从毛坯房到精装修，阿里云企业IT治理样板间助力云上管控和治理

企业上云的挑战

随着近几年云的高速发展，云原生的概念深入人心，越来越多的企业选择上云实现数字化转型。无论是将传统应用搬迁上云，还是基于云原生技术构建新的产品和业务，企业都期望利用云技术低成本、敏捷的进行业务创新，实现上云价值最大化。

然而，随着云采用的深入，业务越来越多，资源类型和规模不断增大，企业也开始面临新的问题：

——如何确保云上的身份安全？
——如何实现多项目的资源隔离与权限隔离？
——如何确保不同业务之间的网络隔离和安全？
——如何将云上开支拆分到不同的业务团队？

这些问题，轻则影响业务稳定性和发展速度，重则引发安全风险，危及企业生存根基。因此，企业在上云之前，不只是将业务应用适配云环境，更重要的是需要给每个即将上云的业务规划和构建一个安全、可控、合规的「登陆区」（Landing Zone），让业务研发人员只用关心自身业务，大胆的依托于云上的能力快速进行业务迭代和创新，兼顾「效率」与「可控」，才能实现上云价值最大化。

这部分工作的核心在于企业IT治理基础设施的完善。

企业 IT 治理概述

企业 IT 治理是一系列指导企业 IT 规划和运行的策略、原则和实施流程，保证 IT 人员可以从 IT 整体层面管控业务风险，并确保企业业务高效、可靠地运行。一套完善的云上企业 IT 治理基础设施具有以下特点：

统一规范：企业需要规划统一的 IT 治理架构，并将相关规范落地到具体业务中，保障每个业务都能被管控和治理；

持续合规：不只是上云初期需要满足 IT 治理要求，在后期业务不断迭代，新业务快速增长过程中，能够持续、自动满足要求；

分治管理：当一个完善的企业 IT 治理架构成型后，除了基础设施需要 IT 运维团队介入外，业务自身运维即可交给业务方自行完成，减轻 IT 运维团队压力。

可以看出，为了实现云上价值最大化，不光需要企业花费大量精力了解云上相关能力，更重要的是在初期统一规划和实施，才能为云上业务构建出安全可控的登陆区，而不是让业务入驻一间不宜居住的「毛坯房」。近几年，多家阿里云企业客户也被这些问题所困扰，转向阿里云寻求最佳实践。为了帮助这些企业快速落地到阿里云，阿里云开放平台团队在构建了多项企业 IT 治理能力的基础上，结合多家企业上云过程中的痛点，总结出了最佳实践，在此基础上提出了阿里云企业 IT 治理样板间，和 3 套针对不同规模企业的具体实施方案，以及自动化工具帮助企业快速实施。接下来，我们以中大型企业和跨国企业为例，阐述一下企业 IT 治理样板间的设计理念。

企业 IT 治理样板间设计理念

企业IT治理样板间，主要是为企业客户在阿里云上搭建跨账号的复杂企业 IT 治理体系的基本骨架，包含以下几个方面：

企业云上资源结构：企业上云第一步，是需要通过多账号的方式构建出云上资源的基础架构，从而才能在此基础上进行有效的权限管控、合规审计、网络规划、财资托管等。通过阿里云提供的多种资源组织方式，可以方便有效的对云上资源架构进行组织，映射到企业自身各业务线的组织和划分，形成一颗清晰的资源「树」，为后续的其它几个方面的治理打下基础；

身份集成：企业往往有自己的身份管理系统，通过企业自有管理系统登录到阿里云是企业管理与合规的强诉求。通过阿里云角色 SSO，可以将企业员工身份或者用户组映射到特定权限的阿里云角色，便于组织管理。同时，企业也需要给不同角色，分配不同的权限策略，确保权限最小化。样板间方案中提供了一系列预置角色、权限策略的最佳实践和 SSO 自动化工具，帮助企业快速完成 SSO 配置；

IT 合规与审计：是企业 IT 治理过程中实现「效率」与「可控」的关键。特别是等保合规成为企业上云的硬性要求之后，合规和审计也成为企业 IT 治理的核心诉求之一。合规审计的主要实现途径分为三个：

预防性（preventive）管控：为符合企业合规准则，而禁止进行不合规操作，如禁止变更样板间的基础配置，禁止外网链接，禁止创建未加密的磁盘等；

发现性（detective）管控：对于一些建议性的合规准则，可以不用设置预防性管控，而是设置发现性规则并对企业资源进行持续监控，发现不合规资源时，进行记录、报警乃至自动修复；

审计日志持久化：对云上操作、资源变更、网络流量等日志进行持久化保存，以备审计之需；

费用与成本：成本分析是企业上云的基本需求，把支出算清楚，让成本更具备可预测性，是让企业放心上云的前提。越大型的企业，越需要关注每个业务、每个部门的预算与花费。根据不同的企业类型，有 Showback 和 Chargeback 两种分账模式，另外，根据企业的云上资源结构的规划，有账号维度分账、标签维度分账等几种常见措施；

网络规划、安全防护与监控：网络架构对于一个企业来说是至关重要的，关系到企业业务的运行、应用之间的调用、业务的扩展、企业的信息安全等。这部分主要包含企业网络 IP 地址规划、网络联通和访问控制。在该部分中，重点需要规划企业网络内部哪些安全域的服务是可以互通的，哪些服务可以访问公网或者被公网访问，同时，如何对 VPC 东西向、南北向的流量进行控制，保障企业安全；最后，对相关的网络资源、业务资源进行统一监控规则、报警规则的配置，实现业务问题早发现早治理；

新账号基线：在企业通过新账号开展新的业务时，也需要满足企业 IT 治理规范要求。对应的内容也就是前面提到的这些设计原则在新的账号中落地，比如身份集成、初始化网络架构、配置安全防护和监控报警等，同时结合预防性的管控策略保护账号合规基线，避免业务人员误操作导致业务不满足合规诉求，给企业造成风险。

样板间实施

有了样板间的设计理念，接下来就是如何根据企业自身特点以及所处阶段进行方案搭建和实施，协助企业快速将「毛坯房」进行精装修。在实际应用当中，很难有一种实施方案能够完美匹配每一家企业的诉求，每家企业都需要结合设计原则，根据自身诉求进行定制和组合。上文提到的 3 套有代表性的方案，就是阿里云分别针对初创企业、中大型企业以及跨国企业所提出的最佳“样板间”方案。您可以在阿里云开放平台官网浏览这些方案的具体介绍，其中初创企业样板间可在官网直接获取操作步骤和自动化代码，其他样板间方案请联系您的阿里云销售代表或服务经理。

实施过程，最理想的状态即是完全自动化。我们基于 IaC（Infrastructure as Code）的理念，结合 Terraform 等工具提供了自动化部署脚本和代码，并开源到了 Github（ Aliyun Landing Zone Github），协助您快速部署一套样板间方案或整合到企业内部自动化流程系统中。

结语

随着云原生时代的到来，企业在云上会面临更多新的挑战。阿里云开放平台团队也会不断打磨自身产品和解决方案，沉淀更多的最佳实践，协助企业管好云、用好云，让企业业务能够更加敏捷的基于云原生能力进行创新。

如果在上云的过程中遇到了任何问题，或者有任何建议，欢迎随时与我们取得联系。也欢迎关注我们团队的最新动态，及时了解最新的企业上云最佳实践。