更新时间:2024-05-28 GMT+08:00

工作说明书

服务概述

随着云在安全稳定、服务质量、执行效率等方面的优势逐渐被各类企业接受和认可,越来越多的企业逐步将业务系统往云上迁移,企业全面云化的时代已经来临,为了避免大规模上云带来的管理失控、安全失控等系列问题,华为云推出Landing Zone服务解决方案,提供基于华为云的人、财、物、权、法的IT治理能力,协助客户对业务单元、用户、权限、云资源、数据、应用、安全等要素进行全面有效管理,可获得安全、效率等方面的全面提升。

服务内容

服务项

服务子项

服务内容

适用场景

基础场景设计与实施服务

Landing Zone基础场景设计-中规模

基于客户需求调研,提供组织账号、身份权限、网络规划、安全防护、合规审计这五个Landing Zone场景详细设计方案。

中大型企业上华为云,提供基于多账号的组织、身份权限、网络、安全防护、合规审计这五个场景的规划与实施服务,助力企业完成易扩展的云上高效治理架构的设计与落地。

Landing Zone基础场景设计-大规模

Landing Zone基础场景设计-超大规模

Landing Zone基础场景实施-中规模

基于基础场景的详细设计,进行云上环境的实施服务,开通云资源、云账号,设置多账号体系,设置云上授权体系,完成云上基础架构的搭建,配置云网络与相关安全防护。

Landing Zone基础场景实施-大规模

Landing Zone基础场景实施-超大规模

高阶场景-数据边界服务

数据边界管理设计

通过配置SCP身份护栏、VPC Endpoint护栏和资源护栏策略,阻断所有非预期的访问路径,提供数据边界管理的详细设计方案。

中大型企业上华为云,对于数据隐私、核心数据的防护要求高。

数据边界管理实施

根据企业数据边界管理的详细设计,落地企业数据管理最佳实践。

高阶场景-云财务治理服务

云财务治理设计

根据Landing Zone组织结构,结合财务关系,设计分级财务管理详细方案。

中大型企业上华为云,需要复杂的财务分级管理。

云财务治理实施

企业财务管理的设计方案实施落地。

高阶场景-运维管理服务

运维管理设计

根据Landing Zone组织结构,实现对所有成员账号的资源管理、事件管理以及日志的运维监控。

中大型企业上华为云后,对账号资源等进行日常监控运维。

运维管理实施

企业运维管理的设计方案实施落地。

  • 中规模:账号数量<=10个且VPC数量<=3个且不跨region。
  • 大规模:中规模场景不满足时,此场景适用账号数量<=100个且VPC数量<=10个。
  • 超大规模:大规模场景若不满足时,此场景适用账号数量>100个或VPC数量>10个。

前提条件

  • 客户需要提前15天申请华为云Landing Zone设计与实施服务,以便评估客户业务目标和项目交付计划。
  • 为客户提供Landing Zone服务时,如需接入客户业务环境,需获得客户授权才能履行服务内容,同时需要客户侧的人员配合,例如业务现状调研、需求收集、方案设计&评审、方案验收等。

服务范围

  1. 服务覆盖范围

    阶段

    服务活动

    服务说明

    云上IT治理调研评估

    IT治理调研评估

    调研客户IT治理现状,收集客户IT治理规范(如安全规范、网络规范、账号管理规范、计费分账规范等),分析客户当前的IT治理架构,收集客户对于云上IT治理的需求。

    基础场景设计与实施服务

    资源组织

    根据企业的业务结构和IT管理模式,设计华为云上多账号以及账号内资源分组方案,实现职责分离。

    身份权限

    • 完成身份提供商(Active Directory/Google等)与云上身份联邦设计,使用现有凭证访问华为云。
    • 用户/用户组方案设计,多账号或单账号的权限集配置,授权管理、凭证安全方案设计。
    • 完成用户/用户组人员及应用身份的权限边界、组织级护栏策略设计。

    网络规划

    • 公网接入能力设计,完成公网NAT网关、公网EIP和proxy服务器设置设计。
    • 云上云下,同一朵云多Region互联,与第三方云互连设计。
    • 业务部署VPC划分,云间VPC互连方案设计,以及公共服务和管理区文件系统、OBS桶等网络设计。

