解读如何安全快速建立IT治理环境
简介:云计算经过十多年的发展,从基础的IAAS,大数据,到各种的PaaS有丰富的产品和生态,非常有效地助力了业务增长和技术创新,并提高了业务的效率。最直观的感受是过去需要几天到一个月的资源交付,现在只需要秒级就可以实现。
视频解读:企业IT治理_资源成本优化_合规审计_企业统一身份权限管理-阿里云
背景
云计算经过十多年的发展,从基础的IAAS,大数据,到各种的PaaS有丰富的产品和生态,非常有效地助力了业务增长和技术创新,并提高了业务的效率。最直观的感受是过去需要几天到一个月的资源交付,现在只需要秒级就可以实现。
但在获得云的高效的同时,我们也会发现很多企业因为缺少统一的管理治理规划会遇到以下这些问题:
- 第一类是身份风险。例如出现风险操作没有办法追溯到责任人,或把AK写在代码里面,不小心泄露出去,导致IT资产被黑客控制,又或是员工离职后不能及时收回权限,员工进行恶意操作等这些都是身份领域可能会遇到的风险。
- 第二类是成本失控。常见的问题是企业上云之初没有管控,多员工进行云资源无限制的购买,造成成本失控。或企业资源从属于多个账号,因检测困难造成资源闲置、无法复用的问题。
- 第三类是管理挑战。例如没有好的规划,运维人员因为业务的需要随意申请一些网络,导致出现网段的冲突。又例如没有标准化的规范,导致只能够人肉运维,无法自动化,稳定性受到挑战,整体运维效率低。
- 第四类是合规上的风险。由于国家的监管要求会越来越严格,做等保合规的时候,很多企业才发现其实自己有很多漏洞。那这些漏洞其实是上云之初没有做好合理的规划,没有设置安全基线导致的。
那企业如何尽量避免这些风险,从而高效快速的进行云落地呢?
上述这些问题表面上看起来分散,但是在实践过程中,是否统一规划治理会对企业上云效率带来较大的影响。阿里云在服务众多企业客户过程中,总结发现企业客户上云存在以下两种类型:
- 一类是治理优先型企业,例如较成熟的跨国企业,由于IT 管理方面已有较成熟的经验和体系。所以在上云之前,就会向阿里云提出非常准确的 IT 管理需求,把网络合规安全、财务和运维等基础的治理框架在业务上云前搭建好,之后在上云的过程中就可避免上述这些IT治理的问题,可快速的交付资源,更快的享受云的高效便捷,实现云价值的最大化。
- 另外一类是业务优先型企业,例如互联网企业,由于处于业务增长期,更加看重业务的敏捷性。如果在上云的初期没有做统一的治理规划,在业务上云的过程中,问题就会逐渐暴露出来,比如身份泄露,网络地址冲突等,这时就需要投入大量的人力物力不断的修补这些问题,影响业务云上交付的效率。另外,在修补的过程中,如果没有长远的考量,只是临时制定方案去解决问题,可能会为未来留下更大的隐患,整体的上云曲线会更加漫长。
从以上两类客户的分析可以发现,无论客户是业务优先还是治理优先的方式上云,都需要从上云初期有统一的治理管理规划,才能够让企业在云上的IT管理更加顺畅。
那这个治理管理的规划是否有方法,如何在企业中落地?云治理中心就是我们实施落地的重要产品。
云治理中心定位
云治理中心是为企业提供统一的云资源管理治理的平台。一方面云治理中心提供友好的向导,可以降低学习门槛,一站式快速搭建LandingZone上云框架。
另外一方面云治理中心提供了对治理情况的持续观测跟踪,当企业的业务、合规要求发生变化的时候,便于维护和更新,保障云上环境始终能够符合企业的需求。
云治理中心的核心功能
具体来说,云治理中心具备以下这些核心能力:
- 第一个是帮助企业分析当前的治理现状,一般操作系统都有一个root或者admin管理员账号。但在阿里云上,我们建议客户使用多账号的管理结构,需要创建一个最高权限云账号,称为master账号,它可以管理整个企业的云资源。这个账号的安全要求非常高,因此如何决策非常关键。对于初次上云的企业,云治理中心可以把当前的空白账号设定为管理员账号。对于已经在云上开展业务的企业,云治理中心可以分析当前的账号情况,帮助客户决策是否需要优化,或者要创建一个新的管理账号。
