1、1 文档版本：202304102目录 目录目录.21.法律声明.42.出品信息.53.序言.54.背景.75.跨国企业上云洞察.96.行业领先的云治理框架.157.跨国企业上云建议.208.在阿里云构建上云登陆区（Landing Zone）最佳实践.238.1.概述.238.2.资源管理.278.3.财务管理.318.4.网络规划.358.5.身份权限.448.6.安全防护.488.7.合规审计.538.8.运维管理.5838.9.自动化.639.成功案例.689.1.迪卡侬.689.2.巴斯夫.7110.总结.8041.法律声明 本文档的版权归阿里云所有，您应当通过阿里云网站或阿里云提供的其

2、他授权通道下载、获取本文档，且仅能用于自身的合法合规的业务活动。一、文档使用及更新说明本文档仅作为用户使用阿里云产品及服务的参考性指引，阿里云以产品及服务的“现状”、“有缺陷”和“当前功能”的状态提供本文档。阿里云在现有技术的基础上尽最大努力提供相应的介绍及操作指引，但阿里云对本文档内容的准确性、完整性不作任何明示或暗示的保证。由于产品版本升级、调整或其他原因，本文档内容有可能变更。阿里云保留在没有任何通知或者提示下，对本文档的内容进行修改的权利，并在阿里云授权通道中不时发布更新后的文档。您应当实时关注用户文档的版本变更，并通过阿里云授权渠道下载、获取最新版的用户文档。二、知识产权声明本文档中

3、的材料和信息，包括但不限于文本、产品、图片、数据、档案、建议、资料，均由阿里云和/或其关联公司依法拥有其知识产权，包括但不限于商标权、专利权、著作权等。非经阿里云和/或其关联公司书面同意，任何人不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表。三、如何联系我们您对本声明内容有任何疑问和意见，或者您发现本文档存在任何错误，您可以登录阿里云官网，单击上海品茶下方联系我们与我们联系。52.出品信息 出品方：阿里云计算有限公司 联合出品方：埃森哲（中国）有限公司 监制 沈绎（夏巴）、黄永法（仁宇）编委 牛婉婷（绎欣）、陈海涛（骁天）、张晓锐（新洲）、张玉峰（与风）、曲骏、周玥琳、唐雨微、李鹏

4、飞（淘飞）特别鸣谢 戴虹（埃森哲阿里事业部董事总经理、智能云服务创新中心主管）姚靖宇（埃森哲阿里事业部董事总经理）李津（阿里云智能全球技术服务部总经理）袁千（阿里云智能国际事业部总经理）宋瑛桥（阿里云智能国际事业部副总裁）祝顺民（阿里云智能云网络总经理）欧阳欣（阿里云智能云安全总经理）何登成（阿里云智能开放平台总经理）63.序言 近年来，云转型已经成为了众多跨国企业的核心 IT 战略，随着跨国企业在数字化转型方面的加速，企业在不断提升用云的广度和深度。但随着全球市场的快速变化和各地日益严格的监管要求，越来越多的跨国企业面临着安全合规、权限管控、资源规范等方面的挑战。我们认为，在上云前基于 La

5、nding Zone 统一规划完整的顶层设计和 IT 治理框架，是确保跨国企业快速上云和高效运营的首要条件。同时，基于先进的云上 IT 管理和治理体系，也能帮助跨国企业在不断深入用云的过程中，将云原生的能力和企业 IT 管理战略进行更好的结合，持续地用好云，进一步推进企业的数字化进程。阿里云基于多年服务跨国企业云转型的经验，沉淀了面向跨国企业上云的顶层设计和 IT 治理方法论，编写了这本跨国企业上云登陆区（Landing Zone）白皮书。白皮书不仅从跨国企业用户的角度分析了企业上云的关键洞察和核心挑战，也阐述了行业领先的云上 IT 治理框架是如何帮助跨国企业从战略、组织、运营的角度进行云上架

6、构的合理规划和使用，同时也分享了如何基于阿里云构建云上先进 IT 治理框架的最佳实践。白皮书提供了大量跨国企业上云场景和落地案例，来帮助跨国企业构建全面高效的云上 IT 治理体系，比如有效落地跨国企业总部和本地监管的安全合规政策；统一对多个账号和身份权限进行收口管控以降低运营风险；实现 IT 资源的灵活分配和规范使用；并通过更细分更透明的成本管控帮助企业降本增效。未来，相信跨国企业用云会越来越深入，而阿里云的 Landing Zone 方案白皮书也将随之不断迭代，持续助力跨国企业上好云、用好云和管好云。袁千阿里云智能国际事业部总裁74.背景 近年来，随着全球数字化转型进程的加速，越来越多的企业

7、，尤其是跨国企业，对于云计算的兴趣不断增长，从而纷纷上云。云计算作为 IT 基础设施、应用体系支撑乃至行业最佳实践的集合，已经成为了全球企业进行数字化转型的起点和技术载体。基于阿里云在大量企业成功上云方面的实践经验，我们已经输出了自己的云采用框架方法论及云采用框架白皮书，为企业上云提供了策略和技术的指导原则及最佳实践。同时，在搭建一个完整的上云框架前，从宏观层面统一规划一套完整的顶层设计和相应的基础框架（Landing Zone），往往是企业后续业务上云的成功基石，因此，Landing Zone 作为企业上云规划的关键环节和必备条件，也越发受到业界关注和客户认可。阿里云在过去几年间，为众多全球

8、 500 强企业提供了 Landing Zone 服务，从客户反馈来看，阿里云 Landing Zone 方案不仅能够帮助企业解决上云相关的资源、合规、安全、网络等多方面的问题，也能实现企业在上云后关于人员、成本、效率等方面的全局规划和统筹设计。本白皮书从跨国企业的视角出发，结合多年的服务落地经验，分享跨国企业对上云的关注点，其中 92.3%的企业管理者重点关注云上安全合规问题；61.5%受访者比较关注资源权限管理问题；53.8%受访者关注云资源使用规范，例如如何遵循企业全球总部的用云策略等。同时，本白皮书将描绘业界先进的云上 IT 治理框架和企业上云建议，并结合不同的行业案例，充分地展示阿里

9、云 Landing Zone 方案是如何解决跨国企业在云上 IT 方面的痛点，以及如何帮助用户提升构建企业上云 IT 治理框架的认知和实践指导。8来源：市场问卷调研，2023 年 02 月本白皮书适用于丰富的跨国企业上云场景，包括但不限于：租户与访问控制：提供标准、合规的多个资源环境，实现不同业务间的相互隔离，降低安全风险，并和企业全球总部进行统一身份对接；网络：实现跨境数据通信的网络处理及云上云下的流量管控；安全：落实企业全球总部统一的数据安全管控要求，保证云上的数据安全；成本：通过规模化上云和精细化管理，降低购买服务和实施的成本；合规：满足全球总部及本地监管对安全、审计的要求，落实差异化安

10、全策略审计；运维管理：利用标准工具实现应用和基础设施的统一监控；自动化：基于 IaC 进行部署自动化，通过 Terraform 实现多云协同等场景。最终统一企业云规划与用云标准，实现 IT 的统一管控，同时确保业务在云上的快速投产和高效运营，并将云原生的能力和企业 IT 管理战略进行更好地结合。95.跨国企业上云洞察 跨国企业上云战略企业上云是适应企业业务快速发展需求的必然趋势，目前众多行业和企业都已经选用了云上的服务或采用了云上的服务或架构，尤其是大型零售、金融、制造、化工能源、汽车、互联网等行业。基于不同行业的属性和要求，其对用云的关注点也不尽相同，下图中的色块形象地表示不同行业用云关注点

11、，颜色越深表示此行业对这个点越关注，以金融行业为例，最关注点为用云的安全合规，第二关注点为用云能带来企业的智能化创新。不同行业主要用云关注点说明 色块表示不同行业用云关注点，颜色越深表示越关注，以金融行业为例，首先关注安全合规，其次关注智能化创新。不同行业用云情况以及具体关注点洞察如下：零售：零售企业非常关注成本优化和效率提升，与此同时还面临着大量碎片化的数据和全渠道零售的挑战，因此更希望利用云上高效的数据整合能力来推动数字化转型，提高业务运营效率和发展潜力。10 金融：随着金融行业数字化转型的推进以及云原生架构技术成熟的应用，同时，伴随着持续性的严格的监管要求，其对于技术平台的安全、合规、弹

12、性 IT 资源等需求也在逐渐增长。因此，为金融企业提供可扩展、高效、安全的 IT 基础设施，解决数据安全性、资产优化、业务创新等问题，成为金融行业用云建设的重要考虑点。同时，随着金融出海的场景增多，如何实现技术侧与合规侧的双重落地，也是很多金融机构思考的问题。制造：传统的制造业数字化转型程度不高，亟需利用数字化完成效率提升以及成本降低的目标，与此同时他们也很关注提升产业链供应链稳定性。利用云服务及强大的生态，结合上下游伙伴为制造企业进行生产过程优化、供应链管理、质量管理、能源管理等，是帮助企业实现数字化转型，提高生产效率和降低成本，增加企业的竞争力和可持续性的演进方向。化工能源：化工行业与制造

13、行业较类似，具有生产效率低下、成本高昂、供应链集成不到位等痛点。利用云上解决方案不仅能打通集团及能源产业链生产、运维、销售等全链路数据；为能源运输过程中的损耗、安全、时效等问题进行优化，同时也能帮助化工企业达到综合降低能源生产成本的目的。汽车：对于传统车企来说，上云建设数字化底座和打造智能化应用是提高生产效率、降低成本、提高客户体验的必然选择。云平台已经被证实了可以帮助车企实现信息化、智能化管理，提升企业的数字竞争力。对于已有一定数字化水平的车企来说，更关注如何利用先进的云服务帮助其快速构建数字化基础设施和开发智能化应用，提高研发效率和产品质量，缩短产品开发周期，加快创新速度。同时，针对汽车生

14、产配套的供应链企业来说，通过云平台能更好地实现与车企的数据共享和互联互通，提升供应链管理效率，减少生产成本，提高生产力水平和质量标准。互联网：互联网企业首要的关注点一般是成本优化和效率提升。其通常已基本完成数字化转型，对用云的要求也不仅局限在弹性伸缩等基本属性上。因为技术底蕴较深厚，互联网企业更关注用云的灵活性。利用云技术帮助企业进行运营效率的提升以及生产力创新是首要的目标。11大型零售、金融、制造、化工能源、汽车、互联网行业的跨国企业在上云时往往有较高的 IT 治理诉求，且有这些企业通常业务部门众多（100 个以上，含门店、工厂、业务点等），而上云 IT 架构作为支撑其业务发展的重要底座，需

15、要有更全面的考量来满足企业的以下关注点：跨国企业的总部 IT 部门往往有着严格的管控要求，在其他区域上云时，通常需要遵循企业全球总部IT 已有的上云标准和成熟的治理体系，尤其在多云策略的前提下，形成统一管控；随着全球业务的不断发展，对上云之后的 IT 成本管控更加严格、透明度要求更高，并需要 IT 部门能够随时以更精细化的颗粒度展现云上成本和账单的分摊；受本地化要求影响，国内团队逐渐对业务有了更强的认知和把控，需要在一个统一的管控标准之下，更灵活高效地进行云上资源的运行，快速响应国内业务的发展需求；国内对数据安全的要求越发严格，对于数据跨境业务场景必须从架构设计上保证云上数据资产的的合规性，并

16、具有可落地性和可实施性；企业的分支及部门众多，例如零售行业的门店或制造业的工厂等，因此用云的业务部门越来越多，企业传统的 IT 部门需要逐渐承担更多的云上治理职责，从多账号管理到身份权限，从架构运维到价值呈现，都需要统一的框架设计和管理收口；通过完善的上云 IT 治理，真正建立顶层架构威信，从组织架构到云上资源使用都能形成标准规范，帮助企业站在一个更高的视角进行云上 IT 治理的规划管理；除了现有的成熟的上云 IT 治理框架，希望有更进一步的 IT 治理方法，例如最佳实践的标准模板、自动化智能运维、IT 人员组织的治理等方案，保障跨国企业在云上的稳定运行和长足发展。根据调研，实施过 Landi

