来杭州云栖大会，全面了解企业如何实现云上IT治理

企业上云的现状与趋势
云计算，如今已经成为了像水和电一般关系到国计民生的国家基础设施。云计算为企业带了前所未有的资源交付效率和运维效率的提升，同时也用全新的技术帮助企业在新的价值网络中创造新的商业赛道、挖掘新的商业模式。越来越多的企业开始主动或被动地尝试使用云，而那些已经尝到云“甜头”的企业在加速上云节奏，不断将创新业务、非核心的企业业务、乃至企业核心业务逐步迁移上云。
企业的上云步骤，一般可分为“尝鲜”和“云化”两个阶段。
在“尝鲜”阶段，企业初始做云化，一般会从开发测试环境开始，或者选择企业的创新业务、非核心业务去尝试构建云原生应用，尝试云产品，对比不同云服务以及基础设施架构。
在“云化”阶段，企业对基础设施进行改造，在企业信息安全和成本控制允许的情况下，将更多业务迁移到云上来，既要兼顾企业云上业务发展的便捷、高效与速度，同时需要帮助企业在云上的安全管控、成本优化等做好保驾护航。
在“云化”阶段，随着企业云上业务量的增加、云上业务对企业的重要性或者核心程度的增加，对于有着多年内部 IT 管理业务和经验的企业来说，原来“深藏不露”的企业 IT 管理部门势必被推到云上管理的前台，配合业务部门，为企业在云上的资源购买和使用、云上业务应用或服务等提供云上 IT 运维管理和支持。随之而来的，还有企业的财务与安全合规部门，他们将对企业在云上的业务从财务管控和安全合规风控的角度提出不同的管理要求。企业在追求效率和速度的同时，不得不考虑统一管控、安全、成本控制、自动化、性能等企业管理视角的业务需求。
比较常见的场景是，当企业在“尝鲜”阶段享受到上云的好处、做出更加大规模的上云决策后，IT、财务、安全等一个或多各部门逐步介入，在保证企业用户能够简便、高效使用云资源、云服务的同时，确保企业用户在云上的行为符合企业内部的IT规定、成本控制、以及安全规范。与此同时，还需要实现企业原有的 IT 管控流程、运维人员和检验标准与云上业务的有效集成、而不至于在同一家企业内部形成管理断层。
企业云上管理的问题
当企业的业务逐渐上云，参与云的团队人数增多，云上使用的资源数量也大幅增加，随之带来的是管理复杂度的增加。其中，企业IT部门最头疼的问题包括：
云上的安全风险
初期上云许多企业，为了追求速度，缺少最基本的安全安全策略。例如所有员工共用主账号的用户名和密码，所有员工都具有管理员权限，用户的身份缺乏统一的管理等。员工离职带走密码，或者用户名密码泄漏，对企业IT设施是致命的打击。
资源管理的混乱
在“尝鲜”阶段，少量团队在云上做最初的尝试，对于资源管控的需求很弱。当云上的资源迅速增加，大量的资源混在一起无法区分，IT部门对于不同组织结构、不同项目所消耗的云资源和产生的成本无法提供足够的信息。使用云资源的不同部门也无法只管理“自己”的资源。种种问题，让IT部门备受压力，企业开始思考是不是云并不适合所有企业。
云上的成本浪费
企业在云上的成本主要来自资源的成本和运维人员的成本。闲置的资源和低下的运维效率都会造成成本的浪费。
云上 IT 治理框架
不同类型、不同规模的企业在云上的管理复杂度也不尽相同。管理复杂度通常取决于公司研发运维的人数、组织架构的复杂度、云上资源的规模、IT供应商的数量等等。为了解决云上IT管理所面临的问题，阿里云提供相应的访问控制、资源管理、财资管理、合规管理等能力。这些能力可以单独或结合起来使用。







阿里云IT治理能力说明
资源管理
资源管理是云上IT管理的核心。企业中的应用（以及应用所对应的IT资源）通常会按照类似组织结构的方式进行划分。不同部门会对应着不同的应用；也有的企业按照产品线、产品的方式划分。
和公司的组织结构一样，资源的组织结构通常也成树状。阿里云资源管理服务可以帮助企业映射组织关系和应用的结构。通过资源目录，企业可以定义：
资源夹：资源夹对应组织的具体结构，不同的结构可以作为账单、管控的单元。
资源账号或云账号：用来代表应用、服务（一组应用），或者应用的生产、测试环境。
下图为阿里云在资源结构划分的示意图。







阿里云资源管理服务同时提供账号内资源组的管理。云账号的所有者可以对账号内的资源进行进一步的划分，以满足权限分离的需求，从而提高多人协作的效率。资源的分组通常可以按照应用的模块，例如Web前端，服务后端，网络等。







