- 高阶场景-数据边界服务
服务规格
服务内容
适用场景
数据边界管理设计
通过配置SCP身份护栏、VPC Endpoint护栏和资源护栏策略,阻断所有非预期的访问路径,确保只允许可信的身份从可信的网络才能访问可信的资源,提供数据边界管理的详细设计方案。
中大型企业上华为云,对于数据隐私、核心数据的防护要求高。
数据边界管理实施
根据企业数据边界管理的详细设计,落地企业数据管理最佳实践。
- 高阶场景-云财务治理服务
服务规格
服务内容
适用场景
云财务治理设计
根据Landing Zone的组织架构及财务关系,设计分级财务管理详细方案。实现主账号统一账单查看、成本分析及开票、子账号过度消费资源及时预警和标签的精细化成本分析等功能。
中大型企业上华为云,需要复杂的财务分级管理。
云财务治理实施
企业财务管理的设计方案实施落地
- 高阶场景-运维管理服务
服务规格
服务内容
适用场景
运维管理设计
根据Landing Zone组织结构,实现对多账号的资源管理、事件管理以及日志的运维监控。
中大型企业上华为云后,对账号资源等进行日常监控运维。
运维管理实施
企业运维管理的设计方案实施落地。
- 高阶场景-高级支持服务
服务规格
服务内容
适用场景
高级支持服务-基础包
L2级别5人天服务增量包,适用于客户需求<基础场景相关L6商品范围或规模<中规模情况下的额外增购,购买数量根据客户项目需求范围、可交付性、需求工作量等因素进行综合评估。
为客户上华为云提供Landing Zone相关服务,如自动化脚本适配、基础IaaS资源发放、技术赋能支持服务等,助力企业完成易扩展的云上高效治理架构的设计与落地。
高级支持服务-高级包
L3级别5人天服务增量包,适用于上述全部L6商品均无法覆盖情况下的额外增购,包括但不限于Landing Zone相关场景的自动化脚本适配、基础IaaS资源发放、技术赋能支持等服务,购买数量根据客户项目需求范围、可交付性、需求工作量等因素进行综合评估。
- Landing Zone治理优化服务
服务规格
服务内容
适用场景
Landing Zone 治理优化-标准版-包月(中规模)
在Landing Zone五大基础场景的交付实施后, 提供对五大场景“组织架构,身份权限,网络管理,安全管理,合规审计”的治理检测及修复,并提供历史检测记录查询。
中大型企业部署Landing Zone环境后,基于Landing Zone最佳实践针对五大基础场景进行日常治理。
Landing Zone 治理优化-标准版-包月(大规模)
Landing Zone 治理优化-标准版-包月(超大规模)
Landing Zone 治理优化-标准版-包年(中规模)
在Landing Zone五大基础场景的交付实施后, 提供对五大场景“组织架构,身份权限,网络管理,安全管理,合规审计”的治理检测及修复,并提供历史检测记录查询。为用户提供小于等于5人天的自动化脚本适配和运维。
Landing Zone 治理优化-标准版-包年(大规模)
在Landing Zone五大基础场景的交付实施后, 提供对五大场景“组织架构,身份权限,网络管理,安全管理,合规审计”的治理检测及修复,并提供历史检测记录查询。为用户提供小于等于10人天的自动化脚本适配和运维。
Landing Zone 治理优化-标准版-包年(超大规模)
在Landing Zone五大基础场景的交付实施后, 提供对五大场景“组织架构,身份权限,网络管理,安全管理,合规审计”的治理检测及修复,并提供历史检测记录查询。为用户提供小于等于15人天的自动化脚本适配和运维。
Landing Zone 治理优化-旗舰版-包月(中规模)
在Landing Zone八大场景的交付实施后, 提供对八大场景“组织架构,身份权限,网络管理,安全管理,合规审计,财务管理,运维管理,数据边界”的治理检测及修复,并提供历史检测记录查询。
Landing Zone 治理优化-旗舰版-包月(大规模)
Landing Zone 治理优化-旗舰版-包月(超大规模)
Landing Zone 治理优化-旗舰版-包年(中规模)
在Landing Zone八大场景的交付实施后, 提供对八大场景“组织架构,身份权限,网络管理,安全管理,合规审计,财务管理,运维管理,数据边界”的治理检测及修复,并提供历史检测记录查询。为用户提供小于等于5人天的自动化脚本适配和运维。
