背景

云計(jì)算經(jīng)過(guò)十多年的發(fā)展，從基礎(chǔ)的IAAS，大數(shù)據(jù)，到各種的PaaS有豐富的產(chǎn)品和生態(tài)，非常有效地助力了業(yè)務(wù)增長(zhǎng)和技術(shù)創(chuàng)新，并提高了業(yè)務(wù)的效率。最直觀的感受是過(guò)去需要幾天到一個(gè)月的資源交付，現(xiàn)在只需要秒級(jí)就可以實(shí)現(xiàn)。

但在獲得云的高效的同時(shí)，我們也會(huì)發(fā)現(xiàn)很多企業(yè)因?yàn)槿鄙俳y(tǒng)一的管理治理規(guī)劃會(huì)遇到以下這些問(wèn)題：

• 第一類是身份風(fēng)險(xiǎn)。例如出現(xiàn)風(fēng)險(xiǎn)操作沒(méi)有辦法追溯到責(zé)任人，或把AK寫在代碼里面，不小心泄露出去，導(dǎo)致IT資產(chǎn)被黑客控制，又或是員工離職后不能及時(shí)收回權(quán)限，員工進(jìn)行惡意操作等這些都是身份領(lǐng)域可能會(huì)遇到的風(fēng)險(xiǎn)。
• 第二類是成本失控。常見(jiàn)的問(wèn)題是企業(yè)上云之初沒(méi)有管控，多員工進(jìn)行云資源無(wú)限制的購(gòu)買，造成成本失控?；蚱髽I(yè)資源從屬于多個(gè)賬號(hào)，因檢測(cè)困難造成資源閑置、無(wú)法復(fù)用的問(wèn)題。
• 第三類是管理挑戰(zhàn)。例如沒(méi)有好的規(guī)劃，運(yùn)維人員因?yàn)闃I(yè)務(wù)的需要隨意申請(qǐng)一些網(wǎng)絡(luò)，導(dǎo)致出現(xiàn)網(wǎng)段的沖突。又例如沒(méi)有標(biāo)準(zhǔn)化的規(guī)范，導(dǎo)致只能夠人肉運(yùn)維，無(wú)法自動(dòng)化，穩(wěn)定性受到挑戰(zhàn)，整體運(yùn)維效率低。
• 第四類是合規(guī)上的風(fēng)險(xiǎn)。由于國(guó)家的監(jiān)管要求會(huì)越來(lái)越嚴(yán)格，做等保合規(guī)的時(shí)候，很多企業(yè)才發(fā)現(xiàn)其實(shí)自己有很多漏洞。那這些漏洞其實(shí)是上云之初沒(méi)有做好合理的規(guī)劃，沒(méi)有設(shè)置安全基線導(dǎo)致的。

那企業(yè)如何盡量避免這些風(fēng)險(xiǎn)，從而高效快速的進(jìn)行云落地呢？

上述這些問(wèn)題表面上看起來(lái)分散，但是在實(shí)踐過(guò)程中，是否統(tǒng)一規(guī)劃治理會(huì)對(duì)企業(yè)上云效率帶來(lái)較大的影響。阿里云在服務(wù)眾多企業(yè)客戶過(guò)程中，總結(jié)發(fā)現(xiàn)企業(yè)客戶上云存在以下兩種類型：

