构建企业级的云管理与治理框架.pdf

1、L?0?0G?20?G?a?E?=?OC?PN?dMR?dS?MR?S?cBG?C?Y?0?0?L?7?0?2?50?0?7?0?57?0?7?w?T?O?I?S?h?a?3?.?o?1?P?.?0?0K?A?.?0?0?.?I?d?.1?2?G?T?.0?-?O?0?P?G?2?2?G?0?O?PS?20?L?0?0G?20?G?L?O?https:/ RolePowerUser?RAM?Dataworks?BRAM RoleReadOnly?RAM?Dataworks?SSO?SSO?SSO?SSO?身份权限：基于SSO实现统一身份和权限管控统一身份打通企业内部身份与云上身份员工离职

2、能够有效阻断访问，杜绝安全隐患统一管控基于角色进行授权，避免权限管理混乱和权限过大统一授权管理降低风险员工不持有云上用户密码，规避账户泄漏风险。如何有序管理身份和权限，降低身份泄露和离职员工恶意操作风险？?AD?IDP?1?2?AD?3?AAD/ADFSRAM RolePowerUser?RAM?Dataworks?BRAM RoleReadOnly?RAM?Dataworks?SSO?SSO?SSO?SSO?财务管理：管理商业关系与成本统一结算企业可以统一管理多个业务的费用，统一付款支持业务独立结算成本分析企业可以统一查看每个业务账单，清楚知晓云资源费用支持多维度灵活的费用统计预算管理企业可

3、对不同业务设置额度限制和预警，有效管理业务预算ApplicationsShared ServicesApp2App1企业管理账号企业管理账号组织单元成员账号账单账单账单58%23%10%9%Dept1Dept2Dept3Dept458%23%10%9%Dept1Dept2Dept3Dept458%23%10%9%Dept1Dept2Dept3Dept4成本中心如何满足复杂组织的财务管理诉求，基于业务进行成本核算？?f?e?B?P?p?bk?p?n?p?mj?rOS?P?pdt?PN?i?nhs?(?:?(?(?2?:?ah?uT?P?oA?A?P?PN?hs?:?:-?:?:?/1?:?:?L

4、n?)?c?N?OA?P?网络架构：企业级的组网架构云上云下互联数据中心到云上互联办公/门店到云上互联公网端口管控NAT网关统一公网出口共享带宽和流量包云上VPC网络规划按用途：DMZ VPC/生产网/非生产网按业务用途：账号和业务隔离/网段规划如何规划一个网络架构满足现在和未来的业务上云需要？IPV6CENCCN高通（专线）VPN?高可用、大规模、智能化简易、高效、覆盖全球高速、稳定、安全可靠EIPSLBNATGAPOP共享带宽包共享流量包实时/离线计算数据建模智能运维智能运营智能分析?网络连通与隔离基于CEN连通多个业务基于云防火墙实现南北向、东西向隔离VPCVPCVPCVPCVPC安全

5、防护：体系化的安全设计主机与容器安全主动防御：防勒索、防病毒、防篡改安全防范：合规检查、基线检查、漏洞检测与修复网络安全访问控制：互联网边界、VPC边界、主机边界入侵检测和防护IPS：南北向、东西向Web流量防护数据安全数据静态加密：文件加密、密钥管理数据动态加密：证书、VPN数据行为审计：数据安全中心敏感数据发现与脱敏访问安全身份安全：访问控制、云SSO、无AK权限边界：授权管理、管控策略数据安全中心如何利用云上原生的安全服务构建多层次的安全保障？合规审计：丰富的合规审计服务谁 何时 哪里 哪些 什么操作操作日志操作审计-系统故障后，查看系统操作记录-数据泄露，查看对于该数据的访问记录-AK

6、泄露后，查看某个AK使用记录-监控高危操作，如修改权限策略发现 处理发现性管控配置审计-安全组不能设置为0.0.0.0/0-云上磁盘必须启用加密-负载均衡必须开启HTTPS监听-ECS实例挂载到指定的VPC实例上权限 限制预防性管控管控策略-不能自行修改SSO配置-不能创建用户-不能新购和更改网络配置一键启用的合规包满足企业对等保2.0、CIS网络安全检查等行业监管要求满足企业自定义合规基线支持企业级的合规基线安全合规团队对整个组织设定合规基线，实现集团管控；不同业务设定差异化的合规基线。持续合规先进的工具代替人工检查；发现潜在风险，及时修复和快速止损。事前事中事后如何满足地区或行业的合规要求，积累企业合规最佳实践？?1?3?2?1?1?1?2?G?G?1?2?G?.2?0?d?g2?e?a?1?oL?PZ?S?1?Z?3?n?o?i?O?G?i?.?P?1?2?.?1?g?e?3?.2?0?L?ni?1?O?G?1?Z?o?13?0?2?3?1?20?P?e?e?S?g?1?.?0?d?d?g?a?Thanks