Landing Zone 治理优化-旗舰版-包年(大规模)
在Landing Zone八大场景的交付实施后, 提供对八大场景“组织架构,身份权限,网络管理,安全管理,合规审计,财务管理,运维管理,数据边界”的治理检测及修复,并提供历史检测记录查询。为用户提供小于等于10人天的自动化脚本适配和运维。
Landing Zone 治理优化-旗舰版-包年(超大规模)
在Landing Zone八大场景的交付实施后, 提供对八大场景“组织架构,身份权限,网络管理,安全管理,合规审计,财务管理,运维管理,数据边界”的治理检测及修复,并提供历史检测记录查询。为用户提供小于等于15人天的自动化脚本适配和运维。
关于表格中规模的说明:
- 中规模(Landing Zone基础场景设计与实施):账号数量<=10个且VPC数量<=3个且不跨region
- 大规模(Landing Zone基础场景设计与实施):中规模场景不满足时,此场景适用账号数量<=100个 且 VPC数量<=10个
- 超大规模(Landing Zone基础场景设计与实施):大规模场景若不满足时,此场景适用账号数量>100个 或 VPC数量>10个
- 中规模(Landing Zone治理优化):账号数量<=10个
- 大规模(Landing Zone治理优化):中规模场景不满足时,此场景适用账号数量<=100个
- 超大规模(Landing Zone治理优化):大规模场景若不满足时,此场景适用100<账号数量<=200个
- 设计集团版-基础包:在大型集团或者政企场景下,有包含多套或多层级IT职能账号(网络、安全、运维等账号)的诉求,针对集团公司(包含两个分支子公司)提供一套混合部署多层级架构Landing Zone的设计LLD文档。集团总部设计包括组织账号管理、多账号资源/成本管理、数据边界,每个子公司(华为云账号数量小于10)设计提供身份权限、网络规划、安全防护、合规审计、运维管理模块。
- 设计集团版-增量包:在大型集团或者政企场景下,有包含多套或多层级IT职能账号(网络、安全、运维等账号)的诉求,针对多个分支额外提供一套身份权限、网络规划、安全防护、合规审计、运维管理模块的设计LLD文档,并且要求组织分支华为云账号数量小于10。
- 实施集团版-基础包:在大型集团或者政企场景下,有包含多套或多层级IT职能账号(网络、安全、运维等账号)的诉求,针对集团公司(包含两个分支子公司)提供一套混合部署多层级架构Landing Zone的落地实施。集团总部实施包括组织账号管理、多账号资源/成本管理、数据边界,每个子公司(华为云账号数量小于10)实施提供身份权限、网络规划、安全防护、合规审计、运维管理模块。
- 实施集团版-增量包:在大型集团或者政企场景下,有包含多套或多层级IT职能账号(网络、安全、运维等账号)的诉求,针对多个分支额外提供一套身份权限、网络规划、安全防护、合规审计、运维管理模块的落地实施,并且要求组织分支华为云账号数量小于10。
前提条件
- 客户需要提前15天申请华为云Landing Zone设计与实施服务,以便评估客户业务目标和项目交付计划。
- 为客户提供Landing Zone服务时,如需接入客户业务环境,需获得客户授权才能履行服务内容,同时需要客户侧的人员配合,例如业务现状调研、需求收集、方案设计&评审、方案验收等。
服务范围
- 服务覆盖范围
阶段
服务活动
服务说明
云上IT治理调研评估
IT治理调研评估
调研客户IT治理现状,收集客户IT治理规范(如安全规范、网络规范、账号管理规范、计费分账规范等),分析客户当前的IT治理架构,收集客户对于云上IT治理的需求。
基础场景设计与实施服务
组织账号
根据企业的业务结构和IT管理模式,设计华为云上多账号以及账号内资源分组方案,实现职责分离。
身份权限
1.完成身份提供商(Active Directory/Google等)与云上身份联邦设计,使用现有凭证访问华为云。
2.用户/用户组方案设计,多账号或单账号的权限集配置,授权管理、凭证安全方案设计。
3.完成用户/用户组人员及应用身份的权限边界、组织级护栏策略设计。