• 一類是治理優(yōu)先型企業(yè)，例如較成熟的跨國(guó)企業(yè)，由于IT 管理方面已有較成熟的經(jīng)驗(yàn)和體系。所以在上云之前，就會(huì)向阿里云提出非常準(zhǔn)確的 IT 管理需求，把網(wǎng)絡(luò)合規(guī)安全、財(cái)務(wù)和運(yùn)維等基礎(chǔ)的治理框架在業(yè)務(wù)上云前搭建好，之后在上云的過(guò)程中就可避免上述這些IT治理的問(wèn)題，可快速的交付資源，更快的享受云的高效便捷，實(shí)現(xiàn)云價(jià)值的最大化。
• 另外一類是業(yè)務(wù)優(yōu)先型企業(yè)，例如互聯(lián)網(wǎng)企業(yè)，由于處于業(yè)務(wù)增長(zhǎng)期，更加看重業(yè)務(wù)的敏捷性。如果在上云的初期沒(méi)有做統(tǒng)一的治理規(guī)劃，在業(yè)務(wù)上云的過(guò)程中，問(wèn)題就會(huì)逐漸暴露出來(lái)，比如身份泄露，網(wǎng)絡(luò)地址沖突等，這時(shí)就需要投入大量的人力物力不斷的修補(bǔ)這些問(wèn)題，影響業(yè)務(wù)云上交付的效率。另外，在修補(bǔ)的過(guò)程中，如果沒(méi)有長(zhǎng)遠(yuǎn)的考量，只是臨時(shí)制定方案去解決問(wèn)題，可能會(huì)為未來(lái)留下更大的隱患，整體的上云曲線會(huì)更加漫長(zhǎng)。

從以上兩類客戶的分析可以發(fā)現(xiàn)，無(wú)論客戶是業(yè)務(wù)優(yōu)先還是治理優(yōu)先的方式上云，都需要從上云初期有統(tǒng)一的治理管理規(guī)劃，才能夠讓企業(yè)在云上的IT管理更加順暢。

那這個(gè)治理管理的規(guī)劃是否有方法，如何在企業(yè)中落地？云治理中心就是我們實(shí)施落地的重要產(chǎn)品。

云治理中心定位

云治理中心是為企業(yè)提供統(tǒng)一的云資源管理治理的平臺(tái)。一方面云治理中心提供友好的向?qū)?，可以降低學(xué)習(xí)門檻，一站式快速搭建LandingZone上云框架。

另外一方面云治理中心提供了對(duì)治理情況的持續(xù)觀測(cè)跟蹤，當(dāng)企業(yè)的業(yè)務(wù)、合規(guī)要求發(fā)生變化的時(shí)候，便于維護(hù)和更新，保障云上環(huán)境始終能夠符合企業(yè)的需求。