- 第二个能力是自动化配置多账号环境,多账号是landingzone上云框架的基础,云治理中心可以帮助客户规划当前的多账号结构,包括商业关系,资源目录,和必要的职能账号,如日志、共享服务账号等。
- 第三个能力是设置合规基线,很多客户有合规的需要,但是不知道应该如何设定,哪些是必要的合规规则。云治理中心会给企业推荐可用的合规规则,主要利用阿里云的配置审计的能力和管控策略的能力,这些规则策略会自动应用到企业下的所有账号,不需要客户对每个账号都进行配置,能够保障企业中所有的云账号都受到监管,从而降低业务风险。
- 第四个能力是正在开发的账号创建能力,称为账号工厂。在最佳实践中,我们建议每个独立的业务单元都创建一个账号进行管理,方便结算、资源和权限的隔离。但是一个新的账号要受到企业的监管并且需要预先设定企业的合规配置,比如安全组、标签、用户角色等,是比较复杂的过程。通过云治理中心的账号工厂,可以很便捷的创建一致的合规云账号,快速交付给业务团队使用。对于业务团队而言,他们拿到这样的账号,不需要过多关心安全、网络和资源的合规权限,只需要专注业务的需求创建云资源 ,把业务迁移上云即可。
- 第五个功能是可持续治理,通过云治理中心监控企业中所有账号资源是否合规,包括企业资源目录是否被改动,是否有私自创建的权限,是否有哪个账号不符合基线要求出现了风险,哪个账号有欠费等。另外在云治理中心可以提升资源跨账号的可观测性,管理员能够观测到企业所有资源的分布情况和变化趋势。
云治理中心的场景
从场景上看,当企业遇到以下问题的时候,可以通过云治理中心进行统一的治理。
第一个是有大量的账号缺少统一管理。由于各个云账号分属各个业务线管理,企业无法获知到底有多少账号,这些账号管理不善可能导致企业数据的泄露。
第二个是企业的员工账号管理混乱。企业部分账号存在过大授权,离职员工账号没有统一回收,导致可能存在被恶意操作的风险。
第三个是企业需要符合内外部监管的要求,对日志进行统一归集,设定统一的合规规则。
开通
以上介绍了如何使用云治理中心搭建统一的IT治理环境,大家若感兴趣可以通过在阿里云官网搜索“云治理中心”开通试用。
原文链接
本文为阿里云原创内容,未经允许不得转载。
解读如何安全快速建立IT治理环境的更多相关文章
- 9款一键快速搭建PHP运行环境的好工具
9款一键快速搭建PHP运行环境的好工具 胡倡萌 2011/02/19 网络资源 77,063 1 内容提要: 建立一个PHP网站,首先需要搭建PHP的开发和运行环境,对于PHP初学者也是一个难 ...
- WAMP Server助你在Windows上快速搭建PHP集成环境
WAMP Server助你在Windows上快速搭建PHP集成环境 原文地址 我想只要爬过几天网的同学都会知道PHP吧,异次元的新版本就是基于PHP的WordPress程序制造出来的,还有国内绝大部分 ...
- CentOS 7快速搭建Nodejs开发环境
Node.js是一个事件驱动I/O服务端JavaScript环境,基于Google的V8引擎,V8引擎执行Javascript的速度非常快,性能非常好.学习Nodejs首先需要会安装环境.这里我介绍如 ...
- 基于 Jenkins 快速搭建持续集成环境--转
源地址:http://www.ibm.com/developerworks/cn/java/j-lo-jenkins/ 持续集成是一种软件开发实践,对于提高软件开发效率并保障软件开发质量提供了理论基础 ...
- 如何快速建立Subversion服务器
本文拷贝自网址:http://www.subversion.org.cn/?action-viewnews-itemid-1 如何快速建立Subversion服务器,并且在项目中使用起来,这是大家最关 ...
- Jenkins 快速搭建持续集成环境
持续集成概述 什么是持续集成 随着软件开发复杂度的不断提高,团队开发成员间如何更好地协同工作以确保软件开发的质量已经慢慢成为开发过程中不可回避的问题.尤其是近些年来,敏捷(Agile) 在软件工程领域 ...