网络规划
1.公网接入能力设计,完成公网NAT网关、公网EIP和proxy服务器设置设计。
2.云上云下,同一朵云多Region互联,与第三方云互连设计。
3.业务部署VPC划分,云间VPC互连方案设计,以及公共服务和管理区文件系统、OBS桶等网络设计。
合规审计
1.云上资产成本运营,运维,安全,可靠性的资源配置合规检测最佳实践。
2.操作日志审计,对云上操作、资源变更等日志进行持久化保存。
安全防护
1.主机安全:主机漏洞、威胁、攻击保护方案。
2.数据安全:秘钥管理、数据库安全防护策略、存储访问控制等。
高阶场景
数据边界
1.设计网络边界安全/内网安全管控策略,路由表/ACL/安全组分权管控,确保网络最小暴露面。
2.基于SOD安全原则,通过配置SCP身份护栏、VPC Endpoint护栏和资源护栏策略,阻断所有非预期的访问路径,确保数据资源只能由确定用户在确定网络或环境内部可访问,并提供分析工具来证明策略配置的有效性,彻底消除特权凭证泄露、错误配置等导致的数据泄露风险。
云财务治理
1.根据Landing Zone组织结构,结合财务关系,构筑分级财务管理。
2.每个子账号按照标签进行逻辑资源分组,并按照标签成本分账。
运维管理
1.支持对所有成员账号的资源管理、事件管理进行统一查看、操作。
2.针对拥有多账号的企业,管理账号统一管理组织中的其他账号的日志监控。
高级支持服务
根据调研的客户实际业务需求,提供高级支持服务,如自动化脚本适配、基础IaaS资源发放、技术赋能支持服务等,助力企业完成易扩展的云上高效治理架构的设计与落地。
Landing Zone 治理优化
治理优化
Landing Zone 治理优化服务可以持续监控云上多账号环境是否满足华为云Landing Zone最佳实践,识别治理风险并提供修复能力,保障客户云上安全合规。
技术验证
IT治理方案技术验证
在客户的测试或预生产环境进行Landing Zone IT治理架构的技术验证,范围包括:多账号体系、SSO登录、用户权限、身份管理,网络连通性,操作审计等。
方案实施
IT治理方案实施
在客户的生产环境实施整体的Landing Zone IT治理设计方案。
- 服务不覆盖范围
- 非Landing Zone方案设计范围内的软件设计、改造和安装部署,如客户自行购买的第三方安全软件、应用软件、网络软件等。
- Landing Zone方案验证、实施所需的云服务费用由客户承担,如ER、专线、VPN、CFW、WAF等云服务产品。
- 超出Landing Zone方案范围外的服务,如安全云脑、灾备设计、云服务(大数据、数据库等)资源使用规划等。
- 服务区域
服务流程
服务交付件
- 基础场景设计与实施服务
服务规格
交付件
验收报告
Landing Zone基础场景设计-中规模
《华为云Landing Zone设计方案HLD》
《华为云Landing Zone实施方案LLD》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
Landing Zone基础场景设计-大规模
Landing Zone基础场景设计-超大规模
Landing Zone设计集团版-基础包
Landing Zone设计集团版-增量包
Landing Zone基础场景实施-中规模
Landing Zone基础场景实施-大规模
Landing Zone基础场景实施-超大规模
Landing Zone实施集团版-基础包
Landing Zone实施集团版-增量包
- 高阶场景-数据边界服务
服务规格
交付件
验收报告
数据边界管理设计
《华为云Landing Zone设计方案HLD》
《华为云Landing Zone实施方案LLD》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
数据边界管理实施
- 高阶场景-云财务治理服务
服务规格
交付件
验收报告
云财务治理设计
《华为云Landing Zone设计方案HLD》
《华为云Landing Zone实施方案LLD》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
云财务治理实施