云治理中心的核心功能

具體來(lái)說(shuō)，云治理中心具備以下這些核心能力：

• 第一個(gè)是幫助企業(yè)分析當(dāng)前的治理現(xiàn)狀，一般操作系統(tǒng)都有一個(gè)root或者admin管理員賬號(hào)。但在阿里云上，我們建議客戶使用多賬號(hào)的管理結(jié)構(gòu)，需要?jiǎng)?chuàng)建一個(gè)最高權(quán)限云賬號(hào)，稱為master賬號(hào)，它可以管理整個(gè)企業(yè)的云資源。這個(gè)賬號(hào)的安全要求非常高，因此如何決策非常關(guān)鍵。對(duì)于初次上云的企業(yè)，云治理中心可以把當(dāng)前的空白賬號(hào)設(shè)定為管理員賬號(hào)。對(duì)于已經(jīng)在云上開(kāi)展業(yè)務(wù)的企業(yè)，云治理中心可以分析當(dāng)前的賬號(hào)情況，幫助客戶決策是否需要優(yōu)化，或者要?jiǎng)?chuàng)建一個(gè)新的管理賬號(hào)。
• 第二個(gè)能力是自動(dòng)化配置多賬號(hào)環(huán)境，多賬號(hào)是landingzone上云框架的基礎(chǔ)，云治理中心可以幫助客戶規(guī)劃當(dāng)前的多賬號(hào)結(jié)構(gòu)，包括商業(yè)關(guān)系，資源目錄，和必要的職能賬號(hào)，如日志、共享服務(wù)賬號(hào)等。
• 第三個(gè)能力是設(shè)置合規(guī)基線，很多客戶有合規(guī)的需要，但是不知道應(yīng)該如何設(shè)定，哪些是必要的合規(guī)規(guī)則。云治理中心會(huì)給企業(yè)推薦可用的合規(guī)規(guī)則，主要利用阿里云的配置審計(jì)的能力和管控策略的能力，這些規(guī)則策略會(huì)自動(dòng)應(yīng)用到企業(yè)下的所有賬號(hào)，不需要客戶對(duì)每個(gè)賬號(hào)都進(jìn)行配置，能夠保障企業(yè)中所有的云賬號(hào)都受到監(jiān)管，從而降低業(yè)務(wù)風(fēng)險(xiǎn)。
• 第四個(gè)能力是正在開(kāi)發(fā)的賬號(hào)創(chuàng)建能力，稱為賬號(hào)工廠。在最佳實(shí)踐中，我們建議每個(gè)獨(dú)立的業(yè)務(wù)單元都創(chuàng)建一個(gè)賬號(hào)進(jìn)行管理，方便結(jié)算、資源和權(quán)限的隔離。但是一個(gè)新的賬號(hào)要受到企業(yè)的監(jiān)管并且需要預(yù)先設(shè)定企業(yè)的合規(guī)配置，比如安全組、標(biāo)簽、用戶角色等，是比較復(fù)雜的過(guò)程。通過(guò)云治理中心的賬號(hào)工廠，可以很便捷的創(chuàng)建一致的合規(guī)云賬號(hào)，快速交付給業(yè)務(wù)團(tuán)隊(duì)使用。對(duì)于業(yè)務(wù)團(tuán)隊(duì)而言，他們拿到這樣的賬號(hào)，不需要過(guò)多關(guān)心安全、網(wǎng)絡(luò)和資源的合規(guī)權(quán)限，只需要專注業(yè)務(wù)的需求創(chuàng)建云資源 ，把業(yè)務(wù)遷移上云即可。
• 第五個(gè)功能是可持續(xù)治理，通過(guò)云治理中心監(jiān)控企業(yè)中所有賬號(hào)資源是否合規(guī)，包括企業(yè)資源目錄是否被改動(dòng)，是否有私自創(chuàng)建的權(quán)限，是否有哪個(gè)賬號(hào)不符合基線要求出現(xiàn)了風(fēng)險(xiǎn)，哪個(gè)賬號(hào)有欠費(fèi)等。另外在云治理中心可以提升資源跨賬號(hào)的可觀測(cè)性，管理員能夠觀測(cè)到企業(yè)所有資源的分布情況和變化趨勢(shì)。

云治理中心的場(chǎng)景

從場(chǎng)景上看，當(dāng)企業(yè)遇到以下問(wèn)題的時(shí)候，可以通過(guò)云治理中心進(jìn)行統(tǒng)一的治理。

第一個(gè)是有大量的賬號(hào)缺少統(tǒng)一管理。由于各個(gè)云賬號(hào)分屬各個(gè)業(yè)務(wù)線管理，企業(yè)無(wú)法獲知到底有多少賬號(hào)，這些賬號(hào)管理不善可能導(dǎo)致企業(yè)數(shù)據(jù)的泄露。

第二個(gè)是企業(yè)的員工賬號(hào)管理混亂。企業(yè)部分賬號(hào)存在過(guò)大授權(quán)，離職員工賬號(hào)沒(méi)有統(tǒng)一回收，導(dǎo)致可能存在被惡意操作的風(fēng)險(xiǎn)。

第三個(gè)是企業(yè)需要符合內(nèi)外部監(jiān)管的要求，對(duì)日志進(jìn)行統(tǒng)一歸集，設(shè)定統(tǒng)一的合規(guī)規(guī)則。

開(kāi)通

以上介紹了如何使用云治理中心搭建統(tǒng)一的IT治理環(huán)境，大家若感興趣可以通過(guò)在阿里云官網(wǎng)搜索“云治理中心”開(kāi)通試用。