计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

工作说明书

更新时间:2024-05-28 GMT+08:00

服务概述

随着云在安全稳定、服务质量、执行效率等方面的优势逐渐被各类企业接受和认可,越来越多的企业逐步将业务系统往云上迁移,企业全面云化的时代已经来临,为了避免大规模上云带来的管理失控、安全失控等系列问题,华为云推出Landing Zone服务解决方案,提供基于华为云的人、财、物、权、法的IT治理能力,协助客户对业务单元、用户、权限、云资源、数据、应用、安全等要素进行全面有效管理,可获得安全、效率等方面的全面提升。

服务内容

服务项

服务子项

服务内容

适用场景

基础场景设计与实施服务

Landing Zone基础场景设计-中规模

基于客户需求调研,提供组织账号、身份权限、网络规划、安全防护、合规审计这五个Landing Zone场景详细设计方案。

中大型企业上华为云,提供基于多账号的组织、身份权限、网络、安全防护、合规审计这五个场景的规划与实施服务,助力企业完成易扩展的云上高效治理架构的设计与落地。

Landing Zone基础场景设计-大规模

Landing Zone基础场景设计-超大规模

Landing Zone基础场景实施-中规模

基于基础场景的详细设计,进行云上环境的实施服务,开通云资源、云账号,设置多账号体系,设置云上授权体系,完成云上基础架构的搭建,配置云网络与相关安全防护。

Landing Zone基础场景实施-大规模

Landing Zone基础场景实施-超大规模

高阶场景-数据边界服务

数据边界管理设计

通过配置SCP身份护栏、VPC Endpoint护栏和资源护栏策略,阻断所有非预期的访问路径,提供数据边界管理的详细设计方案。

中大型企业上华为云,对于数据隐私、核心数据的防护要求高。

数据边界管理实施

根据企业数据边界管理的详细设计,落地企业数据管理最佳实践。

高阶场景-云财务治理服务

云财务治理设计

根据Landing Zone组织结构,结合财务关系,设计分级财务管理详细方案。

中大型企业上华为云,需要复杂的财务分级管理。

云财务治理实施

企业财务管理的设计方案实施落地。

高阶场景-运维管理服务

运维管理设计

根据Landing Zone组织结构,实现对所有成员账号的资源管理、事件管理以及日志的运维监控。

中大型企业上华为云后,对账号资源等进行日常监控运维。

运维管理实施

企业运维管理的设计方案实施落地。

说明:
  • 中规模:账号数量<=10个且VPC数量<=3个且不跨region。
  • 大规模:中规模场景不满足时,此场景适用账号数量<=100个且VPC数量<=10个。
  • 超大规模:大规模场景若不满足时,此场景适用账号数量>100个或VPC数量>10个。

前提条件

  • 客户需要提前15天申请华为云Landing Zone设计与实施服务,以便评估客户业务目标和项目交付计划。
  • 为客户提供Landing Zone服务时,如需接入客户业务环境,需获得客户授权才能履行服务内容,同时需要客户侧的人员配合,例如业务现状调研、需求收集、方案设计&评审、方案验收等。

服务范围

  1. 服务覆盖范围

    阶段

    服务活动

    服务说明

    云上IT治理调研评估

    IT治理调研评估

    调研客户IT治理现状,收集客户IT治理规范(如安全规范、网络规范、账号管理规范、计费分账规范等),分析客户当前的IT治理架构,收集客户对于云上IT治理的需求。

    基础场景设计与实施服务

    资源组织

    根据企业的业务结构和IT管理模式,设计华为云上多账号以及账号内资源分组方案,实现职责分离。

    身份权限

    • 完成身份提供商(Active Directory/Google等)与云上身份联邦设计,使用现有凭证访问华为云。
    • 用户/用户组方案设计,多账号或单账号的权限集配置,授权管理、凭证安全方案设计。
    • 完成用户/用户组人员及应用身份的权限边界、组织级护栏策略设计。

    网络规划

    • 公网接入能力设计,完成公网NAT网关、公网EIP和proxy服务器设置设计。
    • 云上云下,同一朵云多Region互联,与第三方云互连设计。
    • 业务部署VPC划分,云间VPC互连方案设计,以及公共服务和管理区文件系统、OBS桶等网络设计。