在简单管控模型中，也可以直接将云账号使用为部门，并使用资源组来划分应用。
访问控制
和资源管理平行的是对身份的管理。企业的组织结构通常代表着企业对于职能，业务，地域的划分，呈树状结构。企业对于组织、身份通常使用既有的管理系统进行集中管理，例如员工的入职、离职、密码、汇报关系等等。在使用云的过程中，使用云的人员需要在云上有相应的身份，并被授予相应的权限去访问云上的环境。
阿里云用来管理身份权限的产品叫访问控制。访问控制提供两种身份管理的方式：没有本地人员管理系统的企业，可以直接使用阿里云的用户、用户组对人员的身份进行管理；有本地人员管理系统的企业，可以使用访问控制中SSO（单点登录）功能，链接本地身份和阿里云身份。
在我们服务大型企业的过程中，发现很多企业已经使用身份认证系统，如微软Active Directory， Azure Active Directory, Okta等，并且希望人员的管理依然在原有的身份认证系统中。阿里云提供两种SSO的方式：
角色SSO：IT管理员预先在阿里云上创建管理角色，如“管理员”，“运维”，“监控”，并为角色分配对应的权限。在企业身份认证系统中，不同的用户会映射到不同的角色。阿里云上无需进行用户同步。
用户SSO：IT管理员同步本地人员登陆信息到阿里云，并在阿里云上创建用户组以及管理权限。
以下示例为使用角色SSO登陆阿里云：







资源、人员的问题解决后，IT管理员可以对人员权限作出规划。【访问控制】中的权限策略提供了常用的系统策略，同时支持用户自定义权限策略。权限策略定义了用户可以执行操作，以及执行的条件。
阿里云【访问控制】支持三种级别的授权：账号级别，资源组级别，资源级别。
权限控制中需要注意的问题是：
控制Root账号。Root账号具有所有的权限，因此也带来更大的安全隐患。通常情况下，您无需使用Root账号。
授权策略遵守最小够用原则。
在较高的层次授权来减少管理的复杂性。尽可能使用账号或资源组级别的授权。
审计与合规
虽然有了授权机制让使用者没有权限做不符合企业规定的事情，但在权限范围内使用者依然有可能由于多种原因作出错误的操作。因此，审计作为IT部门最后一道防线，记录所有发生的事情。一旦发生不符合预期的事情，IT部门有可以调出历史记录，追溯事故发生的原因。另一方面，为了避免事故发生，企业根据业界标准和企业过往的最佳实践，制定出内部IT规定，例如密码策略规定，公网访问规定等。 这些规定需要系统化的方式被监控，确保企业时刻处于“合规“的状态。 阿里云在审计和合规方面提供丰富的能力。
操作审计
操作审计(ActionTrail)会记录您的云账户资源操作，提供操作记录查询，并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。通过ActionTrail保存的所有操作记录，您可以实现安全分析、资源变更追踪以及合规性审计。
ActionTrail收集云服务的API调用记录（包括用户通过控制台触发的API调用记录），规格化处理后将操作记录以日志的形式保存到指定的日志服务Logstore中，或者以文件形式保存到指定的OSS存储空间。用户可以使用存储产品丰富的管理功能来管理这些审计数据，比如授权、开启生命周期管理、归档管理、检索、分析、报警等。
配置审计（Cloud Config）
配置审计是本次云栖大会发布公测的重量级产品。它为您提供您在阿里云上的资源列表、当前配置快照、历史配置快照等信息，帮助您了解资源配置的历史变更详情。同时它还支持您配置合规审计规则，来监控资源部署和资源配置的合规性。当您的资源配置发生变更时，Config会将变更快照以文件的形式保存到您指定的OSS中。当出现“不合规”情况时，Config将按照您的订阅设置向您发送告警。帮助您在面对大量资源时，轻松的实现基础设施的自主监管，持续保证合规性。
财资管理
企业作为一个整体通常在财务方面有统一的管理。常见的两种场景是：
统一支付：绝大多数的企业用户和云厂商已企业维度进行结算。对应的阿里云提供资源目录下的财资托管，让企业可以对于名下的多个账号进行统一结算和支付。
成本分析和Chargeback：对于云上成本重视的企业，通常会按照不同维度进行成本分析，例如按照项目、负责人、组织结构等。更进一步，有的企业会根据每个部门产生的成本做内部结算。在阿里云，用户可以通过资源组、标签等方式来标识资源，并最终在账单中得到体现。企业通过账单API获取账单详细信息，并根据这些标识来进行分账。未来阿里云也会提供更优质的账单、成本方面的体验。
写在结尾的话
上云不同阶段的企业，在IT治理方面会遇到不同的挑战。上云早期的企业，了解IT治理框架，可以为企业日后规模化的上云做好准备。上云成熟的企业，了解阿里云上IT治理最佳实践，能够让效率事半功倍。
本文作者：云攻略小攻
原文链接：https://yq.aliyun.com/articles/718662?utm_content=g_1000077208
本文为云栖社区原创内容，未经允许不得转载。