组织级参考架构
华为云提供了Landing Zone解决方案帮助企业客户在云上构建架构卓越、安全合规、易扩展的多账号运行环境,首要环节是规划组织和账号架构。按照康威定律,企业在华为云上的组织和账号架构要与企业的组织和业务架构总体保持一致,但也不要完全照搬复制。华为云提供以下参考架构,建议按照业务架构、地理架构、IT职能等维度设计组织层级和账号。
- 按照业务架构在华为云上划分不同的组织层级和OU,每个业务OU下面可以按照业务系统创建独立的成员账号。规模较大的业务系统或安全隔离要求严格(如需要遵守PCI-DSS、HIPPA等合规标准)的业务系统对应一个独立的成员账号,安全隔离要求不高的多个小型业务系统可以共享一个成员账号。以销售部为例,可以为销售管理系统、数字化营销系统等较大的业务系统创建独立的成员账号;以研发部为例,可以将围绕单个产品的设计、研发等系统部署在一个成员账号中。
- 按照地理架构在华为云上划分不同的组织层级和OU,每个地理区域OU下面可以按照国家或地区创建独立的成员账号,在上面可部署本地的客户关系管理系统、客户服务系统等。上述参考架构把中国区等区域组织映射为OU,为其下属的北京、上海等分公司创建独立的成员账号以承载本地化的应用系统。
- 针对企业的IT部门,在华为云上创建对应的组织单元,并按照IT职能创建对应的成员账号,一方面实现IT管理领域的职责和权限隔离,另一方面对企业内多个成员账号进行统一的IT管理。上述参考架构中创建了两个OU,安全OU下面创建用于安全运营和日志审计的账号,基础设施OU下面创建用于网络运营、运维监控、公共服务和沙箱测试的账号。下表是这些IT职能账号的详细说明。
- 除了上述账号之外,每个组织有且仅有一个管理账号,管理账号不建议部署任何云资源,主要是做好以下管理工作:
- 统一组织和账号管理:创建和管理组织结构和组织单元,在组织单元下面创建成本账号,或者邀请已有账号作为组织单元的成员账号。
- 统一财务管理:针对整个企业在华为云上的所有账号进行统一财务管理,包括统一预算管理、统一账单管理、统一成本结算、统一成本分析等。
- 统一控制策略管理:为各个组织单元和成员账号设置服务控制策略,强制限定成员账号下IAM用户(包括成员账号的管理员用户)的权限上限,避免用户权限过大带来安全风险,创建服务控制策略时可以将其应用到某一个组织单元,该服务控制策略可以继承到关联的成员账号和下层组织单元。
- 统一身份权限管理:针对整个企业在华为云上的所有账号进行集中的用户身份管理、权限设置,统一设置跟外部IdP的身份联邦。
以下是上述账号的详细说明,其中安全运营账号和日志账号针对企业所有账号行使集中的安全管理职责,需要在其他账号下按需开通相应的安全云服务,使得安全运营账号和日志账号能够统一汇聚其他账号的安全态势、安全审计日志等数据,安全运营账号的安全策略和事件响应指令也可以统一下发给其他账号。为了保护该账号下开通的云服务,我们建议在该账号下开通相关的安全云服务,见下表最右边的列:
账号名称 |
履行的职能 |
责任团队 |
建议开通的云服务 |
建议开通的安全云服务 |
|---|---|---|---|---|
管理账号 |
针对整个企业进行统一组织和账号管理、统一财务管理、统一控制策略管理和统一身份权限管理 |
IT治理团队 |
组织Organizations、资源治理中心RGC、成本中心、IAM身份中心 |
安全云脑SecMaster、云审计服务CTS、配置审计Config |
安全运营账号 |
作为企业安全运营中心,统一管控整个企业内所有账号的安全策略、安全规则和安全资源,为成员账号设置安全配置基线,对整个企业的信息安全负责 |
安全管理团队 |
统一部署具备跨账号安全管控的服务,如安全云脑SecMaster、企业主机安全HSS、数据安全中心DSC、数据加密服务DEW、云证书服务CCM、漏洞管理服务CodeArts Inspector、配置审计Config等 |
云审计服务CTS |
日志账号 |
集中存储和查看所有账号的审计日志和安全相关的日志(如VPC流日志和OBS访问日志等) |
合规审计团队 |
云审计服务CTS、云日志服务LTS、对象存储服务OBS等 |
安全云脑SecMaster、数据安全中心DSC、云审计服务CTS、配置审计Config |
运维监控账号 |
统一监控和运维各个成员账号下的资源和应用,统一进行告警管理、事件处理和变更管理,并提供运维安全保障措施 |
运维团队 |
应用运维管理AOM、COC、云日志服务LTS、应用性能管理APM、云堡垒机CBH等 |
安全云脑SecMaster、云审计服务CTS、配置审计Config |
网络运营账号 |
集中部署和管理企业的网络资源,包括网络边界安全防护资源,实现多账号环境下的统一网络资源管理和多账号下VPC网络的互通,尤其需要集中管理面向互联网的出入口和面向线下IDC机房的网络出入口 |
网络管理团队 |
ER、DNS、NATG、EIP、VPC、DC、CC、VPN、CFW、WAF、AAD等 |
安全云脑SecMaster、云审计服务CTS、配置审计Config |
公共服务账号 |
集中部署和管理企业的公共资源、服务和应用系统,并共享给其他所有成员账号使用 |
公共服务管理团队 |
镜像服务IMS、容器镜像服务SWR、弹性文件服务SFS、对象存储服务OBS、自建NTP服务器、自建AD服务器等公共资源 |
安全云脑SecMaster、云审计服务CTS、配置审计Config、企业主机安全HSS、数据安全中心DSC |
业务账号 |
根据业务架构和地理架构创建,用于部署支撑研发、生产、供应、销售、服务各个业务领域的应用系统 |
应用DevOps团队 |
按需开通业务系统所需的云服务 |
安全云脑SecMaster、云审计服务CTS、配置审计Config、企业主机安全HSS、数据安全中心DSC |
组织级的参考架构图如下:
