金融企业上云登陆区（Landing Zone）白皮书.pdf

1、 2 目录 目录.2 法律声明.5 序言.7 1 金融企业云上治理需求洞察.8 金融上云，合规先行.9 容灾建设成为必选项.10 混合云需要统一治理架构.11 2 金融企业上云登陆区建设指南.13 企业上云总体建设思路.13 企业上云登陆区Landing Zone解决方案.15 金融企业上云登陆区建设要点.18 3 金融企业上云资源架构.20 企业组织多账号结构设计.20 金融企业云上财务规划.22 使用标签进行资源分类.25 云资源统一命名规范.26 4 金融企业上云网络规划.27 企业级云上网络分区设计.27 网络分区设计.27 分区间网络互通.27 云上业务互联安全设计.28 云上DMZ

2、区域设计.28 默认公网出口.29 第三方API调用的特殊公网出口.29 3 指定域名访问出口.30 云上云下混合组网设计.30 金融企业IDC和总部与云上互联.31 金融线下多分支机构互联.31 金融机构与三方监管机构网络互联.32 跨地域构建企业全球一张网.32 云上同城/异地容灾网络设计.33 小结.34 5 金融企业上云安全防护.36 云上与云下安全的区别.36 基础设施和数据的权限分离.36 交付形态转变.37 安全责任共担模型.37 阿里云云上安全整体方案.38 云上基础安全建设.38 第一步：定义安全管理合规体系.38 第二步：评估安全风险.39 第三步：建设基础防护.39 第四

3、步：安全持续运营.41 云上身份与权限安全.41 身份管理.41 权限管理.45 云上数据安全.47 防护重点1：数据分类分级.49 防护重点2：静态数据防护.49 防护重点3：动态数据防护.50 防护重点4：数据安全审计.50 小结.51 6 金融企业上云容灾设计.52 容灾技术架构选型.52 云上容灾方案设计.53 4 云上容灾参考架构.56 同城容灾参考架构.57 异地容灾参考架构.59 小结.61 7 结束语.62 附录：参考文档.63 5 法律声明 本文档的版权归阿里云所有，您应当通过阿里云网站或阿里云提供的其他授权通道下载、获取本文档，且仅能用于自身的合法合规的业务活动。一、文档使

4、用及更新说明 本文档仅作为用户使用阿里云产品及服务的参考性指引，阿里云以产品及服务的“现状”、“有缺陷”和“当前功能”的状态提供本文档。阿里云在现有技术的基础上尽最大努力提供相应的介绍及操作指引，但阿里云对本文档内容的准确性、完整性不作任何明示或暗示的保证。由于产品版本升级、调整或其他原因，本文档内容有可能变更。阿里云保留在没有任何通知或者提示下，对本文档的内容进行修改的权利，并在阿里云授权通道中不时发布更新后的文档。您应当实时关注用户文档的版本变更，并通过阿里云授权渠道下载、获取最新版的用户文档。二、知识产权声明 本文档中的材料和信息，包括但不限于文本、产品、图片、数据、档案、建议、资料，均

5、由阿里云和/或其关联公司依法拥有其知识产权，包括但不限于商标权、专利权、著作权等。非经阿里云和/或其关联公司书面同意，任何人不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表。三、如何联系我们 您对本声明内容有任何疑问和意见，或者您发现本文档存在任何错误，您可以登录阿里云官网，单击首页下方联系我们与我们联系。出品信息 6 出品方：阿里云计算有限公司 监制 陈立伟，黄永法 编写成员 宁江彬，刘冰，龚韵中，庄鑫博，冉庆坤，吴骋骐，张威，钱岩，林龙军，孙岩，崔迪，王睿超 特别鸣谢 张翅（阿里云智能新金融行业解决方案总经理）李津（阿里云智能全球技术服务部总经理）祝顺民（阿里云智能云网络总经

6、理）欧阳欣（阿里云智能云安全总经理）何登成（阿里云智能开放平台总经理）7 序言 在数字经济高速发展的大背景下，金融行业的顶层政策标准指引、传统IT架构升级、业务数字化转型、金融信息技术应用创新需求驱动等因素的多重影响，金融行业上云进程不断加速，从早期的简单用云已经步入到日益深化的阶段。总体看有三个特点来看这个发展和变化。一、随着音视频、大模型等等新技术的出现，不断影响改变着金融业务在客户服务上的形态，金融行业上公共云的业务类型和规模也日益增多。二、金融行业自身技术架构也在不断拥抱和采用云平台和云原生技术，建设自己专有的云平台，更为重要的是绝大多数金融机构都选择公专一体的云平台技术路线。三、随着

7、对云采用的熟悉，金融机构对用云过程中的业务合规、数据安全、稳定可靠、成本优化的要求也越来越高，需要提供一套精细化的上云策略和技术的指导原则和最佳实践。结合阿里云服务众多大型企业客户全栈上云的最佳实践所沉淀的“云采用框架”，以及金融行业的业务、技术和管理要求特点，阿里云首次发布金融企业上云登陆区白皮书。在云采用的上云战略、上云准备、应用上云和运营治理的四个阶段中，用云的第一步至关重要，直接影响金融企业中与云相关的架构、研发、运维、运营等等一系列部门的生产关系，同时梳理业务分阶段稳步上云的样板规范。期望以本文开启金融企业客户上云治理的第一个篇章，为未来金融企业更全面的采用更复杂云平台奠定基础。张翅

8、 阿里云智能新金融行业解决方案总经理 8 1 金融企业云上治理需求洞察 分布式、云原生、人工智能等创新技术对传统金融业务带来颠覆性的冲击，金融企业开始积极探索和寻求数字化转型带来的红利，新冠疫情的爆发、大模型的落地应用，更是加速了这一过程。同时，部分传统金融企业面临IT基础设施陈旧、维护和更新成本高的问题，业务创新发展遇到瓶颈。在此背景下，云计算技术成为金融企业数字化转型的重要引擎之一，金融企业对于业务上云和原生创新的需求明显增强。目前，金融客户普遍认可上云的价值：提效降本、弹性敏捷、数据智能、IT现代化等，数字金融行业的一些头部客户已经使用了较多的云服务、并将部分核心业务系统部署在云上。越来

9、越多的金融企业开始积极探讨如何制定及实施“云战略”，上云已经成为金融企业数字化转型的趋势和方向。随着企业上云市场从摸索期进入成熟期，企业对上云的关注点也从保障单个应用顺利迁移上云，转向业务规模上云的管理和治理，当企业上云一段时间、云上资源达到一定规模之后，往往会出现资源管理混乱、网络地址冲突、成本分摊不清、身份权限泄露等一系列运维和安全运营的问题，分析其原因在于，企业客户在上云之初缺乏经验，没有系统性的规划和设计企业云上整体架构。针对企业上云规划场景和需求，阿里云在2021年5月份正式发布Landing Zone企业上云解决方案。过去两年时间，我们通过Landing Zone解决方案服务了20

10、多家金融行业客户进行上云规划和落地。通过拜访、调研这些金融企业客户的管理者和运维团队，我们总结了金融行业上云最为关注的三个方面需求，并在后面章节重点阐述对应的金融行业最佳实践。9 金融上云，合规先行 国内金融企业需要满足监管机构与行业相关政策、以及一系列的安全合规标准（如等保2.0、PCI DSS），一些成熟的大型金融企业制定了企业内部的安全管理制度，安全合规问题在金融企业往往拥有“一票否决权”。因此，对于金融企业上云来说，在考虑云的性能、弹性等技术优势时，必须提前做好安全合规方面的整体设计和沟通，降低业务上云风险。以下梳理了近年来国务院、工信部及人民银行等部门出台的一系列法律法规技术规范，皆

11、在指导云计算的设计、开发、使用和部署，规范引导云计算的建设，提升云服务商的服务水平，规范云计算行业应用市场。时间 发布单位 文件名称 2015.1 国务院 关于促进云计算创新发展培育信息产业新业态的意见 2015.7 国务院 关于积极推进“互联网+”行动的指导意见 2015.11 工信部 云计算综合标准化体系建设指南 2016.7 银保监会 中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）2017.7 人民银行 中国金融业信息技术“十三五”发展规划 2018.10 国务院 基于云计算的电子政务公共平台安全规范 2019.7 网信办联合四部委 云计算服务安全评估办法 2019.8

12、人民银行 金融科技（FinTech）发展规划（2019-2021 年）2019.12 保险行业协会 保险行业云计算场景和总体框架 2021.12 人民银行 金融科技发展规划（2022-2025 年）2022.1 银保监会 中国银保监会办公厅关于银行业保险业数字化转型的指导意见 2023.1 证券行业协会 证券公司网络和信息安全三年提升计划(2023-2025)（征求意见稿）表：金融行业监管相关政策梳理 为了支撑云计算相关政策的具体落地，人民银行牵头制定了云计算相关的技术标准，并于2020年印发了中国人民银行关于发布金融行业标准强化金融云规范管理的通知（银发【2020】247号），用于规范云计算

13、技术在金融行业的应用。云计算技术金融应用系列标准包括：云计算技术金融应用规范 技术架构（JR/T 01662020）云计算技术金融应用规范 安全技术要求（JR/T 01672020）云计算技术金融应用规范 容灾（JR/T 01682020）10 人民银行在2020年底发布了金融行业网络安全等级保护实施指引 第2部分：基本要求（JR/T 0071.2-2020），规定了云计算应用在金融行业时需要满足的各等级保护的安全要求。以等保2.0为例，网络安全等级保护制度2.0国家标准中与云相关的要求包括：云上信息系统纳入检测范围。充分考虑了当前企业信息系统的业务多样性和复杂性，新增了云计算平台纳入检测范围

14、云上租户的信息系统成为独立的检测对象。随着云上服务的复杂度和灵活性日渐成熟，云上租户对托管的资源具有越来越高的控制权，从等保2.0开始，云上租户使用云平台服务所构建的云上信息系统将作为独立的检测对象。强调持续的安全能力构建，而非一次性检测。等保2.0对系统的持续合规要求融入到条例中，引导并监督企业构建一个可持续保护信息系统的安全能力。容灾建设成为必选项 金融行业有着极高的业务连续性要求，保护信息系统免受自然灾害、物理损坏、人为故障影响业务持续运行等的挑战也越来越高。因此，金融企业在上云之初就需要考虑到业务系统的连续性需求，提前做好高可用和容灾架构设计。我国政府及金融监管机构历来高度重视金融行

15、业安全稳定运行及发展，出台了一系列标准及规范以促进金融行业的灾备建设，如下：网上银行信息系统安全通用规范（JR/T 0068-2020）云计算技术金融应用规范 容灾（JR/T 0168-2020）金融行业信息系统信息安全等级保护实施指引（JR/T 0071-2012）商业银行数据中心监管指引（银监办发 2010 114 号）银行业信息系统灾难恢复管理规范（JR/T 0044-2008）其中，云计算技术金融应用规范 容灾（JR/T 0168-2020）标准规定了金融领域云计算平台的容灾要求，包括云计算平台容灾能力分级、灾难恢复预案与演练、组织管理、监控管理等内容。该标准针对金融行业特点，更新定义

16、了 4 个容灾等级和 4 个能力要素，是指导金融行业云上容灾建设的核心标准。11 JR/T 0168-2020 定义的关键指标如下：RTO：恢复时间目标（recovery time object），指灾难发生后，信息系统从停顿到必须恢复的时间要求。RPO：恢复点目标（recovery point object），指灾难发生后，数据必须恢复到的时间点要求。应用于金融领域的云计算平台容灾能力等级关键指标要求 容灾等级 RTO RPO 可用性 3 级 24 小时 24 小时 每年非计划服务中断时间不超过 4 天，系统可用性至少达到 99%。4 级 4 小时 1 小时 每年非计划服务中断时间不超过 1

17、0 小时，系统可用性至少达到 99.9%。5 级 30 分钟 0 每年非计划服务中断时间不超过 1 小时，系统可用性至少达到 99.99%。6 级 2 分钟 0 每年非计划服务中断时间不超过 5 分钟，系统可用性至少达到 99.999%。应用于金融领域的云计算平台应至少达到容灾能力 3 级要求，本文以金融行业常见的 4/5/6 级分析，其核心技术要求如下：同城和异地均需提供数据灾备能力 同城和异地均需部署同等能力的网络及数据处理能力 应用系统具备高可用能力 具备自动或集中式切换能力 至少每年进行一次相关预案的更新和演练 混合云需要统一治理架构 金融企业由于所处行业的特性，团体云加私有云的混合云

18、基础设施模式普遍存在。对于采用混合云架构的企业来说，统一管理和运维混合云架构，是摆在基础架构和运维团队面前的挑战。因此，金融企业在采用不同云服务的过程中，需要通过一套统一的IT治理架构体系管理异构基础设施，并12 提前做好整体规划设计（包括身份、网络、安全和运维等多个维度），能够避免后期管理混乱、网络冲突、安全风险等问题，简化服务流程、提升统一运维效率，有效支撑业务在云上的敏捷创新。13 2 金融企业上云登陆区建设指南 企业上云总体建设思路 云计算经过十几年的发展已经从最初的概念，逐步演变成为企业数字化转型的基础底座。云计算与传统数据中心相比，在资源供给、使用和管理模式等方面有所不同，因此企业

19、在云转型的过程中，采用一套适合云形态的管理和治理架构成为必然。阿里云作为中国最大的云服务供应商（Cloud Service Provider），将服务大量企业客户的经验，总结形成云采用框架（Cloud Adoption Framework，简称CAF）：一方面从IT管理的角度阐述了如何合理规划、使用和管理云资产以及构建合规、敏捷和高效的企业IT服务体系，另一方面从业务的视角描述了对云计算给企业带来的核心价值，比如有效利用云的标准服务模版来实现业务应用快速在云端落地、通过有效的成本和资源监控降低企业业务经营风险，使用云上自动化工具和方法提升企业敏捷开发和运维的能力和文化。云采用框架定义了企业引入

20、云服务的四个阶段：在上云战略阶段，领导层需要思考上云能为业务带来什么价值，并在公司层面确定相应的战略。在上云准备阶段，IT团队需要制定云采用的顶层设计，确保组织协同和可管可控。在应用上云阶段，开始迁移原有的系统上云或者在云上开展新的业务。在运营治理阶段，企业不断发现和解决运营过程中的问题和风险，提升服务质量。金融企业上云的过程，一般可以分为“尝试上云-核心上云-全面上云”三个阶段：从部分应用、测试业务尝试上云，到数据库、关键业务系统等核心上云，到包括基础设施、技术平台、数据平台、业务应用、运维管控系统的全面上云和云上持续演进。14 在组织层面，企业上云和用云的整个生命周期，需要专业团队进行合理

21、的规划、实施以及持续优化云采用方案，推进企业更好的利用上云的优势促进业务发展。企业通常至少有一个云管理团队，或由相关负责人组建一个云卓越中心（Cloud Center of Excellence，简称CCoE）负责规划和对接上云的整体方案。Tips 我们在服务客户过程中，发现有些企业有很明确的上云业务目标和推进计划，但是往往忽略了在组织层面的团队建设。常见的几个误区和现象：1）团队缺少使用云的经验，落地进度和质量不能进行有效管理；2）团队缺少云架构师的角色，对业务需求和技术架构缺少综合判断；3）团队间缺少横向沟通，认为“上云只是IT团队内部的事情”。15 下图是一个典型的企业组织架构，不同的团

22、队对上云关注点不尽相同，需要有一个云管理团队在公司层面确认上云的整体计划、步骤，以及收集业务团队的具体需求。例如，安全合规问题往往是金融企业上云关注的重要因素，云团队在上云规划之初邀请安全合规团队参与项目设计与评审，能有效降低企业上云风险和后期整改成本，保障上云项目顺利有序进行。为了满足企业上云需求，企业组织需做好以下准备：企业管理层：企业管理层需要明确云在公司的战略地位以及各个团队应该如何使用云。云卓越中心：该团队可以是虚拟的组织，设计提供云服务的模式和管理体系，并提供相应的技术准备。其中的成员角色包括：架构师和专业技术人员，负责上云架构设计和业务上云迁移工作；安全、合规等领域专家，负责设计

23、企业IT治理方案、预估风险和制定治理规则；财务专家，负责制定财务的管理流程，成本分摊原则。云管理团队：在企业业务全面上云之后，持续优化上云架构，为新业务提供云上环境。建立企业云上运维体系，搭建运维平台，以及通过自动化运维的方式，对云上环境进行持续治理和管理。根据新业务需求，分配所需云资源和所需权限，并对资源进行初始化配置后交付。应用运维团队只需用云，无需关注基础设施搭建。企业上云登陆区Landing Zone解决方案 阿里云Landing Zone解决方案基于大量企业的上云实践验证，将企业云上 IT 治理框架分为八个模块，并16 通过这八个模块实现客户的云上治理，帮助企业规划云上资源结构、访问

24、控制、网络架构、安全合规体系，搭建可管理、可扩展的云环境。企业客户可以在此基础上缩短上云周期，将原有的业务平顺上云并快速开展新业务。Landing Zone 框架示意图 Landing Zone在以下八个模块，针对企业不同业务场景，形成了一套解决方案集合。资源管理 在上云准备阶段，客户需要根据业务现状和应用的长期规划，设计资源管理方案，包含：账号架构：规划阿里云上多账号体系，规划上云应用的资源部署原则。标签体系：基于标签进行资源的管理，设计标签元数据和标签的全生命周期流程。财务管理 云上财务管理方案，包含：成本分账：设计成本核算模型，对云上支出进行基于成本中心的账单分析方案。成本分析：设计客户

25、的财务分析方案，提供阿里云计费能力对接方案，协助客户接入企业内部财务分17 析平台，获取账单、费用明细等费用数据。成本优化：根据所采用的云服务成本优化的最佳实践、部署方案和审计方案。身份权限 企业云上身份权限管理方案，包含：身份认证：梳理身份使用场景，根据场景设计身份认证集成方案，实现与现有身份认证管理系统的集成。权限管理：梳理企业云上角色，基于“权限最小化”原则进行权限定义。网络规划 企业级网络规划主要包含以下部分：网络接入方案：规划客户环境与云平台网络接入方案，包括专线或VPN接入、应用层访问接入，运维管理接入方案。云内部网络方案：定义网络架构规划方案，包括VPC规划、网段及IP地址规划、

26、云上DMZ区域设计。云间互联方案：基于阿里云CEN，在不同的区域、不同的账号、不同的本地数据中心建立VPC互联。安全防护 在上云登陆区建设阶段，安全方案主要涉及以下方面：网络安全：主要指安全组配置，设计云上网络安全域划分方案，通过网络安全区域进行应用的隔离，同时针对应用的具体需求进行联通配置。主机安全：包括主机的漏洞、威胁和攻击防护方案。数据安全：包括密钥管理、数据库访问控制、存储访问控制，根据客户需求设计满足客户安全要求的数据安全方案。合规审计 预防性管控：设计符合企业合规红线，禁止执行某些管理操作，基于管控策略实现租户级的管控。发现性管控：设计合规基线并对企业资源进行持续监控，发现不合规资

27、源时，进行记录、报警乃至自动修复。操作日志的审计：对云上操作、资源变更等日志进行持久化保存，以备审计之需。18 运维管理 为了提升企业IT整体运维效率，运维管理方案主要关注：监控管理：基于阿里云已有的监控产品，以阿里云云监控+Arms+Prometheus 为基础，帮助客户设计应用和基础设施监控的标准和规范。日志管理：基于阿里云已有日志服务产品SLS，结合客户实际情况设计日志接入和管理规范。自动化 上云登陆区建设关注的自动化方案，主要包含：自动化管理流程设计：基于客户现状，设计自动化基础设施管理流程，包括基础设施代码研发、管理、部署规范。CI/CD 工具集成设计：设计针对客户现有CI/CD工具

28、的集成方案，包含CI/CD 工具部署基础设施所需的阿里云环境网络连通性方案以及基础设施部署所需的阿里云上相关服务的认证授权方案。IaC 模版：构建服务目录模版化资源创建，实现自助服务，包含RAM 身份创建模板、网络基础设施构建模板。金融企业上云登陆区建设要点 通过Landing Zone的规划、设计和落地的过程，企业可以从架构、标准、组织、流程、工具多层面达到上云Ready；当企业真正规模上云之时，企业内部的组织、流程和团队人员已经可以很好的承接项目的落地，并以合规、安全、最佳实践的姿势达到云卓越运营，顺利开启企业的云上数字化转型之旅。19 图：上云登陆区建设从多维度推进企业云转型 本章介绍了

29、企业上云框架和Landing Zone解决方案的整体内容，白皮书后续章节将主要聚焦于金融企业上云登陆区的四个建设要点：1）资源架构，2）网络规划，3）安全防护，4）容灾设计。我们在每个模块沉淀了多个场景化解决方案，了解更多细节内容，请访问阿里云CAF官网和Landing Zone官网。Landing Zone解决方案大图 20 3 金融企业上云资源架构 云上资源架构，主要是从企业组织维度来看，企业如何实现云上不同业务之间的资源安全隔离、高效运维和财务管理等云上资源管理需求。这背后的原因是云的形态不同于传统数据中心，公有云服务商以账号（Account）的形式为不同用户提供服务，账号成为资源管理的

30、基本单元，并以账号维度提供财务账单。本章节将介绍企业组织多账号体系、财务规划，以及资源标签和命名规范等资源管理最佳实践。企业组织多账号结构设计 阿里云账号（Alibaba Cloud Account），是阿里云资源归属、资源使用计量计费的基本主体。阿里云账号为其名下所拥有的资源付费，并对其名下所有资源拥有完全控制权限。随着企业上云业务的增多和规模的增大，业务之间的复杂度明显提升，对于云资源的管理提出了巨大的挑战，这也要求企业在上云初期要做好提前规划。我们建议企业用户上云之初规划采用结构化的资源（多账号）管理架构，通过合理的组织结构和规则配置，以满足业务日后扩展的需求。企业云上使用多账号体系具备

31、以下优势：资源隔离：云上多个账号实现企业不同业务或应用间的资源相互独立；组织管理：对于大型企业客户，多账号可以解决多法律实体、多业态管理等业务诉求；配额管理：多个账号可以突破单账号下云资源服务配额限制等约束；财务管理：可以实现各业务账号的独立结算，突破单账号资源配额的限制。21 多账号结构规划 结合账号规范以及资源管控隔离的需求，我们通常建议设置一个主账号（MA:Master Account）作为支付账号，同时也是账号结构中的根账号，该账号下不放置具体的云资源，在该账号的根资源夹下创建两个资源夹：Core、Applications，用以管理成员账号。在 Core 资源夹中放置共享资源的账号：用

32、于集中横向管理类服务的部署，例如网络账号、日志账号、安全账号等。在 Applications 资源夹中放置具体的应用：应用账号可以结合企业的实际需要按照多个维度进行设计，如：环境（开发、测试、生产）、成本中心、应用、业务线、部门等。使用资源夹作为日后管控策略和基线实施单元。建议通过角色扮演的方式访问成员账号。金融企业常见的账号划分维度：维度一，按业务隔离：保险/基金/大数据/维度一，按应用环境：生产/测试/开发/维度三，按网络类型：公网/内网/某金融企业多账号设计案例 22 企业主账号（Root Account）：X公司的阿里云资源目录主账号，除了可以对企业资源目录管理以外，同时也是企业财务中

33、心的唯一入口账号，可以管理整个企业平台级别的阿里云财务事务。核心账号（Core Accounts）：根据不同功能设计了4个核心服务账号，主要是用于部署企业云环境安全防护、网络管控、资源日志监控与企业共享服务有关的云基础设施，形成对企业成员账号的统一服务管理。网络与安全账号（NetworkSecurity Account）：负责整个企业组织的网络和安全核心组件的部署和配置。审计合规账号（Audit Account）：负责所有企业成员的云上操作归集和服务合规配置审查。日志账号（Logging Account）：负责收集并临时存储来自所有企业成员账号中的云服务日志，并统一投递到企业的中心日志分析系统

34、共享服务账号（SharedService Account）：用于部署企业共享的服务与资源。业务账号（Business Unit Accounts）：X公司以环境维度来划分和管理企业的业务账号，在不同环境下再对业务部门进行区分。创建出来的新企业成员账号将自动应用在企业规划好的安全与合规框架下，并被赋予合理的资源访问权限。金融企业云上财务规划 财务管理主要指企业在用云过程中的账单、资金、费用、发票等财资票税方面的管理；云上的财务管理规范的设计需要考虑到财务管理的核心目标，即确保企业财务的合法、规范、透明和精准，同时提高财务管理的效率和便捷性，对于金融企业，除了上述的关注点外，财务处理的自动化和智

35、能化也是其重点关注的内容，阿里云提供了丰富的财务功能来满足企业复杂的财务管理需求，企业可以根据实际的业务要求选择最合适的财资管理方式。通常而言，金融企业有着完善的财务结算体系以及在其他云上的财务实践，所以阿里云上的财务管理方案需要适配企业已有的财务管理体系，在设计财务管理方案之初，金融企业可能会面临如下的挑战：如何在阿里云上统一管理账单、信控、合同、付款、发票？如何根据团队、部门、成本中心、项目等维度进行快速的账单拆分？23 如何有效集中监控成本和支出？针对以上的挑战，结合企业财务组织结构、商务优惠、结算模式、成本监控等因素进行考量。我们设计如下：企业财务组织结构，通常代表一家企业的成本管理结

36、构。这个结构是多层级的，包括财务管理部门、业务部门和云资源。财务管理部门负责评估和管理云业务预算，为业务部门的云上费用做统一结算，持续跟踪和分析消费账单。财务管理部门的职责通过财务管理部门账号来承载。业务部门负责在预算范围内开通和管理云资源。每个业务部门开通独立的云账号。云资源由业务部门开通和管理，归属于相应的业务部门账号下。统一管控：企业财务部门可以实现统一的财资管理：账单、信控、合同、付款、发票集中管控。快速分账：企业财务部门可以根据不同维度实现快速分账，如成本中心、团队、BU、项目等。成本分析：结合多账号体系，各账号的开销一目了然，有助于各业务部门的成本分析和管理。使用企业财务服务提供的

37、关联账号能力，将组织多层级结构搭建起来。在这种结构下，财务人员能清晰完整地了解整个企业的云上成本，便于进行消费预测和成本优化。业务部门的技术人员在预算范围内可以灵活地按需实时开通云资源，省去传统企业繁琐的资源申请流程，提升了工作效率。各企业的内部组织结构虽然不尽相同，但业务部门可以同时是项目或小组等成本管理的单元，可以按照自己的组织模式映射成上述结构。设计建议 财务人员需要与业务部门加强沟通，及时收集业务部门的资源采购计划，定期向业务部门同步成本分摊信息。财务人员需要持续关注费用趋势。财务人员设计标签分类，建议技术人员在开通云资源时绑定对应标签，便于基于标签做细粒度的分账。技术人员按需开通资源

38、在预算范围内优化资源结构。企业在建立账号关联时，客户可以根据企业自身的管理需要，选择如下业务模式之一：【财务管理】、【财务托管】。24 财务托管 主账号、子账号都是官网的普通账号，有完整的财务属性。在该业务模式下，子账号将自己的资金、发票、账单财务权限赋予给主账号，统一由主账号进行子账号的代付、开票、账单结算等业务管理，这也是金融企业在广泛使用的一种财资管理模式。财务管理 主账号、子账号都是官网的普通账号，有完整的财务属性。主子账号之间建立关联后，通过授权关系进行业务管理。在日常业务过程中，主子账号分别管理自己的资金信控、优惠合同、账单发票等。当进行授权后，被授权一方可以管理另一方被授权的业