17、ng Zone 或正在考虑实施的跨国企业有如下的上云关注点，包括云上业务灵活快速开展、成本控制难度大、安全合规的业务考虑、资源权限管理问题、推动企业数字化转型进度、构建云12资源的使用标准和规范、上云后的使用效率等方面。其中超过 90%的受访者（多为跨国企业 CIO 或 IT 负责人）最关注云上的安全合规问题，另外由于跨国企业部门和分支机构众多，资源权限管理和云资源的使用规范也是跨国企业 IT 较为关注的部分；同时受到全球经济下行的影响，降本增效也成了跨国企业的重大课题，因此通过 Landing Zone 的合理规划提高上云后的使用效率，并进行成本控制也是企业的两大方向；最后，通过上云治理，加

18、速业务开展，推动企业数字化转型进度也是受访者进一步希望能实现的目标。来源：市场问卷调研，2023 年 02 月跨国企业上云挑战跨国企业上云用云已是必然结果，但仍然面临着一些挑战。整体概括为如下：一、数据资产合规要求下带来的挑战数据资产合规监管态势严峻。中国自 2010 年起便成为世界第二大经济体，各跨国公司也十分重视企业在中国市场的发展。但中国政府对于跨国企业进入中国市场有一套严格的法律合规准入体系，与此同时跨国13企业必须面对数据的跨境传输等问题。当前，在个人信息保护法数据安全法网络安全法（下文统称“三法”）的约束之下，“在中华人民共和国境内运营中收集和产生的重要数据须以境内本地化存储为原则

19、。”面对如此的监管态势，跨国公司需寻找中国境内云厂商对分属于中国境内的业务、数据资产进行云平台层面的管控落地，来保证在中国境内的业务开展。“三法”的介绍二、用云企业在不同用云阶段面临的不同挑战 传统云上架构亟待优化，缺乏先进治理体系。许多企业在上云前，没有根据企业的战略制定计划也缺乏对于业务发展的预判，选择“平迁上云”。对于企业来说，“平迁”虽初始投入低，但随着业务的持续发展，基于传统基础设施的技术架构无法满足业务的成本优化、弹性灵活、安全合规、持续可用等需求，亟需云上先进架构的规范化治理。应用云化转型复杂，缺乏全面上云规划。将应用业务迁移到云端一般涉及不同程度的业务架构和技术架构的调整，对于

20、企业来说如何完成全面上云规划、设计整体上云流程、保障业务平稳迁移是一个重大问题。通常情况下，企业向云端迁移并非一蹴而就的过程，而如何在迁移的过程中实现云上云下阶段性共存也是企业上云规划中需要统一考虑的重要因素。14 深度用云背景下的云运营支撑管理要求变高。伴随企业用云的深入，云上应用系统越来越复杂，云平台对于企业用户的云运营支撑管理的要求也越来越高。云运营支撑服务会涵盖企业的整个云旅程，包括企业上云前的咨询与规划、上云时的迁移与部署，尤其是上云后的运营管理、高效用云等。对企业云运营来说，如何从“用云”到“会用云”再到“用好云”是一个长久的课题。三、跨国企业面临额外挑战 多云，混合云部署解决方案

21、复杂。由于海外云的发展较国内云更早，跨国企业业务部署也多由海外向中国延伸，因此跨国企业的云发展之旅也多从海外云开始，一些跨国企业在当前已有了一到两朵非国内云的实施部署应用。因而，对跨国企业来说，合理的多云、混合云部署方案显得尤为重要。而这种牵涉多种云的治理部署相较于单个云的上云解决方案显得更为复杂，尤其是会给企业云运维带来挑战。企业对于 IT 标准化的要求和多云产品架构的不同，也会导致在多云环境中的应用程序部署和管理存在差异，管理成本难以衡量和控制。事实上，目前有一些跨国企业需要在中国落地的业务仍然部署在其他海外云上，但随着中国数据资产合规监管越发严格，如“在中华人民共和国境内运营中收集和产生

22、的重要数据须以境内本地化存储为原则。”，则这部分业务的本地化也需要尽早考虑。随着近年来业务出海的声势越来越高，对许多想要出海的企业来说，也会面临类似的问题。如何让跨国业务尽量平滑且不受损地在不同云之间过渡迁移，如何在多云之间进行统一的管控收口，都是值得深思熟虑的。可持续云战略难度升级。一些有经验的用云企业会知道，上云并不是解决问题的终点，而是一切的起点。跨国公司在上云后，不仅需要将业务逐渐从其他云迁移过来，同时更需要思考的是如何才能在当地的业务市场站稳脚跟，长期经营。因此可持续的云平台运营就十分重要。但庞大的业务体量以及对当地云平台水土不服等情况会造成持续运营的难度升级。156.行业领先的云治

23、理框架 伴随企业云旅程的发展，基础设施与应用设施越来越受到企业管理层组织的广泛重视，如何建立体系化云IT 治理框架，也成为越来越多客户关注的问题。先进的云 IT 治理框架，不仅包括技术服务、运营、安全，也包括组织和文化的变革。云为每一家企业所提供的要素，包括灵活、易扩展、高可用和极致算力等等，都是面对数字经济中企业所需要的，同时，云也能够确保符合企业的信息安全策略，特别是数据保护、审计功能、访问控制以及网络和终端保护。先进的云上 IT 治理框架先进的云上 IT 治理，相较于传统的 IT 治理模式，更强调全局管控以及灵活管理。16先进的云上 IT 治理模式分为两个层次，第一层为 IT 治理本身，

24、即以规范化体系化的框架去调整现有的云上资源配置部署，在上云前的“治理”即为构建上云登录区 Landing Zone，一般来说会从：资源、财务、网络、身份、安全、合规审计等角度对企业的现状进行上云规划。对企业云架构的治理可以分为全局治理以及部分治理。全局云 IT 治理指综合全面的上云规划，但对于一些企业来说，由于治理成本等因素，有时候会采用部分治理的模式，例如，一家企业对安全方面有很大的诉求，则可采用资源、身份、网络、安全的模块搭配进行部分云治理转型，这对于一些难以一次性投入全面云治理解决方案成本的小型企业来说，是最优的结果。在此结果上进行数字化转型并利用云平台提高业务效率，后续可以对剩余模块按

25、需分批进行治理，以达成全面规范化体系化用云的结果。第二层先进的“治理”为在上云规划以及部署的过程中的流程治理，即帮助企业以更灵活协调的方式进行交付。复杂的跨职能云转型计划需要谨慎地协调，尤其是在组织结构更为传统的企业中。许多相互关联和依赖的关系在交付过程中才会凸显出来，需要完善的技术项目管理计划，结合优化或整合的成本、时间安排、工作量和收益来协调管理这些相互依赖的关系。这种治理更像是一种服务于云交付过程的一种保障和支撑作用，对于云治理流程是必不可少的。此外，一个良好的流程治理也可以帮助跨国企业规划、衡量和优化云支出。可以将云提供的资源预置简便性和敏捷性益处与团队的云支出财务责任结合起来，以确保

26、公司持续优化云工作负载，并使用最佳定价模式。同时，明确与云相关的财务角色和责任，并确保企业中的各部门就云成本分配达成共识。目前先进的云上框架，可以支持更加动态的预测和预算编制流程，更快地识别成本差异和异常情况，从而更好地管理云支出。同时，一个完整的先进云 IT 治理框架，还需要在企业安全合规的监管下，做到从战略、组织、运营三个角度对企业管理进行提效、优化组织结构以及云能力标准化规范化运营，建议如下：一、战略17采用先进的云上治理框架能够有助于确保企业在云战略上的决策正确，助力企业快速实现数字化转型目标并取得业务成果。与传统 IT 治理相比，云上 IT 治理更具有灵活性，可以帮助企业快速构建企业

27、级、可扩展线上线下融合的云平台架构，不仅能优化企业 IT 资源，同时也能更好地支撑当前工作负载，并随时可结合最新的云原生方案快速开展新的业务场景探索。以云上 IT 治理框架为企业 IT 的核心战略，有助于企业利用云来支持和塑造长期业务目标、实现降本增效。这包括找出并消除技术债务、利用云优化技术和业务运营的机会，以及探索借助云功能实现的新的价值主张和收入模式。并且通过在正确的时间交付正确的云产品和项目计划，有助于实施企业策略并加快实现业务成果，高效开发新的流程、产品和体验，并改进现有情况。先进的云上 IT 治理框架考虑对平台架构的标准化规划设计，建立和维护架构完善的云环境，包括线上线下一致性的混

28、合场景及多云策略；帮助跨国企业加快实施、降低风险并推动云采用框架。基于统一的平台设计，在跨国企业内部推动 IT 流程的优化，并采用最佳实践以及持续集成、测试和部署，帮助跨国企业提高敏捷性，从而更快地进行创新，更好地进入并适应新的市场。二、组织先进的云上 IT 治理框架，是技术与业务之间的桥梁，可以帮助企业更快地打造持续增长和学习的文化，使变革成为常态，并将重点放在组织结构优化上。先进的云上 IT 治理框架有助于企业进行人才创新、加速变革以及提高组织协调性。可以为企业吸引、培养和留住有较高的专业能力、学习潜力且适应能力强的员工，也可以帮助企业实现组织角色变革，通过标准能力的建设，进一步提高员工的

29、工作效率和工作满意度；此外，当云上 IT 治理框架指导企业形成具体的落地规范后，可以帮助提升内外部（IT 与其他部门）的协调与合作，从而提升企业的整体效能；最后，作为18技术与业务策略之间的桥梁，先进的云上 IT 治理框架能够反向推动业务部门能够更好地接受技术变革，实现业务与技术的良性互动。事实上，先进的云上 IT 治理框架对组织的要求，可推动企业云卓越中心 CCoE 的形成，在企业中为其他团队提供云战略方面的指导、并为企业的云采用实现最佳实践。云卓越中心 CCoE 可由云架构师，工程师，安全分析人员，项目经理和其他在云技术方面具有专业知识的 IT 专业人员组成。在其带领下各 IT 团队或者云

30、团队对云的治理以及运营会保持安全和经济高效。三、运营针对云上 IT 治理框架的运营，首先是需要确保云产品以及云平台相关交付可满足企业业务需求，在无任何业务侵入性的情况下，使业务在云上进行高效运转。当企业以云的方式快速并规模化落地运营时，良好的云运营需要预测出问题的所在，并在问题导致企业业务中断之前修正。相较于传统的 IT 治理，先进的 IT治理框架可实现企业运营的可观测性、流程高效协作以及 ITIL 平台优化，可帮助企业从基础设施和应用程序数据中获得切实可行的洞察。先进的云上 IT 治理框架是确保高效的 IT 管理流程的基础，为云运营提供了便捷，为企业的运营自动化及智能化提供了可能。先进的体系

31、化的云平台通过高效的事件和问题管理，能够帮助企业快速恢复服务运营并将不良业务影响降至最低。随着用云进程的深入，可实现服务问题和应用程序运行状况的响应流程高度自动化，从而增加服务正常运行时间。此外，先进的云上 IT 治理框架可以帮助企业使用平台工程中包含的DevOps（DevSecOps）等能力建立 CI/CD 技术快速管理发布和回滚，建设敏捷的变更流程，实现与云的敏捷性保持一致的自动化审批（ITSM）工作流。同时，可以使用部署管理系统来跟踪并实施变更，通过频繁进行可逆的小规模变更可以提升迭代效率，缩小变更影响的范围。19先进的云上 IT 治理框架能够帮忙企业通过管理提效，从而实现执行层面的降本

32、增效。同时能够将企业运营的反馈更新到战略层面，形成新的优化目标，不断迭代，确保企业云上 IT 治理的时效性。四、安全合规不管是传统 IT 治理还是先进的云 IT 治理框架，都需要遵循企业安全以及合规的监管约束。先进的云上 IT治理框架，能够实现数据和云工作负载的机密性、完整性和可用性，帮助企业构建一个可见、可控、可追溯的安全的云环境。首先，先进的云上 IT 治理框架可以清晰定义责任范围、明确安全计划的目标和要求，同时适用于企业所处行业和其资产、安全风险和合规性要求，帮助企业确定工作的优先级。安全合规的监管也会对企业的 IT 治理进行有效的指导和建议，可以帮助加强 IT 团队间的协作，在安全合规