- 高阶场景-运维管理服务
服务规格
交付件
验收报告
运维管理设计
《华为云Landing Zone设计方案HLD》
《华为云Landing Zone实施方案LLD》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
运维管理实施
- 高阶场景-高级支持服务
服务规格
交付件
验收报告
高级支持服务-基础包
《华为云Landing Zone工作量评估》
《华为云Landing Zone设计方案HLD》
《华为云Landing Zone实施方案LLD》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
高级支持服务-高级包
- Landing Zone治理优化服务
服务规格
交付件
验收报告
Landing Zone 治理优化-标准版-包月(中规模)
《Landing Zone治理优化服务验收报告》
《Landing Zone治理优化服务验收报告》
Landing Zone 治理优化-标准版-包月(大规模)
Landing Zone 治理优化-标准版-包月(超大规模)
Landing Zone 治理优化-标准版-包年(中规模)
Landing Zone 治理优化-标准版-包年(大规模)
Landing Zone 治理优化-标准版-包年(超大规模)
Landing Zone 治理优化-旗舰版-包月(中规模)
Landing Zone 治理优化-旗舰版-包月(大规模)
Landing Zone 治理优化-旗舰版-包月(超大规模)
Landing Zone 治理优化-旗舰版-包年(中规模)
Landing Zone 治理优化-旗舰版-包年(大规模)
Landing Zone 治理优化-旗舰版-包年(超大规模)
责任矩阵
- 共同责任
- 双方商定并确认具体的业务需求及目标;
- 双方商定并确认项目管理计划;
- 双方商定并确认方案内容并评审;
- 完成合同签订。
- 华为责任
- 华为云需明确此次项目的负责人,因特殊情况导致华为人员变更,需要提前3个工作日知会客户,直至项目最终验收完成。
- 华为云得到客户授权后,授权数据仅限用于Landing Zone服务中涉及的服务内容,不得超出限定范围。
- 客户责任
- 客户指派一位项目负责人协助华为云实施Landing Zone设计与实施服务。此负责人应负责双方之协调及管理,负责审核、验收华为云提供的服务。
- 客户必须提供业务系统相关的信息(包括但不限于应用架构、部署架构、网络架构、安全要求等信息)。
- 责任分工矩阵表
R=责任方/Responsibility
S=协助方/Support
- 基础场景设计与实施服务
序号
服务流程
工作内容
华为
客户
1
云上IT治理调研
IT治理调研
R
S
2
基础场景设计与实施服务
组织账号
R
S
3
身份权限
R
S
4
网络规划
R
S
5
合规审计
R
S
6
安全防护
R
S
7
技术验证
IT治理方案技术验证
S
R
8
方案实施
IT治理方案实施
S
R
- 高阶场景-数据边界服务
序号
服务流程
工作内容
华为
客户
1
高阶场景-数据边界服务
数据边界
R
S
2
技术验证
IT治理方案技术验证
S
R
3
方案实施
IT治理方案实施
S
R
- 高阶场景-云财务治理服务
序号
服务流程
工作内容
华为
客户
1
高阶场景-云财务治理服务
云财务治理
R
S
2
技术验证
IT治理方案技术验证
S
R
3
方案实施
IT治理方案实施
S
R
- 高阶场景-运维管理服务
序号
服务流程
工作内容
华为
客户
1
高阶场景-运维管理服务
运维管理
R
S
2
技术验证
IT治理方案技术验证
S
R
3
方案实施
IT治理方案实施
S
R
- 高阶场景-高级支持服务
序号
服务流程
工作内容
华为
客户
1
高阶场景-高级支持服务
高级支持
R
S
2
技术验证
IT治理方案技术验证
S
R
3
方案实施
IT治理方案实施
S
R
- Landing Zone治理优化服务
序号
服务流程
工作内容
华为
客户
1
Landing Zone治理优化
治理优化
R
S
2
技术验证
IT治理方案技术验证
S
R
3
方案实施
IT治理方案实施