39、务。如：子账号授权主账号查看账单，则被授权的主账号可以查看子账号的账单。商务优惠 商务优惠，指企业购买使用云服务的资费与优惠，包括与阿里云签订的商务合同条款中约定的框架折扣。企业可以采用财务托管的模式，从而将主账号（如财务部门管理账号）设置为折扣生效的目标账号。这么做的优势体现在：关联账号的开通和云资源的使用，计费出账时可以享受到主账号的折扣优惠。成本账单 阿里云面向企业客户，提供成本账单功能：企业可以用来观察每月的成本；可以基于实例、基于产品来看费用的分摊情况。对于预付费的消费而言，也可以把消费费用分摊到每个月。并且，财务管理与托管的主账号可显示全部关联账号的所有分摊数据。25 费用分析 另

40、外，阿里云费用分析功能还可帮助企业更好地管理云服务资源的消费情况。使用费用分析功能，可以多维度查看资源成本的趋势（最大支持12个月）、查看全面的成本组成结构、进行未来成本的预测等，并可将一组筛选条件保存为报告，快捷查看。使用标签进行资源分类 标签是对资产进行分类的简便方法。标签将元数据关联到资产，该元数据可用于基于各种数据点对资产进行分类。当使用标签对资产进行分类作为成本管理工作的一部分时，企业通常需要以下标签：业务线、部门、成本中心、地理位置、环境、项目、应用等。阿里云费用中心的“分账账单”可以使用这些标记创建成本数据的不同视图。提前定义标签的目录和取值范围。这背后是一套基于业务的标签设计和

41、使用流程，需要提前设计。明确标签的使用场景：o 使用标签进行分账：阿里云费用中心的分账账单支持按标签细分阿里云成本的功能。最常见的情 况，客户可以使用成本中心（cost center）、业务单元（business unit）或者项目组（project）将成本与业务部门进行关联。客户也可以轻松地将成本与技术或安全性维度作为分账维度，例如特定应用（application）、环境（env）等。o 自动化运维和监控：自动化运维/自动化开通是在日常业务中比较常见的场景。技术人员往往通过一类标签来定义批量运维、检测的策略。建立标签的巡检机制，及时发现没有绑定标签的云产品并评估影响和制定应对策略。使用标签描

42、述应用：一般情况下，组织可根据日常管理层级构建资源归属的标签组合。组合形式一般不建议超过 3 个标签。例如，某金融企业为了能够快速找到对应资源，设计如下标签：地区：描述资源地域归属，比如：北京、上海、新加坡。部门：描述资源的业务归属信息，比如：信息部、销售部、xx分公司。环境：描述资源归属的业务环境，比如：生产、测试、研发。26 云资源统一命名规范 云资源建议遵循统一的命名规范，后期在运维阶段，可以通过资源名称快速定位到该资源的所有者及其关键信息，云资源的命名规范我们建议遵循以下原则：使用描述性和有意义的名称：使用能清楚表明资源用途和功能的名称，为了避免名称过长，建议使用无歧义的缩写。保持一致

43、性：确保在所有资源的命名规范中保持一致性。避免使用特殊字符：避免在资源名称中使用逗号、点或空格等特殊字符。使用分层命名结构：使用分层命名结构，帮助您将资源组织成逻辑组。例如，您可以使用包含环境、应用和资源类别的命名规范。通常建议命名规范中不应超过五个字段。27 4 金融企业上云网络规划 在公有云商业模式推出之前，传统金融企业构建其IT系统主要是在其云下数据中心部署大量的服务器、交换机、路由器等设备进行物理组网，以此来支撑企业内部的应用系统以及对外提供的业务服务。随着越来越多的金融客户选择上云，如何在云上搭建一套企业级安全的网络，成为了传统金融机构上云面临的核心问题。传统数据中心网络中的安全防护

44、一般的做法都是部署大量的安全设备组建一个安全域来实现企业系统的安全防护和访问控制，网络流量需要按照业务逻辑和安全防护等级穿过安全域内的不同设备，这就是所谓的服务链（Service Chain）。随着SDN及网络虚拟化的不断推进，服务链逐渐变得更加重要，服务链场景下主要有南北向流量（访问internet/被internet用户访问）和东西向流量（企业内部系统互访）组成。客户在公有云上部署应用的时候也会延续相同的安全策略，VPC到VPC的流量，VPC和本地IDC以及VPC与internet之间流量都希望能够实现统一的安全控制。本章从金融行业企业级云上网络分区、云上容灾网络设计、云上DMZ区设计、