33、的前提下加速企业的云化转型。其次，先进的云上 IT 治理框架可以对企业的 IT 操作进行持续监控、评估和管理，提供坚实有力的安全保障，确保企业的安全和隐私管理不仅达到企业总部的要求，也符合国际标准或本地法律法规。这对于维护跨区企业和其服务的客户之间的信任关系至关重要，同时还可以减少企业管理上不必要的复杂性，加强企业管理的连续性和稳定性。207.跨国企业上云建议 基于上云洞察的一些基本考量点，我们对跨国企业客户进行市场调研，我们了解到跨国企业对于采用先进的云治理解决方案的需求强烈，主要原因如下：1.企业全球总部有实施 Landing Zone 的策略要求。2.基于数据资产安全合规要求（“三法”）

34、，亟需在本地进行云架构治理。3.随着企业深入用云，亟需规范化标准化的云架构。4.为应对市场竞争（如：市场上已有其他同类型客户采用了先进的云治理框架），采用 Landing Zone。跨国企业采用 Landing Zone 的主要原因示意图21从上图可直观看出，跨国企业选用 Landing Zone 的原因可以归纳为企业用云的成熟度（纵向线）以及用云以外的原因反推动对云的要求（横向的面），在这些原因的综合影响下，跨国企业会采用 Landing Zone（线和面的交叉点）。从这个面上看，跨国企业客户将面临来自内部（企业全球总部的要求）和外部（安全合规需求和应对市场竞争的要求）的挑战。而就纵向而言，

35、随着企业用云的深入，不可避免地需要采用阿里云 Landing Zone 来更好地管理云平台。事实上，跨国企业在经营过程中，核心关注点是如何在国内更好地提升运营效率和业务增长。企业在面对数据合规等监管要求时，相较于采用单纯的数据合规解决方案，更倾向于采用基于 Landing Zone 体系化的合规审计方案。除此之外，市场调研显示，采用阿里云服务的跨国企业大多对 Landing Zone 或多或少有了解，知晓 Landing Zone 具有上云规范的地基属性。这也成为企业采用 Landing Zone 的一个关键原因。综上所述，跨国企业采用 Landing Zone 已成为实现云战略以及实现业务下

36、一代增长曲线的首要策略。为了建立稳固的云基础设施，我们推荐以 Landing Zone 为基础全面设计并实现规范上云、体系用云、全面管云的价值。跨国企业为了成功的运营，还需要关注以下几项：投资人才资源，建立云卓越 CCoE 团队；深度融入当地文化和传统，并与当地政府和监管机构保持良好合作，在商业模式和云运营方式上进行适配与调整，使企业始终符合当地监管要求与法律；对当地市场和消费者进行全面了解和研究，以便确定合适的云产品和云服务组合；持续关注云技术和市场的发展趋势，确保企业的云产品服务始终处于前沿趋势；提高企业的云运营效率和灵活性，快速应对市场变化；22 建立强壮合作伙伴网络与本土企业（如云供应

37、商等）和渠道高效合作；238.在阿里云构建上云登陆区（Landing Zone）最佳实践 8.1.概述 如果将跨国企业上云比作建造一栋现代化的大楼，我们将如何去规划和设计地基（Landing Zone）？设计一栋稳固、安全、高效、美观、智能的大楼绝非易事，需要考虑到位置、基础设施、楼宇结构、功能分区、建筑外观、环保设计、室内设计、安全设计、成本造价、建造周期等因素，如果缺乏充分的调研以及合理的规划，最终的大楼可能只是砖块的简单堆砌，缺乏美感甚至有安全隐患。规划大楼的建造和设计云上治理方案类似。在阿里云，我们建议跨国企业在第一个应用上云前，需要有一套完整的顶层设计，为后续的业务上云扫清障碍。否则

38、，可能会导致后续业务上云面临成本、网络、安全、效率等多方面的问题。设计一个完善的企业 IT 治理方案需要充分的调研、合理的规划和设计。通常来说，很多大型跨国企业在阿里云规划整体治理方案的时候，其已经有着非常成熟的业务模型和治理规范，并不是一个从零到一的过程，所以我们在为客户设计的时候，需要结合多方面因素进行方案设计，最终形成一套既符合跨国企业整体规范和要求、又具有本地特色、且拥有领先性的治理框架：1、现有规范用户现有的治理规范是我们在设计云上框架时需要遵循的重要依据，比如：资源管理、资源命名、账户分配、权限管控、财资管理、网络连通、安全管控、日志监控、合规审计、CICD 规范等。同时，也需要结

39、合企业所处的治理阶段进行设计，在客户的云资源规模比较小的时候，控制台操作是一个不错的选择；但当24云资源达到较大规模如成百上千台服务器甚至更多的时候，控制台手工操作变成一件几乎不可能完成的事情，自动化运维变成了推荐的选择。2、业务特征所谓“隔行如隔山”，不同行业的特征有着明显不同，这也导致不同行业的治理规范也有显著的不同，就像建造商场和学校，虽然同为建筑但却需要遵循不同的设计规范。在设计整体的云上框架的时候，需要充分考虑客户的行业特征，比如金融行业更加关注合规安全、互联网行业更加注重性能效率，所以需要结合具体需求进行针对性的方案设计。3、法律法规跨国公司在当地开展业务的时候，需要对当地的法律法

40、规有全面的了解，并严格遵循所有相关规定。不同的国家和地区对于维护数据合规性和隐私安全有着不同的要求，例如欧洲的 GDPR、美国的 CCPA、中国的等保合规等。随着中国对数据安全和隐私合规要求的不断提高，近年来也颁布了一系列法律法规，如网络安全法、数据安全法、个人信息保护法。数据安全是企业的生存之本，遵循法律法规也是我们在设计云上框架的首要指导原则。4、最佳实践阿里云经过和客户的长期的合作，并通过了持续的迭代和优化，积累了丰富的最佳实践，这些最佳实践涵盖：安全性、可扩展性、可用性、可控性、可靠性、灵活性、效率等范畴，同行业的客户在业务模型和技术架构上存在诸多相似性，可以作为跨国企业在规划云上治理

41、框架的重要参考。255、三方应用一些跨国企业在海外的治理框架和具体方案中会引入一些第三方的应用，这样的组合方案在很多海外区域运行良好，但是在国内可能会面临着一定程度的“水土不服”困境，常见的问题有：部分海外应用在国内本地化不足、功能上有缺失、存在合规风险：管控平台部署在海外，有数据出境的可能。规划云上治理框架的时候，需要提前知悉此方面的风险，如果可能，可以考虑做相应的方案调整，用本地化或者云原生的方案予以替代。基于上述关注点，Landing Zone 将企业云上 IT 治理框架分为八个模块，并通过这八个模块实现客户的云上治理：Landing Zone 框架示意图 26Landing Zone

42、八个模块介绍模块描述资源管理根据公司的运维模式，规划云上账号及其组织结构，定义所需要的管控关系。财务管理明确云资源使用情况以及费用情况，优化云资源成本，降低不必要的支出，更快地识别成本差异和异常情况。明确与云相关的财务角色和责任，并确保企业内部各部门对云成本的分配达成共识。网络规划设计云上的网络架构，包括 VPC 拓扑结构、混合云网络集成、网络流量管理和网络安全，以及确保构建稳健可靠的可伸缩的网络架构。身份权限通过确保用户账号与实际权限之间的分离，可以分割风险和安全问题，保障最低权限制度，避免信息滥用和泄露。使用最低权限原则，设置权限边界，并使用服务控制策略，以便随着环境发展和用户群的扩大，正

43、确的实体能够访问正确的资源。安全防护通过云服务安全合规基线管理、云服务治理，满足企业合规性要求，降低组织风险，并根据不断变化的风险和要求不断地更新。27合规审计主动管理云平台与监管和治理要求的合规性的服务，对治理的目标和流程进行审计以达到监管的要求。运维管理确保所有的日志被集成整合在单一的工具中，以进行更为有效的分析。与此同时，构建以 CMDB 为核心的运维管理体系，包含标准的发布变更流程，应用和基础设施的统一监控，集成企业的 ITSM 系统，提供自助服务。自动化实现云资源使用和调配的自动化，改善客户服务体验、解放员工生产力和提高决策正确率等，最终达到提高运营效率，降低运营成本并改善员工和客户

44、体验等结果。8.2.资源管理 一、概述资源管理指对云资源进行全面、有效、安全、可控地管理和利用的过程，是跨国企业上云过程中首先需要考虑的问题，这里提到的资源主要包括账号资源（Accounts）以及云资源（Resources），资源管理主要探讨结构性的账户体系来应对业务的持续发展，保障资源的有效隔离又不影响运维效率，同时要兼顾资源的统一管理。随着企业上云业务的增多和规模的增大，业务之间的复杂度明显提升，对于云资源的管理提出了巨大的挑战，这也要求企业在上云初期要做好提前规划。二、挑战28相较而言，跨国企业对于资源管理有着更为严格的规范，在保证云资源高效使用的同时，又需要满足严格的规范性，为之后管理

45、更大规模的云资源奠定基础。目前我们观察到跨国企业在管理资源方面可能面临着如下的挑战：所有资源部署在一个账号下，隔离管控不彻底。云资源缺乏统一的命名规范，后期管理成本高。缺乏合理的标签对资源进行分类。基于此，我们建议上云之初就规划采用多账号、结构化的资源（账号）管理架构，通过合理的组织结构和规则配置，以满足业务日后扩展的需求，多账号体系具备以下优势：账号间的天然隔离性，多个账号实现企业不同业务或应用间的相互独立。对于业务复杂的大型企业，多账号可以解决多法律实体、差异化结算关系等业务诉求。多个账号可以突破单账号下云资源服务配额限制等约束。三、解决方案我们将通过以下的资源管理设计帮助跨国企业进行合理

46、的资源管控。1.企业多账号结构设计29多账号结构规划 结合跨国企业的账号规范以及资源管控隔离的需求，我们通常建议设置一个主账号（MA:Master Account）作为支付账号，同时也是账号结构中的根账号，该账号下不放置具体的云资源，在该账号的根资源夹下创建两个资源夹：Core、Applications，用以管理成员账号。o 在 Core 资源夹中放置共享资源的账号：用于集中横向管理类服务的部署，例如网络账号、日志账号、安全账号等。o 在 Applications 资源夹中放置具体的应用：应用账号可以结合跨国企业的实际需要按照多个维度进行设计，如：环境（开发、测试、生产）、成本中心、应用、业务

47、线、部门等。使用资源夹作为日后管控策略和基线实施单元。企业管理账号为资源目录的超级管理员，建议不要将其用于资源目录管理之外的其他任何用途。妥善管理此账号，并设置 MFA 双重验证，加强安全访问管理措施。建议通过角色扮演的方式访问成员账号。2.使用标签进行资源分类30标签是对资产进行分类的简便方法。标签将元数据关联到资产，该元数据可用于基于各种数据点对资产进行分类。当使用标签对资产进行分类作为成本管理工作的一部分时，企业通常需要以下标签：业务线、部门、成本中心、地理位置、环境、项目、应用等。阿里云费用中心的“分账账单”可以使用这些标记创建成本数据的不同视图。提前定义标签的目录和取值范围。绑定标签

48、的背后是一个流程，因此提前设计好如何绑定标签非常重要。明确标签的使用场景。我们建议使用标签用于包括但不限于如下场景：o 使用标签描述应用：一般情况下，组织可根据日常管理层级构建资源归属的标签组合。组合形式一般不建议超过 3 个标签。例如，某跨国企业为了能够快速找到对应资源，设计如下标签：project：描述资源项目归属。env：描述资源环境信息。user：描述资源持有者信息。o 使用标签进行分账：阿里云费用中心的分账账单支持按标签细分阿里云成本的功能。最常见的情况，客户可以使用成本中心（cost center）、业务单元（business unit）或者项目组（project）将成本与业务部门

49、进行关联。在分账账单中，费用报告可以以任何标签维度归纳账单。因此，客户也可以轻松地将成本与技术或安全性维度作为分账维度，例如特定应用（application）、环境（env）等。o 自动化运维和监控：自动化运维/自动化开通是在日常业务中比较常见的场景。技术人员往往通过一类标签来定义批量运维、检测的策略。建立标签的巡检机制，及时发现没有绑定标签的云产品并评估影响和制定应对策略。313.云资源统一命名规范云资源建议遵循统一的命名规范，后期在运维阶段，可以通过资源名称快速定位到该资源的所有者及其关键信息，云资源的命名规范我们建议遵循以下原则：使用描述性和有意义的名称：使用能清楚表明资源用途和功能的名