- 快速打造跨平台开发环境 vagrant + virtualbox + box
工欲善其事必先利其器,开发环境 和 开发工具 就是 我们开发人员的剑,所以我们需要一个快并且好用的剑 刚开始做开发的时候的都是把开发环境 配置在 自己的电脑上,随着后面我们接触的东西越来越多,慢慢的电 ...
- 运用CMD命令关于快速获取文件夹名称和快速建立文件夹
前些天头儿让我建立一本本的文件夹,让后交给我了几个命令,快速获取文件夹的名称和快速建立文件夹,省去了一个个的按F2,一个个的复制,粘贴,一个个的新建,再复制粘贴. 首先讲一下第一个问题,快速获取文件夹 ...
- Linux下快速搭建php开发环境
php开发环境快速搭建 一.Linux下快速搭建php开发环境 1.安装XAMPP for Linux XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包,使用XA ...
- ubuntu linux下建立stm32开发环境: 程序烧录 openocd+openjtag
原文出处: http://blog.csdn.net/embbnux/article/details/17619621 之前建立stm32开发环境,程序也已经编译好生成main.bin,接下来就是要把 ...
随机推荐
- sourceTree Mac 跳过注册 安装
打开sourcetree 关闭sourcetree 命令终端输入defaults write com.torusknot.SourceTreeNotMAS completedWelcomeWizard ...
- python高级技术(线程)
一 线程理论 1 有了进程为什么要有线程 进程有很多优点,它提供了多道编程,让我们感觉我们每个人都拥有自己的CPU和其他资源,可以提高计算机的利用率.很多人就不理解了,既然进程这么优秀,为什么还要线程 ...
- 记录-new Date() 我忍你很久了!
这里给大家分享我在网上总结出来的一些知识,希望对大家有所帮助 大家平时在开发的时候有没被new Date()折磨过?就是它的诸多怪异的设定让你每每用的时候,都可能不小心踩坑.造成程序意外出错,却一下子 ...
- 记录--vue3+setup+ts 知识总结
这里给大家分享我在网上总结出来的一些知识,希望对大家有所帮助 vue3 于 2020 年 09 月 18 日正式发布,2022 年 2 月 7 日 vue3 成为新的默认版本 距离 vue3 正式发布 ...
- LOTO仪器---如何用LOTO的EMI模块锁定你PCB上的干扰做分析?
在开发电子产品的过程中,电磁干扰(EMI)可能会导致许多问题,可能会在模拟电路上出现很大的噪声,可能导致通讯乱码,可能导致芯片无规律重启,可能会导致数字电路有莫名其妙的误动作. 硬件工程师通常会把主要 ...
- 如何使用文件传输协议ftp,教你使用文件传输协议命令行
FTP是文件传输协议的缩写.顾名思义,FTP用于在网络上的计算机之间传输文件.您可以使用文件传输协议在计算机帐户之间交换文件,在帐户和台式计算机之间传输文件或访问在线软件档案.但是请记住,许多文件传输 ...
- node14.20.0安装pnpm5.15.0兼容
1,执行命令:npm install -g pnpm@5.15.0 2,设置淘宝镜像源: pnpm config set registry https://registry.npm.taobao.or ...
- Kingbase ES 函数返回-return语句
文章概要: 本文在https://www.cnblogs.com/kingbase/p/15703611.html 一文的基础上总结了Kingbase ES中函数能支持的return语句,整体上兼容o ...
- #插头dp#洛谷 5074 HDU 1693 Eat the Trees
题目 给出 \(n*m\) 的方格,有些格子不能铺线, 其它格子必须铺,可以形成多个闭合回路. 问有多少种铺法? \(n,m\leq 12\) 分析 设 \(dp[n][m][S][0/1]\) 表示 ...
- C++ 编程入门指南:深入了解 C++ 语言及其应用领域
C++ 简介 什么是 C++? C++ 是一种跨平台的编程语言,可用于创建高性能应用程序. C++ 是由 Bjarne Stroustrup 开发的,作为 C 语言的扩展. C++ 为程序员提供了对系 ...