45、云上访问流量安全管控设计、构建全球一张网及云上云下混合云组网等场景分别进行阐述，便于读者能够全面地了解阿里云网络的能力，协助客户更好地上云。企业级云上网络分区设计 基于VPC网络基础互联、网络安全域分区、网络安全隔离和访问控制等云上组网核心的诉求，云上网络分区设计原则整体分为以下三个部分。网络分区设计 满足业务规模化发展需求，合理划分VPC和vSW，DMZ、生产、开发测试、运维管理等独立VPC部署。满足可靠稳定性，重要业务业务系统跨可用区部署。满足业务之间的高效调用和交互，关联业务尽可能部署同Region。分区间网络互通 采用CEN-TR，打通阿里云上任意Region开通的业务系统，实现全局一

46、张内网。28 VPC按需加入TR，按需控制不同VPC之间or不同vSW之间的互通关系。采用多路由表，配置默认路由，将对互联网的访问调流到DMZ区，统一公网出口。云上业务互联安全设计 公网出入口配置云防火墙管控进出流量（可搭配WAF）。跨分区通过云企业网（CEN）搭配云防火墙实现策略管控。VPC内配置安全组策略，实现微隔离，建议搭配云防火墙，实现策略统一管理。云上DMZ区域设计 传统金融机构客户在安全、成本、权限、监控等诉求的迭代下，云上公网分布式出口方案逐渐从原来的分布式公网出口演进为统一公网出口。如图：29 前者适合企业上云初期以及一些非敏感业务，各部门/业务团队可按需使用EIP/NATGW

47、/LB进行各自的公网出口部署，自动度和灵活性较高，同时也带来了企业的云上安全和管理隐患问题；后者则将公网出口进行统一部署、统一管理、统一监控、统一安全策略部署，更能满足金融客户云上的整体安全管控及监管要求。同时，当前绝大部分传统金融机构还未完全上云，云上和IDC构建混合云网络的架构也是主流落地场景。针对混合云架构的阶段，金融客户也可以考虑将IDC的DMZ区优先部署上云，通过阿里云网络和云安全的能力在云上1：1完成DMZ上云的改造。本方案着重介绍了传统金融机构DMZ区在云上的设计理念。本方案主要分3个设计场景，默认公网出口、第三方供应商API接口调用的特殊公网出口，以及指定域名访问出口，均部署在

48、统一出口区域DMZ-VPC。默认公网出口 在DMZ-VPC内部署增强型NATGW，并申请“统一网络出口”权限开通跨VPC访问功能DMZ-VPC公网能力，实现统一公网出口。账号-1和账号-2的APP-VPC均可通过DMZ-VPC的默认NATGW的SNAT策略出局访问公网，同时并通过DNAT策略实现跨VPC的公网入口效果。第三方API调用的特殊公网出口 30 在VPC已有默认NATGW的情况下，由于第三方供应商API接口调用时需要双方互相针对IP地址加白名单，且出口独立性较强，不能影响其他业务或被其他业务影响，需于DMZ-VPC再部署一个特殊的NATGW，将三方目标网段路由给此NATGW，实现特殊

49、出口。账号-2 VPC中的ECS访问常规公网时从默认NATGW出口出局，调用第三方供应商API时从特殊公网出口出局。指定域名访问出口 使用LB+EIP（ECS）+PrivateZone方式实现特殊域名出口，将需要指定出口访问的域名部署在PrivateZone中并应用于本VPC。当业务访问指定域名时，会被PrivateZone自动解析为DMZ-VPC的特殊域名出口的LB私网IP，通过代理的方式从后端服务器的公网出口出局。云上云下混合组网设计 金融客户在云上构建新的业务系统之前，往往云下已投入较多的IT资源，所以上云后，部分企业会选择将31 部分业务系统保留在企业IDC，混合云状态会长期存在。同时

50、金融企业往往拥有较多的线下分支机构，有与总部办公室、企业IDC之间的内网互通需求，当业务逐步上云后，会涉及到线下分支既需要和线下总部互通，也需要和云上互通。那如何打造一张覆盖云上云下多地域互联的内部局域网，同时确保每个分支/总部之间两端之间最短路径互通，解决传统网络绕行问题，是金融客户上云对云供应商云网络能力构建的另外一块强诉求。阿里云网络按照传统金融机构线下不同组织环境的定位、规模以及与云上系统的关系，推荐如下互通方式。金融企业IDC和总部与云上互联 推荐使用高速通道-物理专线互通。针对传统金融机构，云下IT资源大多分布在两地三中心的多个数据中心机房内，通过物理分区或者逻辑分区隔离不同业务