50、称，为了避免名称过长，建议使用无歧义的缩写。保持一致性：确保在所有资源的命名规范中保持一致性。避免使用特殊字符：避免在资源名称中使用逗号、点或空格等特殊字符。使用分层命名结构：使用分层命名结构，帮助您将资源组织成逻辑组。例如，您可以使用包含环境、应用和资源类别的命名规范。通常建议命名规范中不应超过五个字段。四、方案价值 管控隔离：企业将云上资源按照账号维度进行有效的管控隔离，一定程度上防止因过度授权引发的业务隐患。独立结算：可以实现各业务账号的独立结算，突破单账号资源配额的限制。运维提效：通过标签以及统一的命名规范，运维团队可以更加规范和敏捷地管理云资源，提升运维效率和规范性。8.3.财务管理

51、 一、概述财务管理主要指企业在用云过程中的账单、资金、费用、发票等财资票税方面的管理；云上的财务管理规范的设计需要考虑到财务管理的核心目标，即确保企业财务的合法、规范、透明和精准，同时提高财务管理的效率和便捷性，对于跨国企业，除了上述的关注点外，财务处理的自动化和智能化也是其重点关注的32内容，阿里云提供了丰富的财务功能来满足企业复杂的财务管理需求，企业可以根据实际的业务要求选择最合适的财资管理方式。二、挑战通常而言，跨国企业有着完善的财务结算体系以及在其他云上的财务实践，所以阿里云上的财务管理方案需要适配企业已有的财务管理体系，在设计财务管理方案之初，跨国企业可能会面临如下的挑战：如何在阿里

52、云上统一管理账单、信控、合同、付款、发票？如何根据团队、部门、成本中心、项目等维度进行快速的账单拆分？如何有效集中监控成本和支出？三、解决方案针对以上的挑战，结合跨国企业财务组织结构、商务优惠、结算模式、成本监控等因素进行考量。我们设计如下：1.企业财务组织结构企业财务组织结构，通常代表一家企业的成本管理结构。这个结构是多层级的，包括财务管理部门、业务部门和云资源。财务管理部门负责评估和管理云业务预算，为业务部门的云上费用做统一结算，持续跟踪和分析消费账单。财务管理部门的职责通过财务管理部门账号来承载。业务部门负责在预算范围内开通和管理云资源。每个业务部门开通独立的云账号。云资源由业务部门开通

53、和管理，归属于相应的业务部门账号下。33使用企业财务服务提供的关联账号能力，将组织多层级结构搭建起来。在这种结构下，财务人员能清晰完整地了解整个企业的云上成本，便于进行消费预测和成本优化。业务部门的技术人员在预算范围内可以灵活地按需实时开通云资源，省去传统企业繁琐的资源申请流程，提升了工作效率。各企业的内部组织结构虽然不尽相同，但业务部门可以同时是项目或小组等成本管理的单元，可以按照自己的组织模式映射成上述结构。设计建议 财务人员需要与业务部门加强沟通，及时收集业务部门的资源采购计划，定期向业务部门同步成本分摊信息。财务人员需要持续关注费用趋势。财务人员设计标签分类，建议技术人员在开通云资源时

54、绑定对应标签，便于基于标签做细粒度的分账。技术人员按需开通资源，在预算范围内优化资源结构。2.财务管理模式34企业在建立账号关联时，客户可以根据企业自身的管理需要，选择如下业务模式之一：【财务管理】、【财务托管】。财务托管主账号、子账号都是官网的普通账号，有完整的财务属性。在该业务模式下，子账号将自己的资金、发票、账单财务权限赋予给主账号，统一由主账号进行子账号的代付、开票、账单结算等业务管理，这也是跨国企业在广泛使用的一种财资管理模式。财务管理主账号、子账号都是官网的普通账号，有完整的财务属性。主子账号之间建立关联后，通过授权关系进行业务管理。在日常业务过程中，主子账号分别管理自己的资金信控

55、、优惠合同、账单发票等。当进行授权后，被授权一方可以管理另一方被授权的业务。如：子账号授权主账号查看账单，则被授权的主账号可以查看子账号的账单。353.商务优惠商务优惠，指企业购买使用云服务的资费与优惠，包括与阿里云签订的商务合同条款中约定的框架折扣。企业可以采用财务托管的模式，从而将主账号（如财务部门管理账号）设置为折扣生效的目标账号。这么做的优势体现在：关联账号的开通和云资源的使用，计费出账时可以享受到主账号的折扣优惠。4.成本监控 成本账单阿里云面向企业客户财务管理的成本监控诉求，提供成本账单功能：企业可以用来观察每月的成本；可以基于实例、基于产品来看费用的分摊情况。对于预付费的消费而言

56、，也可以把消费费用分摊到每个月。并且，财务管理与托管的主账号可显示全部关联账户的所有分摊数据。费用分析另外，阿里云费用分析功能还可帮助企业更好地管理云服务资源的消费情况。使用费用分析功能，可以多维度查看资源成本的趋势（最大支持 12 个月）、查看全面的成本组成结构、进行未来成本的预测等，并可将一组筛选条件保存为报告，快捷查看。四、方案价值统一管控：企业财务部门可以实现统一的财资管理：账单、信控、合同、付款、发票集中管控。快速分账：企业财务部门可以根据不同维度实现快速分账，如成本中心、团队、BU、项目等。成本分析：结合多账号体系，各账号的开销一目了然，有助于各业务部门的成本分析和管理。8.4.网

57、络规划 一、概述36企业在上云之前，IT 资源部署在私有数据中心，不同的服务器之间使用二层、三层交换机，路由器，防火墙等网络设备相互连接起来，通过路由协议，访问控制条目，防火墙策略等将企业不同部门、业务、资源隔离并进行安全管控。近些年随着公有云的迅速发展，企业在规划云上治理框架的时候，如何合理规划网络架构成为企业需要直面的问题，健壮的网络架构要能够支撑企业存量业务，同时能够具备高可靠性和可扩展性，以保证业务的稳定和未来的系统扩容和升级。二、挑战相较而言，跨国企业拥有较大的 IT 资产规模，并且需要遵循严格的行业规范，所以对于网络的规划设计、部署使用、运维管理都有较高的要求，并且还可能面临各种各

58、样的特殊业务场景，仅仅具备云产品的初级使用能力已不能满足实际使用需求。所以网络规划模块重点是帮助企业高效设计云上网络环境，解决云上云下网络互通、云上企业内部网络互通等场景下的问题。具体方案设计，应结合企业自身的业务需求出发，当前总结的业务场景需求如下：37 云上网络分区场景：按照使用习惯和业务访问关系，可以分为业务生产区、互联网出口区、开发测试区、东西向安全过滤区、运维管理区、内联网区、外联网区等。每个分区内又可能分多个小的分区，用来承载不同的子业务模块。业务系统之间需要隔离，但又有部分的数据调用需求。企业内网安全场景：一个规范的网络架构设计是业务安全的基础。企业内网通常存在东西向、南北向、混

59、合云等多种流量，内网安全需要满足跨国企业安全合规的规范同时，也要支持跨国企业的业务可持续发展。总部-分支全球组网场景：跨国企业有总部和数目众多的全球分支结构、线下机房之间以及和云上有内网互通需求，当业务逐步上云后，会涉及到线下分支既需要和线下总部互通，也需要和云上互通。网络运维监控场景：跨国企业 IT 部门需要对云上内网流量、公网流量以及混合云流量进行统一监控，在做好网络运营维护的同时，及时隔离潜在的安全风险，合理规范地使用云资源。三、解决方案1.云上网络分区场景 企业业务系统部署在云上，需要考虑业务系统之间的调用和访问关系，需要关注路由边界，关注未来的规模扩展，实现合理的分区设计、简单的运维

60、管理、灵活的弹性扩展。满足业务规模化发展需求，合理划分 VPC 和 vSW，DMZ、生产、开发测试、运维管理等独立 VPC 部署；满足可靠稳定性，建议重要业务系统跨可用区部署；满足业务之间的高效调用和交互，关联业务尽可能部署同Region。38 企业客户统一由云 IT 团队管理公网资源和开通权限，禁止业务部门私自开通公网类型实例。客户需要通过安全合规的网络架构最大化保护企业内部服务，防止潜在的安全威胁。统一管理公网类型产品预算，同时最大化复用公网带宽资源，降低 IT 成本。解决方案：39按照使用习惯和业务访问关系，可以分为业务生产区、互联网出口区、开发测试区、东西向安全区、运维管理区、内联网区

61、、外联网区等。每个分区可以由一个独立的 VPC 承载，VPC 内按照部署的业务模块选择创建不同的 vSW（子网），不同业务系统之间的互通即不同 VPC 之间的路由打通，可以使用云企业网CEN 快速打通，同时可以按需进行路由表隔离、路由过滤、路由策略设置等，来满足企业用户的个性化需求。针对需要被外部访问的应用设置 Public VPC 和 Private VPC，其中 Public VPC 开通 IPv4 网关和公网 ALB/NLB 实例，Private VPC 禁止开通 IPv4 网关和公网实例。针对主动访问 Internet 的场景，设置 DMZ VPC 作为统一的流量出口，通过 NAT 网

62、关、IPv4 网关+EIP 实现云上流量的出向。通过 TR 连接访问所有 VPC，构建企业级云上组网。同地域的 EIP 加入同一个共享带宽包，提升带宽峰值的同时提高带宽复用比。2.企业内网安全场景实现企业内网东西向和南北向流量统一管控，借助云原生或第三方防火墙安全能力，降低企业内网东西向安全威胁，通过网络安全架构实现企业不同业务的隔离。通过管控南北向流量，降低企业外部安全威胁，防止遭受来自互联网的攻击、渗透、爬虫等，通过网络安全架构保护企业应用安全。40解决方案：使用 TR 多张路由表能力，支持建立可信流量（防火墙处理后）和不可信流量（防火墙处理前）等不同路由表隔离网络流量。设置安全 VPC，

63、使用云原生防火墙或第三方防火墙进行内网流量安全检测。IDC 上云/下云流量，跨地域流量同样也可以通过安全 VPC 内的防火墙进行安全处理。设置单独的 DMZ VPC，从网络规划层面隔离保护后端业务 VPC。配合互联网边界防火墙，在流量到达 DMZ VPC 之前进行安全检测和异常防护。3.总部-分支全球组网场景大型跨国企业，总部-分支采用三方 SDWAN 混合云组网，同时需要具备全球化跨 Region 组网的能力，构建真正的全球一张网。41解决方案：通过云企业网 CEN 构建一张高可用的全球企业私网，跨地域网络部分可根据业务流量模型选择按带宽/按流量的灵活计费方式，降低企业成本。凭借 TR 强大

64、的路由和组网能力，配合 SDWAN、VPN 网关、专线接入等多种方式构建云上、云下、跨地域等多个场景的全球一张网。SDWAN 镜像部署在 Hub VPC 的 ECS 上，与 Office/IDC 的硬件设备 IPsec 连接，通过 Connect-Attachment 能力接入云上转发路由器 TR，可以实现静态/BGP 主备、双活等多种接入模式。4.网络运维监控场景企业 IT 部门需要对云上内网流量、公网流量以及混合云流量进行统一监控。定期开展网络健康度分析，关注日常网络资源水位，对于异常流量进行及时的预警和排查。减少网络使用复杂性，提供自助运维能力，方便网络架构师和运维工程师更快捷的设计、规

65、划和使用网络。4243解决方案：使用网络智能服务（NIS）产品作为统一的监控平台，结合 VPC 流日志（Flowlog）功能进行实例诊断、路径分析和流量分析等，具体功能如下：智能检测o 状态检测：全面监测网元实例运行状态和路径连通性，智能匹配异常特征及时预警。o 快速排障：智能提醒故障原因，一键恢复或给出解决步骤，用户可以自助解决常见问题。流量分析o 源站选址：根据性能大盘数据选择业务部署最优可用区。o 可多维度分析流量，如公网/跨域/专线的 TOP 流量发现和应用流量分析。智能拓扑o 智能发现云上网络连接，智能绘制组网架构，所有云上资源连接关系清晰可视。44o 一键生成资源连通性情况，快速验

66、证网络配置。o 关联资源水位等关键运维信息，云网络运行情况一目了然。四、方案价值结合跨国企业的实际业务需求以及合理的网络规划设计，可以实现对网络访问的安全隔离和有效管控，保障 IT 架构合规性和企业数据安全性。与此同时，可以实现 IT 成本最大化利用。针对多种场景云上云下网络互通，可以做到中心化的统一运维管理。8.5.身份权限 一、概述：身份管理和访问控制是 Landing Zone 的基础模块之一。在跨国企业上云之初，企业需要考虑如何设计和落地身份管理和访问控制方案。这样做的好处是：确保对云资源的任何访问都使用适当的身份，且每个身份拥有“最小够用”（既不过大，也不过小）的权限。确保从不同网络

67、环境、设备、地理位置发起的对云资源的访问都是安全的。当身份、权限发生变化（如新增用户，用户职责发生变化，员工离职、转岗等）时，可以做到持续管理，降低配置难度和管理成本，避免信息泄漏、误操作等风险。在阿里云，我们使用访问控制（RAM），CloudSSO 等产品和服务来实现身份管理与访问控制的能力。二、挑战：1.跨国企业大多采用多云战略，云资源分布在多个厂商，导致本身的身份权限体系存在混乱的情况，不同云厂商对用户和标签或有不同的命名规则，给身份管理造成困难，需要整合统一，纳入统一登录的流程。452.跨国企业大多拥有较大的规模，在国际化拓展的过程中，用户数快速增长，用户维度扩大。同时人员流动（离职、

68、转岗等），账号和权限变更需求多，有账号泄密风险。3.跨国企业三方合作多，需要对第三方外部人员，针对其所需权限，进行身份管理，需要坚持最小权限准则，搭配严格的认证技术，支持企业与三方高效合作且保障信息安全。三、解决方案场景 1：企业多云账号集成1.SCIM 集成 遵照跨国企业现有的身份管理做 SSO 集成，将其他云服务中正在使用的用户或用户组同步到云SSO。通过 SCIM 协议，将 AD 中的用户或用户组同步到云 SSO。假设企业在本地 IdP Okta 中有大量用户，且已在阿里云资源目录（Resource Directory）中搭建了多账号体系结构。企业希望经过配置，将 Okta 的用户同步到

69、云 SSO，然后使用用户名和密码或通过单点登录（SSO 登录）的方式直接访问资源目录指定成员账号中的指定资源。可以先配置 SSO 登录，然后使用同一个应用程序 CloudSSODemo 通过 SCIM 同步用户或用户组。2.单点登录云 SSO 支持基于 SAML 2.0 的单点登录（SSO 登录）。阿里云是服务提供商（SP），而企业自有的身份管理系统则是身份提供商（IdP）。通过 SSO 登录，企业员工可以使用 IdP 中的用户身份直接登录云 SSO。云 SSO 可以一次性配置企业身份管理系统与阿里云的 SSO 登录。场景 2：企业云资源账号或人员发生变化461.企业云资源账号发生变化在企业新

70、增或移除阿里云账号时，需要相应进行 SSO 配置修改，包括如下：根据 IdP 的 SAML 属性配置方式不同，可能需要进行配置修改，或重新分配用户与用户组。在新增账号中配置身份提供商。在移除账号中删除身份提供商。2.企业云资源访问人员发生变化解决方案：当企业发生访问云资源的人员配置变化（新增用户，删除用户，变更用户权限）时，通常不需要进行 SSO 配置修改，只需要对用户和用户组进行操作，包括如下：新增用户时，应在 IdP 中将其加入到已经配置了 SSO 访问的用户组。删除用户时，直接删除即可，IdP 通常会自动移除其访问权限。用户权限发生修改时，应修改其用户组配置。场景 3：企业人员通过外部身

71、份系统登录阿里云管理云资源解决方案：针对超级管理员、企业员工和需要长期使用企业云资源的企业人员，应使用企业自有的身份系统，以外部身份凭证登录阿里云。阿里云提供基于 SAML 2.0 协议的 SSO 能力，以满足企业使用外部身份凭证登录阿里云的需求。根据登录后转换成的云平台身份不同，SSO 又可以分为用户 SSO 和角色 SSO 两种。我们建议企业客户使用角色 SSO，并将企业 IdP 中的用户组映射到阿里云 RAM 角色，从而实现对企业内外部员工的有效管理。47并且，当客户请求到达阿里云时，阿里云将评估当前访问的请求特征、身份特征、资源特征，并与身份所配置的权限进行匹配，从而完成鉴权。每个云产

72、品有对应的支持的身份和访问控制粒度。针对大部分人员用户来说，可以根据其职责进行较粗粒度的权限划分即可。四、方案价值1.实现多云账号集成，多云资源管理。2.企业员工可以使用与企业中相同的用户名和密码登录企业自身应用和云平台。483.当员工转岗、离职时，跨国企业只需要在本地进行转移组、删除等操作，即可解除其在云上的权限，不会造成信息泄露。4.高效的身份权限配置以及管理，提高跨国企业身份权限管理效率。8.6.安全防护 一、概述安全是企业的生命线，随着网络攻击愈发多样性以及攻击成本越来越低，企业在上云之初需要规划出健壮的安全防护架构，这也是跨国企业在上云之初最为关注的模块之一，安全防护需要重点关注，原

73、因是：安全架构和网络以及业务构建相辅相成，增加一项安全防护能力有时候需要改变网络架构、业务架构等，可能会影响业务 避免亡羊补牢，安全若没有在业务上线前做好整体设计，那就只能是哪里出问题补哪里，没有办法体系化的设计和部署安全；提前预防风险，尽早做安全规划能够在业务上线前识别架构的风险，是否存在暴露面；充分考虑合规因素，跨国企业应该考虑好业务在国内运行需要满足的合规要求，如等级保护要求、个人隐私数据保护要求、企业重要数据的保护要求。二、挑战 AK 特权泄露云上的 AK 存在较高的权限，利用获取到的 AK 可以进行这个 AK 拥有权限内的各种操作，导致入侵和数据泄露的风险。默认配置风险49企业上云之

74、后采用了大量的云产品，这些云产品默认配置会有风险，例如采用对象存储用户配置之后可以进行 Public 的访问，可导致数据、代码等被直接访问。云资产暴露面多企业上云后资产变得分散，暴露方式，攻击入口变多，管理成本变高，需要不断维护和更新资产的基本信息以及脆弱性，降低安全风险。应对网络攻击云上存在大量网络攻击，包括 Web 攻击、DDoS 攻击、勒索病毒、挖矿木马等，这些攻击在云端非常严重。尤其是在云端资产暴露面多的情况下，攻击成本正在逐步降低，给企业带来越来越大的威胁。云端数据安全o 如何安全地将核心敏感数据上云，如何保障云端数据的安全，如何进行敏感数据的识别和管理，以及如何防止数据泄露，这些都

75、是企业需要考虑的问题。o 合规层面，国内相继出台数据安全相关法规，包含重要敏感数据的安全管控和敏感数据出境的管理要求，企业该如何应对。多账号体系的安全运营跨国企业在云端以多账号的架构建立业务体系，多账号的安全如何统一管控和运营，是企业降低安全投入和提升工作效率的关键点。三、解决方案场景 1：云上多账号网络边界安全防护50云上网络边界分为互联网边界和 VPC 边界，基于 Landing Zone 的体系构建业务后，还需要考虑多账号下的网络边界防护，所以考虑云上网络边界防护时需要充分考量多账号的统一管理能力、安全防护的高可靠性，以及部署实施的成本及难易程度。在云端首先根据网络的规划可以划分为互联网

76、边界防护和内网东西向防护两大部分。通常情况下在互联网边界防护场景中，企业要考虑增加防火墙、WAF、抗 DDoS 服务等安全控制措施，在内网东西向场景中，企业要考虑安全组配置、VPC 隔离、跨账号的 VPC 安全防护等安全控制措施。解决方案：在一些跨国企业最佳实践方案中，为了满足业务要求，企业按照业务部门划分阿里云账号，流量从各个账号的负载均衡和动态公网 IP 进入，同时建立出向统一 DMZ，也设计了多账号基于一个云企业网 CEN 互联的内网场景。在该案例中，客户利用云防火墙的多账号管理能力，通过一套防火墙实现多个账号边界负载均衡和动态 IP 的统一防护，基于 DMZ-VPC 创建出方向的安全访

77、问控制策略，解决互联网侧的安全防护。通过和云企业网 CEN 的互联，实现基于同一个云企业网 CEN 的跨账号 VPC 间流量安全检测和防护，解决东西向内网防护场景。同时利用云防火墙 SaaS 化的形态和高可用设计，简化在云端构建传统防火墙遇到的高可用、延迟、部署成本和管理成本的问题。场景 2：云平台配置风险检测和管理企业资产已从传统 IDC 的实体资产转变为无形的虚拟资产，包括 EIP、NAT 网关、API、容器等，这些资产在企业云上得到管理。这些资产提供更精细的功能和便利，但也更容易被访问和识别，从而使企业在外部面临更大的暴露风险。一旦资产存在暴露面，就有利于黑客入侵系统，回顾以往的安全事件

78、，往往是因为一个简单的配置导致了黑客入侵，比如 RAM 账号未开启多因素认证 MFA 导致账号被盗；将重要业务的 SSH 端口开放到公网且未设定白名单被暴力破解；Web 业务系统因使用存在已知漏洞的中间件被黑客入侵拖库等。51解决方案：在一些跨国企业的安全管理规范中，通常会依据企业自身要求和合规要求如 NIST、CIS 等梳理符合自身要求的安全基线，这些安全基线包含了云上如何安全地配置、使用云产品，需要在云上通过工具自动化检查这些安全基线并输出检测结果，以便让安全管理者了解云产品的配置、使用层面是否存在安全风险，并进行处置。企业可以基于云安全中心的云平台配置检测能力对 CIS、安全最佳实践进行

79、自动化检测。场景 3：多账号安全运营跨国企业会基于多账号体系来构建自己的安全运营体系，包括多账号的主机资产防护、多账号的边界防护和多账号的安全事件统一运营。解决方案：在一些跨国企业中，会建立中心账号用户集中汇集多账号下的安全告警事件，并进行集中分析和响应处置。1.通过云安全中心开通多账号管理功能，通过数据同步监控每个账号的安全评分，直观了解到每个账号下的安全态势。2.通过安全告警的集中接入能力，将每个云账号下的安全类日志、云资产日志集中的采集到中心账号的云安全中心里，并在中心账号内进行多数据源的安全事件关联分析，形成统一的告警。3.可基于云安全中心的云产品联动能力，将安全事件进行处置闭环，如联

80、动云防火墙、WAF 进行一键封禁，联动防病毒进行全盘检测和隔离等。通过上述方案，建立中心安全账号，基于云安全中心实现多账号的安全运营和管理。场景 4：在云端建设数据安全能力52云上数据安全参考数据安全成熟度模型，提炼出在云上构建数据安全的基础能力和场景。解决方案：云端建设数据安全能力总体分为以下几个重要阶段：1.制定数据分类分级：对海量的企业全域数据资产进行识别与分类，有效定位企业关键以及敏感类信息在企业数据资产中的分布和流转情况，并通过定级有针对性地进行保护。2.实施静态数据防护：包括实施数据加密，对加密密钥进行密钥管理，并对核心敏感数据进行脱敏例如定期从生产环境向开发测试环境脱敏等。3.实

81、施动态数据防护：数据传输过程中使用的网络通道不同，保护方式也会不同。对于客户端通过互联网发起的访问，一般建议企业使用 SSL/TLS 证书来加密传输通道，防止发生中间人攻击窃取传输过程中的重要数据。4.构建数据访问安全：企业应利用私有网络和私有访问形式对核心敏感数据进行访问，如基于 SASE 的访问方式，同时要对访问者身份进行鉴权，行为进行审计。5.实施数据安全审计：信息安全等级保护2.0 针对数据安全提出了“安全审计”和“个人信息保护”的相关要求。企业应为数据的访问行为建立安全审计，在发生潜在数据风险，例如异常时间或地点访问时，及时预警并提供针对性的溯源能力。下面的示意图展示了构建云端整体数

82、据安全能力的过程。53四、方案价值体系化的构建云安全框架从风险发现、管理到构建纵深的安全体系，再到云上数据安全生命周期管控，以及多账号的统一管理，能够体系化地帮助跨国企业在云端管控安全风险，有效帮助企业 CIO、CSO 识别云威胁，降低云风险，提升效率，同时也可以让企业在云上构建业务更简单、更方便、更安全、更合规，让企业更好地经营。8.7.合规审计 一、概述：合规审计是指对企业的信息技术系统、数据安全和隐私保护等方面进行定期检查和审计，以确保企业在法律法规、行业标准和内部规章制度等方面的合规性。合规审计内容通常包括企业的网络安全、数据备份和恢复、身份认证、访问控制、数据隐私保护、合规性报告等方