    合规审计

    • 云上资产成本运营,运维,安全,可靠性的资源配置合规检测最佳实践。
    • 操作日志审计,对云上操作、资源变更等日志进行持久化保存。

    安全防护

    • 主机安全:主机漏洞、威胁、攻击保护方案。
    • 数据安全:密钥管理、数据库安全防护策略、存储访问控制等。

    高阶场景

    数据边界

    • 设计网络边界安全/内网安全管控策略,路由表/ACL/安全组分权管控,确保网络最小暴露面。
    • 基于SOD安全原则,通过配置SCP身份护栏、VPC Endpoint护栏和资源护栏策略,阻断所有非预期的访问路径,确保数据资源只能由确定用户在确定网络或环境内部可访问,并提供分析工具来证明策略配置的有效性,彻底消除特权凭证泄露、错误配置等导致的数据泄露风险。

    云财务治理

    • 根据Landing Zone组织结构,结合财务关系,构筑分级财务管理。
    • 每个子账号按照标签进行逻辑资源分组,并按照标签成本分账。

    运维管理

    • 支持对所有成员账号的资源管理、事件管理进行统一查看、操作。
    • 针对拥有多账号的企业,管理账号统一管理组织中的其他账号的日志监控。

    技术验证

    IT治理方案技术验证

    在客户的测试或预生产环境进行Landing Zone IT治理架构的技术验证,范围包括:多账号体系、SSO登录、用户权限、身份管理,网络连通性,操作审计等。

    方案实施

    IT治理方案实施

    在客户的生产环境实施整体的Landing Zone IT治理设计方案。

  2. 服务不覆盖范围
    • 非Landing Zone方案设计范围内的软件设计、改造和安装部署,如客户自行购买的第三方安全软件、应用软件、网络软件等。
    • Landing Zone方案验证、实施所需的云服务费用由客户承担,如ER、专线、VPN、CFW、WAF等云服务产品。
    • 超出Landing Zone方案范围外的服务,如安全云脑、灾备设计、云服务(大数据、数据库等)资源使用规划等。
  3. 服务区域

    亚太、中东、拉美(非巴西)。

服务流程

Landing Zone服务流程:

服务交付件

L6服务名称

交付件

Landing Zone基础场景设计-中规模

《xx项目Landing Zone设计与实施方案》

Landing Zone基础场景设计-大规模

Landing Zone基础场景设计-超大规模

Landing Zone基础场景实施-中规模

Landing Zone基础场景实施-大规模

Landing Zone基础场景实施-超大规模

数据边界管理设计

数据边界管理实施

云财务治理设计

云财务治理实施

运维管理设计

运维管理实施

责任矩阵

  1. 共同责任
    • 双方商定并确认具体的IT治理需求及目标。
    • 双方商定并确认项目管理计划。
    • 双方商定并确认Landing Zone方案内容并评审。
    • 完成合同签订。
  2. 华为责任
    • 华为云需明确此次项目的负责人,因特殊情况导致华为人员变更,需要提前3个工作日知会客户,直至项目最终验收完成。
    • 华为云得到客户授权后,授权数据仅限用于Landing Zone服务中涉及的服务内容,不得超出限定范围。
  3. 客户责任
    • 客户指派一位项目负责人协助华为云实施Landing Zone设计与实施服务。此负责人应负责双方之协调及管理,负责审核、验收华为云提供的服务。
    • 客户必须提供业务系统相关的信息(包括但不限于应用架构、部署架构、网络架构、安全要求等信息)。
  4. 责任分工矩阵表

    以下为职责描述案例,可酌情修改。

    • R=责任方/Responsibility
    • S=协助方/Support

    序号

    业务流程

    工作内容

    华为

    客户

    1

    云上IT治理调研评估

    IT治理调研评估

    R

    S

    2

    基础场景设计与实施服务

    资源组织

    R

    S

    3

    身份权限

    R

    S

    4

    网络规划

    R

    S

    5

    合规审计

    R

    S

    6

    安全防护

    R

    S

    7

    高阶场景

    数据边界

    R

    S

    8

    云财务治理

    R

    S

    9

    运维管理

    R

    S

    10

    技术验证

    IT治理方案技术验证

    S

    R

    11

    方案实施

    IT治理方案实施

    S

    R

    如果客户购买了Landing Zone实施服务,则华为云负责进行方案实施。

验收标准

  • 支持的验收方式:线上验收/线下验收。
  • 验收标准:华为按各服务子项提交标准交付件,客户在华为云官网Console单击确认验收,或线下签字且盖章《华为云Landing Zone设计与实施服务验收报告》作为服务验收通过依据。