    合规审计

    • 云上资产成本运营,运维,安全,可靠性的资源配置合规检测最佳实践。
    • 操作日志审计,对云上操作、资源变更等日志进行持久化保存。

    安全防护

    • 主机安全:主机漏洞、威胁、攻击保护方案。
    • 数据安全:密钥管理、数据库安全防护策略、存储访问控制等。

    高阶场景

    数据边界

    • 设计网络边界安全/内网安全管控策略,路由表/ACL/安全组分权管控,确保网络最小暴露面。
    • 基于SOD安全原则,通过配置SCP身份护栏、VPC Endpoint护栏和资源护栏策略,阻断所有非预期的访问路径,确保数据资源只能由确定用户在确定网络或环境内部可访问,并提供分析工具来证明策略配置的有效性,彻底消除特权凭证泄露、错误配置等导致的数据泄露风险。

    云财务治理

    • 根据Landing Zone组织结构,结合财务关系,构筑分级财务管理。
    • 每个子账号按照标签进行逻辑资源分组,并按照标签成本分账。

    运维管理

    • 支持对所有成员账号的资源管理、事件管理进行统一查看、操作。
    • 针对拥有多账号的企业,管理账号统一管理组织中的其他账号的日志监控。

    技术验证

    IT治理方案技术验证

    在客户的测试或预生产环境进行Landing Zone IT治理架构的技术验证,范围包括:多账号体系、SSO登录、用户权限、身份管理,网络连通性,操作审计等。

    方案实施

    IT治理方案实施

    在客户的生产环境实施整体的Landing Zone IT治理设计方案。

  2. 服务不覆盖范围
    • 非Landing Zone方案设计范围内的软件设计、改造和安装部署,如客户自行购买的第三方安全软件、应用软件、网络软件等。
    • Landing Zone方案验证、实施所需的云服务费用由客户承担,如ER、专线、VPN、CFW、WAF等云服务产品。
    • 超出Landing Zone方案范围外的服务,如安全云脑、灾备设计、云服务(大数据、数据库等)资源使用规划等。
  3. 服务区域

    亚太、中东、拉美(非巴西)。

服务流程

Landing Zone服务流程:

服务交付件

L6服务名称

交付件

Landing Zone基础场景设计-中规模

《xx项目Landing Zone设计与实施方案》

Landing Zone基础场景设计-大规模

Landing Zone基础场景设计-超大规模

Landing Zone基础场景实施-中规模

Landing Zone基础场景实施-大规模

Landing Zone基础场景实施-超大规模

数据边界管理设计

数据边界管理实施

云财务治理设计

云财务治理实施

运维管理设计

运维管理实施

责任矩阵

  1. 共同责任
    • 双方商定并确认具体的IT治理需求及目标。
    • 双方商定并确认项目管理计划。
    • 双方商定并确认Landing Zone方案内容并评审。
    • 完成合同签订。
  2. 华为责任
    • 华为云需明确此次项目的负责人,因特殊情况导致华为人员变更,需要提前3个工作日知会客户,直至项目最终验收完成。
    • 华为云得到客户授权后,授权数据仅限用于Landing Zone服务中涉及的服务内容,不得超出限定范围。
  3. 客户责任
    • 客户指派一位项目负责人协助华为云实施Landing Zone设计与实施服务。此负责人应负责双方之协调及管理,负责审核、验收华为云提供的服务。
    • 客户必须提供业务系统相关的信息(包括但不限于应用架构、部署架构、网络架构、安全要求等信息)。
  4. 责任分工矩阵表

    以下为职责描述案例,可酌情修改。

    • R=责任方/Responsibility
    • S=协助方/Support

    序号

    业务流程

    工作内容

    华为

    客户

    1

    云上IT治理调研评估

    IT治理调研评估

    R

    S

    2

    基础场景设计与实施服务

    资源组织

    R

    S

    3

    身份权限

    R

    S

    4

    网络规划

    R

    S

    5

    合规审计

    R

    S

    6

    安全防护

    R

    S

    7

    高阶场景

    数据边界

    R

    S

    8

    云财务治理

    R

    S

    9

    运维管理

    R

    S

    10

    技术验证

    IT治理方案技术验证

    S

    R

    11

    方案实施

    IT治理方案实施

    S

    R

    说明:

    如果客户购买了Landing Zone实施服务,则华为云负责进行方案实施。

验收标准

  • 支持的验收方式:线上验收/线下验收。
  • 验收标准:华为按各服务子项提交标准交付件,客户在华为云官网Console单击确认验收,或线下签字且盖章《华为云Landing Zone设计与实施服务验收报告》作为服务验收通过依据。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容