83、面，合规审计也是跨国企业最为关注的模块之一，完善的合规审计方案可以帮助企业发现潜在的安全漏洞和风险点，及时采取措施解决问题，防范和54减少信息安全事件的发生，提高企业的安全性和可靠性。同时，合规审计也是企业向监管机构和客户证明自身合规性的重要手段，可以增强企业的信誉度和竞争力。合规审计模块致力于构建一个可见、可控、可追溯的安全运维环境：可见：可见的才是可控的，企业首先要确保能看到 IT 资源清单、IT 资源状态、IT 资源的详细配置、IT 资源拓扑关系，以及实时的运维动作及资源变更。可控：在企业的运维团队管控云上 IT 资源的整个过程中，在合适的环节设置卡点。阻止红线行为的发生，及时发现并修复

84、非法配置。可追溯：记录云上管控的整个过程并长期留存，这对于故障排查和历史问题回溯有必不可少的作用。也让企业能够基于历史不断完善和优化运维框架。二、挑战：复杂的合规法规：在云上合规审计治理的过程中，企业需要遵守众多的法规和标准，如 GDPR、HIPAA、PIPL、SOC2 等等，这些法规和标准可能在不同的地区和行业有所不同，因此，企业需要花费大量的时间和精力来理解和遵守这些法规和标准。大规模云资源管理：云计算环境的规模往往是庞大的，涉及到许多不同类型的资源，如虚拟机、容器、存储等，这些资源的数量和状态都可能发生变化，企业需要实时监控这些资源的使用情况，以确保它们符合合规要求。多方参与的治理：在云

85、上合规审计治理的过程中，往往涉及到多方参与，包括云服务提供商、内部 IT团队、审计团队等，不同的团队之间需要进行有效的沟通和协作，以确保合规要求得到满足。此外，企业还需要与第三方审计机构合作，进行审计和验证，以确保合规要求得到满足。跨国企业全球总部55的内部合规要求严格，需要构建相应的安全控制措施以满足合规的检测要求，在符合中国法律法规的同时，满足企业全球总部保持标准化统一管理需求。三、解决方案场景 1：等保合规针对跨国企业的入华场景，跨国企业因企业性质和业务特性，在国内开展业务时往往会优先考虑安全合规带来的影响。在中国，跨国企业最需要关注的是网络安全法、数据安全法、个人信息保护法、网络安全等

86、级保护制度、个人信息出境评估办法等法规要求。这些客户首先要满足的是等保合规要求，根据对业务系统的定级备案，每年完成系统测评和安全控制措施的建设。其次对跨国企业影响最大的是数据安全相关的法规和管理规范。如个人信息保护法、数据安全法中提到的个人隐私数据 PII 信息，以及个人信息出境评估办法中要求有跨境数据传输的企业要进行出境自评估等。解决方案：大部分跨国企业客户会选择阿里云的云安全产品来满足等级保护中对于各个维度的安全要求，因为阿里云的安全产品能分类支持客户更高级别的等保要求，其次跨国企业会根据数据安全相关要求对其业务进行自评估，如通过数据安全中心的敏感数据扫描工具识别存在在云端的个人敏感信息，

87、并结合业务情况评估这些敏感信息的流向是否涉及数据出境，通过数据脱敏和数据加密对敏感数据进行去标识化或匿名化，从而满足数据合规的要求。场景 2：多账号操作日志统一归集与审计根据中国网安法和等保 2.0 要求，企业必须留存 180 天及以上的 IT 系统运维访问日志。日常的故障排查、自动运维、运维监控、安全洞察都必须依赖完整可靠的审计日志。客户侧集团信息安全团队需要进行统一的日志审计，具体要求如下：希望能够查看每个分公司内的账号操作日志。将云上的审计日志拉取到 IDC进行二次清洗分析。56解决方案：阿里云帮助企业在企业管理主账号中使用资源目录进行多账号管理，并进行操作审计配置，能够统一收集所有账号

88、的操作日志。操作审计支持投递日志到 SLS 及 OSS 进行存储，SLS 及 OSS 支持日志留存时间配置，满足外部审计及内部监管合规要求。操作审计支持事件查询及事件告警，便于查看用户操作时间线及监控云上异常和高危操作。在企业管理主账号中使用资源目录进行多账号管理，一次操作审计配置，全部成员账号生效。云上每个账号内的操作日志保留 180 天。启用强制日志投递。审计日志投递到 OSS 后，将离线日志拉取到自建 IDC 进行分析。场景 3：上云之初建立审计合规框架57面对中国的法律规定以及三方审计需求，跨国企业计划在上云之初启用完整的审计合规能力，确保具备强大的审计数据和合规能力解决后续运营问题。

89、解决方案：在上云之初开始记录云上 IT 的操作日志并长期留存。这些日志一方面可以满足三方审计的要求（留存 180 天及以上的审计日志），另一方面通过对历史日志的建模分析得到该企业的安全运维数据画像，该画像将有助于在后续运维中及时发现异常的来访 IP 和异常的管控动作，及时制止风险发生。企业持续记录云上资源的配置变更历史。即便是某些资源已经被释放，仍然能在数月后回溯当时保有的资源以及资源的详细配置，包括资源全生命周期的变更和标签信息。测试业务在云上运行一段时间后，在正式业务上云之前，建议企业先在云上实施了最基本的合规管控策略，让业务一开始就运行在一个可控环境下，如：o 除了指定的几个用户和角色，

90、禁止授予其他用户角色 Admin 权限。o 禁止授权中出现“*”。o 限定资源采购的地域、规格、数量。o 除了指定用户和角色，其他用户或角色禁止采购和释放资源。o 强制设定强密码策略。o 必须开启服务器、存储资源的删除保护功能。58四、方案价值：事前限制：禁止零容忍违规的发生，禁止修复成本极高的违规发生。事中发现和修复：在日常管控中需保留足够的灵活度，所以并不是所有事情都能一开始被拦截禁止，那就需要在灵活管控的过程中及时发现不合规问题并快速响应修复。事后审计记录：无论企业是否实现了事前限制和事中发现修复，事后审计都是最基本的手段，确保在问题暴露出来后有线索可排查和追溯。合规策略的核心价值是实现

91、长期的持续的风险控制，通过禁止违规操作、及时发现并修复非法配置来保证云上 IT 的配置始终符合运维团队的预期要求，避免 IT 配置失误造成的数据泄露或业务中断等。合规策略的制定需要充分考虑企业不同的发展阶段所面对的潜在风险，识别风险、量化风险、制定合规策略、建立流程确保合规策略的运转这对于企业在云上长期的安全稳定至关重要。8.8.运维管理 一、概述云上运维管理是指在云环境下对云服务器、应用程序、数据库等云资源的监控、维护和管理。它通过自动化和集中化的方式，提高了云资源的可用性和可靠性，减少了维护和管理的工作量。通过合理的云上运维管理，企业可以降低运维成本，提高运维效率，从而更好地实现业务发展的

92、目标。通常跨国企业有着比较完善的运维管理规范，在这个模块我们将探讨如何结合阿里云的产品和方案实现统一告警和日志分析，从59而保障业务的持续稳定运行。阿里云提供的监控和日志服务是实现这一目标的重要手段，结合阿里云的安全操作中心（SOC）进行日志记录和监控，进一步保障云上系统的安全性。同时，构建基于配置管理数据库 CMDB 为核心的运维管理体系也是跨国企业运营管理中的重要环节。这个管理体系包含了标准的发布变更流程，应用和基础设施的统一监控，集成企业的 ITSM 系统，提供自助服务，能够确保跨国企业中的云上系统管理和运维工作按照规范和标准进行，提升系统的可靠性和稳定性，简化运维管理流程，提高运维管理

93、效率。二、挑战：运维流程复杂：不同云平台具有不同的运维管理机制，资产管理困难，运维职责权限不明确，运维事件难以追溯。因此，企业内部的 IT 运维团队和安全合规团队承担了巨大的风险。缺乏了解：通常而言，跨国企业有着较为完善的运维管理流程，但在接触阿里云之初，缺乏对云产品的了解，使得短期内难以适应阿里云的运维流程。出错率高：在运维管控或安全监管不充分的场景下，容易出现错误操作、失误操作、遗漏操作等问题，导致业务中断或重要业务数据泄露。规模持续增长：随着企业的员工数量和云资源的数量不断增加，使得运维工作量持续变大，这也给日常的运维工作提出持续的挑战。三、解决方案 场景 1：多账号云产品日志及系统日志

94、统一投递方案跨国企业云上运维，需进行不同云账号内主机层面操作系统日志及云产品日志收集和投递，以便于进行后续的日志分析及运维的集中管理。此方案通过统一日志投递，方便用户在一个可自定义控制面板实现告警配置以及日志分析。60解决方案：采用资源目录管理多账号，实现多账号体系化管理。利用资源目录的委派管理员，支持云产品审计功能委派到日志账号。在日志账号中配置日志服务和云产品审计。在成员账号 A/B 中安装 Logtail 并完成配置，日志会自动上传到日志账号。在日志账号中进行日志查看，分析及配置告警规则。场景 2：多账号云资源统一监控高效监控云上资源的健康运行情况，成为跨国企业 IT 稳定性保障的运维关

95、键环节。本方案介绍如何使用云监控对阿里云多账号场景以及混合云多云场景下，进行统一的监控管理。61解决方案：1.多账号资源统一监控告警：云监控和资源目录（Resource Directory）产品已经做好集成。只需要在云监控中简单配置几步，就可以实现多账号资源的统一监控告警。2.多云混合云一体化监控：云监控支持报警系统集成上云和数据集成上云这两大场景。针对报警集成上云，云监控提供了报警 Webhook，可以方便地把线下的报警信息集成到云上。针对数据集成上云的场景，云监控通过 ArgusAgent 将线下的数据转换为 Promehteus 指标，集成到云监控中进行统一展示和统一报警。场景 3：配置

96、管理数据库 CMDB跨国企业已有自建的 CMDB，在跨境拓展过程中，希望提升 CMDB 能力，为运维自动化以及企业内部 IT治理提供有力的支撑。解决方案：62企业快速将阿里云资源集成到企业自建的 CMDB 中。配置审计目前支持 63 个云产品，146 个资源类型，覆盖了大部分被客户经常使用的云产品，同时基于资源元数据中心近实时的资源构建链路具备了资源快速发现的能力，保障资源接入的全面和实时性。对资源进行了统一的模型定义，客户可以使用统一的 API 或数据接入方式做到跨云产品、跨地域的快速接入，极大提升构建 CMDB 的效率。四、方案价值借助日志统一采集投递分析与告警功能，可以快速发现线上异常日

97、志。便于跨国企业进行集中高效的运维管理。基于多账号统一的云监控，可以有效缩短企业解决问题的平均时间，提升管理效率。跨国企业往往具有多云混合云的用云现状，采用多云混合云一体化监控，通过一套监控系统监管全局的用云情况，大大提升了运维的效率。63此外，CMDB 集成利用来自其他数据源的信息，了解应用和其他组件之间的依存关系，了解变更造成的影响并帮助诊断问题，高效管控不断变化的 IT 基础架构与 IT 服务。CMDB 信息整合、关系映射、流程支持的作用，配合统一的日志管理系统，可以帮助跨国企业实现运维效率的显著提升。8.9.自动化 一、概述自动化部分主要指企业客户如何通过自动化的方式快速搭建云上的基础

98、设施，包括账号的创建、基线的设定、基础源资源的创建和配置等。随着技术的进步和工具链的持续迭代，自动化也由传统的自动化阶段过渡到云原生自动化阶段。自动化部分是跨国企业较为关注的一个模块，它可以帮助企业实现更高效、更可靠和更灵活的业务运营。优势主要体现在：提高生产力和效率、一定程度上降低成本、提高质量和准确性、更好的可扩展性及灵活性、提高安全性等。当确认了云上治理框架后，接下来就需要在阿里云上部署这一套框架，实施的方案有多种，考虑到跨国企业可能在其他云供应商上已经有了自动化的实践，且希望通过同一套自动化方案来管理多个云厂商的资源，所以这里，我们以较为常用的 Terraform 为例，结合开源的 C