S
R
如果客户购买了Landing Zone实施服务,则华为云负责进行方案实施。
- 基础场景设计与实施服务
验收标准
支持的验收方式:线上验收/线下验收。
验收标准:华为按各服务子项提交标准交付件,客户在华为云官网Console点击确认验收,或线下签字且盖章《华为云Landing Zone设计与实施服务验收报告》作为服务验收通过依据。
- 基础场景设计与实施服务
L6服务名称
验收报告
Landing Zone基础场景设计-中规模
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
Landing Zone基础场景设计-大规模
Landing Zone基础场景设计-超大规模
Landing Zone设计集团版-基础包
Landing Zone设计集团版-增量包
Landing Zone基础场景实施-中规模
Landing Zone基础场景实施-大规模
Landing Zone基础场景实施-超大规模
Landing Zone实施集团版-基础包
Landing Zone实施集团版-增量包
- 高阶场景-数据边界服务
L6服务名称
验收报告
数据边界管理设计
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
数据边界管理实施
- 高阶场景-云财务治理服务
L6服务名称
验收报告
云财务治理设计
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
云财务治理实施
- 高阶场景-运维管理服务
L6服务名称
验收报告
运维管理设计
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
运维管理实施
- 高阶场景-高级支持服务
L6服务名称
验收报告
高级支持服务-基础包
《华为云Landing Zone设计与实施服务验收确认书》 /《华为云Landing Zone设计与实施服务验收报告》
高级支持服务-高级包
- Landing Zone治理优化
L6服务名称
验收报告
Landing Zone 治理优化-标准版-包月(中规模)
《Landing Zone治理优化服务验收报告》
Landing Zone 治理优化-标准版-包月(大规模)
Landing Zone 治理优化-标准版-包月(超大规模)
Landing Zone 治理优化-标准版-包年(中规模)
Landing Zone 治理优化-标准版-包年(大规模)
Landing Zone 治理优化-标准版-包年(超大规模)
Landing Zone 治理优化-旗舰版-包月(中规模)
Landing Zone 治理优化-旗舰版-包月(大规模)
Landing Zone 治理优化-旗舰版-包月(超大规模)
Landing Zone 治理优化-旗舰版-包年(中规模)
Landing Zone 治理优化-旗舰版-包年(大规模)
Landing Zone 治理优化-旗舰版-包年(超大规模)
- 验收流程包括华为负责的文档类交付件、Landing Zone环境实施和测试。
- 文档类交付件的验收以SOW中对交付件的描述和要求为准,对文档交付件的验收应着重于对文档实质内容的验收,凡交付件实质内容符合本工作说明书约定的,应予通过验收和接受。少量格式、词汇、修饰等方面的不符不应被作为不验收的理由,但乙方应就格式、词汇、修饰等方面的不符处按客户要求在合理的时间内进行修改。
- Landing Zone实施和测试验收按照文档交付件中的内容进行验收,乙方结合文档交付件提供验收checklist并与客户评审达成一致,甲方针对验收checklist中涉及的每个条目进行验收确认。
- 乙方负责输出项目交付件并自检,合格后提交验收申请
- 甲方对交付件进行评审,评审通过后在《华为云Landing Zone设计与实施服务验收报告》上签字。若评审有问题,乙方根据评审意见进行整改,重新提交验收申请。
- 甲方在收到乙方提交的交付件后,应在【3】个工作日内反馈意见给乙方,如果乙方在交付件提交给甲方后的【3】个工作日内尚未收到甲方的书面反馈意见,则该轮提交的交付件将被视为已被甲方接受并作为最终版本验收通过。