99、I/CD 流水线工具 Jenkins，提供了一个包含基础设施构建（多账号体系搭建、网络规划、访问控制、安全合规），以及账号工厂（新账号初始化）的云资源的搭建过程，为用户的云上自动化管理提供指导。IaC（Infrastructure as Code,基础设施即代码）是使用软件开发原则和实践的基础设施自动化。简而言之，就是把基础架构像软件一样来对待，然后通过编写、测试和执行代码以定义、部署、更新和释放基础架构。通过编写代码来管理云上资源的部署和配置，可以更快地实现基础设施的交付，降低手工配置的成本，监测配置偏移，以实现自动化、可维护的部署和实施过程。64二、挑战对于跨国企业而言，在设计自动化方案的

100、时候，面临着如下的一些挑战：1.配置管理的复杂性：在多账号体系下，多成员账号权限配置繁琐，资源的配置和关系非常复杂，例如虚拟机的网络配置和安全组设置，容器的镜像和网络配置等等。这些配置项之间的依赖关系和交互较为复杂，如果没有严密的管理和控制，就容易出现问题。2.复杂的基础设施架构：云基础设施中的资源类型和配置选项非常繁多，包括服务器、容器、数据库、网络、安全等。3.部署流程的复杂性：云基础设施中的资源往往需要按照特定的顺序和条件进行部署和配置。例如，在部署一个 Web 应用程序时，需要先创建虚拟机、安装软件、配置网络和安全等，这些步骤都需要按照特定的顺序进行，否则会出现各种问题。4.版本控制和

101、团队协作：在实际的生产环境中，基础设施配置和管理是一个团队协作的过程。多个团队成员需要对基础设施进行修改和管理，这就需要有一个可靠的版本控制系统和协作平台来保证多人协作的顺畅和高效。三、解决方案新建账号和初始设置：企业需要按照需要不定期地开通多个成员账号并且进行初始设置，如果手工操作工作量比较大而且容易出错。频繁变更操作：环境、子账号比较多的场景下，日常的运维需要大量的操作，如果这些操作是手动的，容易引发由人为因素引起的事故。企业希望在这种场景下，使用标准化流程，并提高变更效率。65变更记录和回溯：在多环境、多账号的配置下，所进行的变更操作难以记录与回溯；在变更发生时也缺少足够的文档、证据进行

102、记录，导致云上环境缺乏清晰的历史记录。解决方案跨国企业通常会有多云的实践，通过一套自动化流程管理多云的资源创建和配置，所以对于流水线工具的选择一般会比较偏向于开源工具，这里就以 Jenkins 为例,设计在阿里云上的自动化实践：使用 Git 仓库、Jenkins、Docker、Terraform 构建自动化流水线。使用 Jenkins 编排 Pipeline，部署至 ECS。Pipeline 步骤使用 Docker 执行 Terraform 代码创建云资源，使用 OSS 和 OTS 作为 Remote Backend，Terraform-compliance 做合规检查。使用 ACR 作为镜像

103、仓库。在设计和实施过程中，我们建议遵循如下原则：66 独立的 POC（Proof of Concept）验证环境：创建单独的阿里云账号，用于基础设施等的验证。一个 Landing Zone 的实施包含了很多方面的内容。一个独立的 POC 环境有助于您发现代码中的问题，并且方便后续方案修改。在应用到生产环境之前，也可以作为验证阶段，避免影响线上业务。选择合适的地域：在部署网络等资源之前，确保选定的地域有满足您业务所需的资源类型。您可以参考对应云产品的官方文档，来确认所需资源是否在您选定的地域提供服务。使用 Terraform backend 保存部署状态：通过使用阿里云 Terraform pr

104、ovider 提供的能力，将Terraform 执行过程的状态保存在云端，避免状态保存在本地丢失导致后续难以变更，同时也便于多人协作。使用 Terraform workspace 来隔离不同云账号的状态：在账号工厂新建云账号过程中，我们建议您给每个新账号都创建唯一的 workspace，后续在该账号中部署业务资源时，也可以复用该workspace。使用版本控制管理部署脚本：基于 IaC 理念将基础设施代码化后，即可加入到版本控制里。通过版本控制，可以实现基础设施架构变更的追踪、回滚等能力。使用 CI/CD（Continuous Integration/Continuous Delivery）流

105、程实现自动化部署：结合 CI/CD流程，可以实现代码变更后的评审、预检查、自动化部署，规范化运维链路，保障实施过程的准确性。因为部署过程中需要用到的 AK 权限较大，使用自动化流程，可以避免 AK 存放在运维人员电脑上，降低 AK 泄露风险。同时，对于账号工厂能力，也可以结合企业 ITSM 系统，实现业务方提交新账号需求，审批通过后自动完成账号创建，提升效率。四、方案价值671.提高生产力和效率：通过自动化方式管理云基础设施，可以大大减少手动操作的时间和成本，从而提高生产力和效率。Terraform 的模块化设计和代码复用功能，可以加速资源部署和更新，避免了重复工作。2.提高可靠性和安全性：通

106、过代码管理基础设施配置，可以确保配置的一致性和可靠性，减少手动操作带来的人为错误和配置漏洞。Terraform 的资源管理和访问控制功能，可以加强云基础设施的安全性和合规性。3.提高可维护性和可扩展性：Terraform 通过模块化和代码复用的方式，使得基础设施的管理变得更加易于维护和扩展。Terraform 的版本控制和协作平台支持，可以加强团队协作和项目管理。4.降低成本和风险：通过自动化管理，可以减少人为操作带来的成本和风险，同时也能够更好地控制云基础设施的使用和费用。Terraform 的资源销毁功能，可以帮助用户避免资源浪费和不必要的费用。5.更好地支持 DevOps 流程：CI/C

107、D 自动化流程可以更好地支持基础设施即代码（Infrastructure as Code）的开发、测试、部署和监控，从而实现 DevOps 流程的自动化和协作。6.为基础设施代码的合规提供有效保障。689.成功案例 9.1.迪卡侬 一、背景介绍迪卡侬集团于 1976 年在法国创立，开创了把所有的运动汇集在一个商场内的销售概念。创立之初，创始人 MichelLerclercq（米歇尔勒雷克）先生希望在数十年里实现在一家商场可以实现购齐所有品类的体育用品的愿景。没想到，仅用了十几年就实现了。如今迪卡侬的零售业务已经覆盖全球 60 多个国家和地区，踏足五大洲，满足运动初级爱好者到发烧友的需求。集团致

108、力于大众运动领域，集运动用品研发、设计、品牌、生产、物流及全渠道零售为一体，目前在全球拥有 1600 多家商场，服务于 60 多个国家和地区的顾客，员工超过 90000 人。在中国截至 2021 年 12 月底，拥有近 300 家商场实体店遍布全国百余个城市，同时 2009 年起步的电子商务业务已经覆盖超 400 个城市。二、迪卡侬通过阿里云 Landing Zone 设计云上管理框架迪卡侬中国 IaaS 基础设施团队主要负责迪卡侬应用在云上的基础架构设计、部署和维护，为迪卡侬各业务部门提供符合企业内部安全合规标准的云基础设施。2021 年初，IaaS 团队负责人廖隽文带领团队开启在阿里云上符

109、合迪卡侬需求的 Landing Zone 设计与部署工作。阿里云 Landing Zone 云管理框架，为企业提供包含身份管理、资源管理、网络规划、财务管理、合规审计、安全防护的云上 IT 顶层架构设计及治理落地方案。帮助企业合理规划、治理云上 IT 环境，实现高效协同、安全合规及成本管控。Landing Zone 通过行业最佳实践为企业创建可配置、可扩展、安全合规的多账号环境，是应用程序上云迁移旅程的起点，更好的适配业务高速发展的需求。69基于阿里云的最佳实践，迪卡侬随即完成了对以下核心板块的云管理及整体架构规划，并将其丰富的多云治理经验复用到阿里云上，以达到安全合规、可管理、可扩展的管理诉

110、求：资源管理：需要有以项目为基础单位的独立环境，能够清晰地对每个应用项目进行管控、授权；有集中化的环境去放置 IaaS 团队提供的基础服务；另外对于供应商管理的项目能够做到内网隔离。身份安全：需要保证所有的用户能够使用迪卡侬员工 ID 进行单点登录（SSO）和多因素认证（MFA）。自治管理：希望在符合公司安全要求的情况下拥有最大的自主性，从而仅将认证流量定向到迪卡侬总部提供的身份系统（IdP），但授权管理能够在本地团队内控制。运维效率：不希望多账号体系会带来大量的重复性工作，希望拥有对使用场景相似的用户对账户批量授权的功能。费用成本：不希望治理的架构会产生高额的费用。三、面临挑战-权限管控随着

111、企业上云的进一步深入，企业采购的云资源迅速增多，资源、项目、人员、权限的管理逐步增加复杂度。在身份权限体系的规划设计上，多账号上云模式逐渐成为多业务上云的重要选项。同时，多账号的有序管理和组织，如何能够纵览全局、如何能够统一管控，都是影响企业管理及业务效率的关注问题。使用多账号的逻辑强隔离，能够实现企业不同业务应用间的相互独立，这将避免如单账号场景下，不同业务间发生依赖项冲突、资源混用、运维操作互相影响的弊端；多账号可分散风险，提升资源安全边界，避免管理风险隐患牵一发动全身波及所有业务；便于企业按照不同资源账号，实现清晰的财务分账；也有利于应对大型企业多分公司关系，支持多种法律实体、多种结算模

112、式共存的结构化管理诉求。70在资源管理上迪卡侬遵循了多账号管理最佳实践，使用了阿里云资源目录（Resource Directory）产品作为多账号分级管理结构的基础，为每个项目创建独立的云账号，并将这些云账号按照树形结构组织起来，有效地解决了统一资源管理的诉求。然而，在进行身份权限管理架构设计时，发现当时阿里云并没有产品能够完美契合需求。因此，双方协商决定以结果为导向，迪卡侬先采用 RAM 角色 SSO 作为临时解决方案。具体做法是：在每个新账号开设后，创建 SAML 身份提供商并进行角色 SSO 配置。每当有用户需要进行授权，迪卡侬就进入对应账号，创建新的 RAM 角色或复用已有的 RAM

113、角色，并授予 RAM 权限策略，最终完成整个配置。然而，这个临时解决方案的挑战在于：因为 RAM 角色 SSO 的作用范围是云账号，不得不在每个云账号内重复性地创建 SAML 身份提供商与RAM 角色。云管理团队以及项目用户都有很多相似的权限，但是这些权限必须要在每个账号中分别创建，并授予RAM 角色，进一步增大了管理成本。为了使预设的角色权限不被破坏，云管理团队必须仔细控制，杜绝高权限角色。一旦控制不得当，就会造成安全漏洞隐患。由于权限分散在各账号中，无法拥有全局的授权视图，只能靠一些额外的工具记录每次授权行为，非常不利于排查问题、合规审计等场景下的使用。四、破局之道-云 SSO 助力迪卡侬

114、的多账号权限管控在上云过程中，迪卡侬相关负责人明确希望，通过采用基于资源目录（Resource Directory）的统一身份权限管理产品来解决临时方案所面临的挑战。这个需求与阿里云产品规划及发展路径不谋而合，云 SSO71（CloudSSO）是基于阿里云资源目录（Resource Directory）的多账号统一身份管理与访问控制产品，可以完美地满足迪卡侬关于多账号身份权限管理的需求。当一个企业拥有多个阿里云账号时，使用云 SSO 可以统一管理企业中使用阿里云的用户，一次性配置企业身份管理系统与阿里云的单点登录，并统一配置所有用户对 Resource Directory 账号的访问权限。只需

115、要几个简单的步骤即可完成云 SSO 的基本配置，这些步骤包括：1.在云 SSO 中创建用户及用户组，或进行用户同步配置。2.配置单点登录。3.创建一系列权限集合（称为访问配置）。4.为每个用户或用户组针对 Resource Directory 中的不同账号进行授权。完成配置后，云 SSO 会在每个 Resource Directory 账号中创建对应的 RAM 角色并完成授权。用户只需要登录到云 SSO 用户门户，就可以一站式查看自己有权限访问的账号，并且可以一键直接进入阿里云管理控制台：9.2.巴斯夫 一、背景介绍72巴斯夫（BASF）是一家全球领先的化工企业，总部位于德国，现在在全球各地拥

116、有超过 110,000 名员工，业务主要覆盖六大领域：化学品、材料、工业解决方案、表面处理技术、营养与护理、农业解决方案。巴斯夫是一家科技导向型企业，致力于通过创新和可持续性发展来解决全球性的挑战。公司的产品广泛应用于许多不同的领域，如汽车、建筑、电子、医疗、食品和化妆品等。其化学品产品线包括塑料、涂料、化学品和功能性材料等。巴斯夫与大中华市场的渊源可以追溯到 1885 年，从那时起巴斯夫就是中国的忠实合作伙伴。作为中国化工领域重要的外商投资企业，巴斯夫主要的生产基地位于上海、南京和重庆，而上海创新园更是全球和亚太地区的研发枢纽。2020 年，巴斯夫向大中华区客户的销售额约为 85 亿欧元，截

117、至年底员工人数为 8,948 名。目前，大中华区是巴斯夫全球第二大市场，仅次于美国。二、转型之路-数字化驱动在全球企业数字化的背景下，作为巴斯夫全球数字化服务部门（Global Digital Service，下文简称 GD 部门），我们更加专注于在繁杂的数据海洋中，寻找那些对于业务发展有利，满足不同场景业务需求的解决方案。公有云平台正是一个良好的平台，为巴斯夫的数字化之路，提供了一个良好的底座，充分利用公有云这个底座，巴斯夫的 GD 团队才能更好的满足客户的需求，让业务团队充分利用这个平台升级自己的产业链，做到数字化的商业模式、智能供应链、智能制造及智慧创新。73三、面临挑战-安全合规&高效

118、管控巴斯夫中国的上云由 GD 部门总体负责推进，不仅是在技术，而且在文化、组织和流程方面，管理层、企业总部和自身都提出了一些期待和要求：1.管理层的期待：巴斯夫的管理层充分地认识到了对于一个生产行业，在全球数字化高速发展的今天，BASF 自身也要加入其中，提出了数字化的商业模式、智能供应链、智能制造、智慧创新等目标。2.总部的管控要求：巴斯夫作为一家跨国世界 500 强企业，在公司总部很早就开始了对公有云平台的尝试和实践，且成果颇丰。大中华区需要紧跟总部的步伐，在满足企业级的安全合规性要求的前提下，更加充分的利用本地优势开展自己云平台的搭建，更好的为大中华区服务。3.自身的挑战：巴斯夫 GD

119、部门同样也面临着自身的挑战，GD 部门需要对云平台有着比业务部门更加清楚的认识，才能更好的为业务部门提供专业的咨询服务。因此需要在整体规划、构建上云登陆区、迁移上云和运营管理全生命周期提供相应的技术、流程与工具。74四、破局之道-从零到一搭建云上治理框架1.组建云卓越中心（CCoE）团队对于巴斯夫这样的大型组织，上云需要符合总部数字化团队的治理框架，在面向本地化还需要协同内部众多团队，因此上云不仅仅是一项技术工作，还是一次大型的组织协同任务。为了确保上云顺利推进，GD部门需要有各种业务和技能的储备，因此参考阿里云的云采用框架组建了云卓越中心（Cloud Center of Excellence

120、），包括如下角色：Project Owner：上云推进的项目负责人，总体协调各团队确保工作有效推进；Cloud Strategy：云战略负责人，制定云采用的策略和关键决策；Cloud Architect：云架构师，负责制定技术策略并为业务团队提供技术架构指导；DevOps Architect：DevOps 架构师，负责 DevOps 平台的构建和推广；Support and Operator：技术支持和运营，提供包括基础运维和服务请求单的处理；Technical&Business Consultant：技术与业务顾问，为业务团队提供业务与技术的咨询服务；Demand&Cost Manager：

121、需求和成本经理，负责统筹各子公司和部门的业务需求，并负责整体云平台的财务管理使之满足于企业财务流程。2.统筹规划为了解决云上的各种挑战，巴斯夫的 GD 部门在启动云上资源部署前，对阿里云 Landing Zone 8 个核心模块的需求进行了讨论与梳理：统一的财资管理：巴斯夫拥有众多的子公司以及独立的部门，基于敏感性的考量，各部门需要拥有自己的独立账户；而对于 GD 以及财务部门，则希望可以统一付款，对于费用有清晰的可见性分析，从而优化资源利用率，对一些高额的资源使用产生必要的费用告警；75 统一的资源规划：巴斯夫的 GD 部门期望可以统一管理子公司以及独立的部门的账户，把所有账户以成员的方式纳

122、管在巴斯夫的根账户之下，并且进行必要的资源标签，以达到资源标识的目的；集中的身份权限管控：云平台满足集中化的身份认证，统一的申请以及授权；规范的合规审计：云上的平台以及应用必须具备事前管控以及事后审计的能力；一体的网络规划：公有云平台既可以作为巴斯夫内部数据中心的延伸，又可以作为补全内部数据中心基础架构能力的出口，这意味着，云上的平台必须能够在账户级别灵活组网，同时作为云平台，需要为巴斯夫面向公网的账户体系提供统一的公网出口，以及强有力的网络安全套件。云上的安全防护：云上的安全必须能做到从网络到主机再到数据层面的全方位安全保护，充分利用边界防火墙、安全组，访问控制和端到端的数据加密等组件达到企

123、业级别安全要求；满足运维管理要求：巴斯夫的 GD 部门必须有能力提供统一的日志管理，监控管理以及为各个成员账户提供配置管理工具，提高应用的可扩展性以及迭代能力。支持灵活的自动化部署：云原生是巴斯夫 GD 部门主导的云上应用架构以及部署方式，做到部署自动化，监控自动化是我们的长期目标。3.多账号架构基于阿里云的资源目录（Resource Directory）服务，实现云上的结构设计和实际的组织管理架构相匹配：企业管理账号（Root Account）：设计巴斯夫 GD 部门管理平台级别的巴斯夫的企业管理账号，可以方便地管理和规划预算，并通过阿里云财务中心的财务单元实现内部的成本分摊的可视化；核心账

124、号（Core Accounts）：设计网络管理账号 Connectivity Account、日志账号 Logging Account 以及统一安全账号 Security Account，以实现服务和管理的集中化；76 业务账号（Application Accounts）：业务用户只需要在公司内部 GD 系统中进行申请 Internet FacedAccount 或者 Intranet FacedAccount，就可以通过阿里云的资源编排，自动地创建用户的成员账户，并且自动部署对应的安全策略、统一的收集日志策略及统一管控的网络出口；打通巴斯夫企业的内部的认证服务，巴斯夫的业务用户在自己的成员账

125、户中基于角色对资源有不同的访问策略（RBAC），从而实现更细颗粒度的员工权限。4.财务管理巴斯夫中国拥有众多的子公司以及独立的部门，这些分子公司和部门以 Self-Service 的模式自行管理自己的业务账号，自己采购和管理云上的资源，快速构建业务响应市场需求。基于阿里云的企业财务，GD 部门可以统一管理多个业务账号，实现统一付费和预算管理；内部的成本分摊，业务部门需要按照所开通的业务账号的消费金额额外加成 15%的费用以支付 GD 部门提供的共享服务；其次，GD 团队可以很直观的在阿里云财务中心看到各个账户的消费情况，设置财务报警，查看是否有资源利用率上的问题；最后，巴斯夫 GD 团队可以通

126、过财务中心的分析功能对业务部门的成员账户的使用量进行预估来帮助业务部门去正确地评估自己在下一季度的预算，从而提供咨询服务。5.网络架构巴斯夫 GD 部门在考虑云上的网络架构的时候，我们从以下几个方面着手满足需求：云上云下混合云组网：针对我们的 Intranet FaceAccount，我们有连接巴斯夫内网应用以及数据接口的需求，利用 S2S VPN 以及 Express Connect 构建一个拥有 SLA 的保障，以及高可用的网络，是我们考虑的混合组网时，非常重要的议题；统一管理云上公网出口：针对我们的 Internet FaceAccount,我们需要能够提供统一的边界防火墙，这样既可以保

127、证集中化管理的要求，也可以节约企业的成本；77 多账号多部门共享资源：通过阿里云 CEN 服务，我们可以实现多账号多部门网络连通和带宽流量共享；云服务、生态服务安全访问：当混合组网架设好以后，我们就可以有效的利用云上生态伙伴服务以及云服务，为本地数据中心做一个扩展，提供更丰富、更高可用性的应用架构。6.安全合规如何安全并且合规的使用公有云平台是巴斯夫的 GD 部门从在阿里云上调研之初就重点考虑的问题，和巴斯夫的总部团队进行探讨之后，针对组织的安全合规要求，我们归纳了以下几个方面：集中式身份认证：通过访问控制（RAM）中的 SSO 功能，可以为企业提供统一的身份认证入口，同时映射巴斯夫基于 RB

128、AC 的资源管理方案。一体化的网络架构：基于阿里云的云企业网（CEN）可以快速实现账户之间的互联，为公司业务的快速扩张，提供了更加稳定且高效的网络环境，同时集中化的管理，对于巴斯夫的 GD 团队以及安全团队在做一些基于路由层面策略的时候，可以更加从容，一目了然。强监管的边界网络出口：把所有的面向公网访问的成员账户，进行了统一的边界网络出口，由巴斯夫的安全团队统一管理云上资源的出网权限。统一的网络访问策略，通过资源编排实现统一的 VPC 级别的网络访问策略，业务部门无需为通用的网络安全配置付出成本，业务部门仅需要针对应用级别做安全控制即可。统一的日志收集，巴斯夫的 GD 部门将各个成员账户的基础

129、日志进行统一的收集管理，既包含来自操作审计的操作日志、又包含计算资源 OS 上层的日志。通过集中化的日志收集，安全团队可以结合企业内部的 SIEM 系统，对日志中的关键字段生成对应的报警以及策略。78 内部合规软件的信息采集：巴斯夫作为一个全球化企业，对于计算资源的管理，不论是线下数据中心，还是公有云平台上的资源，都需要安装公司级别的安全软件，因为巴斯夫的云平台在成员账户的级别给了项目部门充分的自由，那么如何检测项目部门是否按照巴斯夫的标准部署云上资源就成了这部分的关键。通过运维编排（OOS）中的配置清单结合日志集中采集（SLS）就可以方便的针对不同账户的计算资源是否按照组织的规定部署资源生成

130、报告，并针对结果进行对应的处理。五、高效交付与运行，助力业务敏捷创新巴斯夫规划了对内提供云服务的形态，Basic Cloud Services 和 Managed Cloud Services，分别提供了不同内容的服务（如下所示），目前巴斯夫中国的 GD 部门提供了基础服务（Basic Services）,很快还会提供托管服务（Managed Services），加快业务部门的数字化进程。79构建 Landing Zone 后 GD 部门完成了账号架构、身份权限、网络规划、安全合规、成本管理的统一规划，已经具备提供基础服务的能力，并且与巴斯夫内部安全、财务、合规等团队达成了良好协同。看似这一过

131、程需要考虑的方方面面很复杂，但是最终交付给使用阿里云的业务团队是非常简化的。GD 部门提供了一个自服务的平台，供业务团队可以自助地、便捷地申请阿里云环境，这带来三个好处：首先，交付的环境是安全受控的。GD 部门基于 Landing Zone 确保交付给业务团队的云环境都完成了初始化配置，是安全合规的、中心管控的；其次，交付的过程是自动化的。阿里云环境的身份权限、安全合规、网络、财务管理等配置是自动化的，这不仅仅提升了效率还确保交付是标准的；最后，交付的体验是快捷的。通过自服务平台，巴斯夫全球的团队都可以在完成审批后数小时获得一个阿里云环境，助力业务敏捷创新。巴斯夫的 GD 部门把这种交付和运行

132、体验称为“1 Step 4 Clicks，Easy on Cloud”。8010.总结本解决方案白皮书聚焦在跨国企业上云规划和云上 IT 治理领域，结合对跨国企业上云的洞察和行业领先的IT 治理框架给出了跨国企业上云的观点与建议，同时结合阿里云产品服务能力给出了跨国企业成功落地在阿里云的最佳实践与操作指南，帮助跨国企业从组织、人员和技术层面着手采取行动，确保上云价值最大化和风险最小化。受限于篇幅和形式，白皮书无法给出所有解决方案，最新 Landing Zone 解决方案请查看 Landing Zone 官网网站。本解决方案白皮书是阿里云国际架构师团队、全球交付团队、产品团队和生态伙伴埃森哲服务众多跨国企业上云的经验总结，因此特别感谢给予我们信任和帮助我们改进的客户。