德勤Landing Zone :一站式云上管理及安全合规治理

德勤管理咨询中国总监张志钢，受邀于2022·云栖大会-云上安全与合规峰会上发表主题演讲。德勤做为生态合作伙伴与阿里云合作共建的《Landing Zone联合对客方案》，为更多企业客户提供定制化上云服务，帮助企业提高云上管理与治理成熟度，加速业务规模上云。

以下是演讲实录：

德勤云服务线专注于阿里巴巴丰富的生态体系和资源、产品能力和方案沉淀，打造核心云服务能力。其核心交付能力范围涵盖了咨询+实施+运营过程，为客户提供从云战略咨询、到云应用实施、到云运营的端到端的服务，帮助客户解决怎么用云、怎么上云、怎么管云的一站式项目交付。此外，还希望能够结合德勤沉淀的行业数字化咨询和组织咨询经验及能力，通过项目价值交付，为企业明晰数智化转型的方向与切入点。

当前云转型已经是必然趋势，但在利用云服务尤其是公有云服务时，云安全是各个企业必须面对的挑战。德勤和阿里云的Landing Zone解决方案，可帮助快速设置安全环境的解决方案。它将收集来自客户的预定输入，并按照德勤管理咨询中国可以部署的规范性指导和最佳实践模板创建初始运营环境。公有云上最主要的安全威胁主要包括：云平台配置错误，非授权访问，第三是不安全的接口。企业在考虑云安全的时候，主要面对的挑战有三个，首先是自身安全能力的缺乏，很多企业没有自己的云安全团队；再者，来自监管的压力，国家鼓励企业的云转型，但也对云安全提出了严格的要求。然后混合云带来的复杂架构也使得云安全面临的挑战更加复杂多变。为了充分发挥云的优势，使云转型更加顺利稳健，云安全将是企业发展的压舱之石。

因此，建议企业在应用上云之前，需要有一整套完整的顶层设计和基础框架，规范应用上云的策略，为后续的业务整体上云扫清障碍。避免由于管理不规范，造成的网络安全、数据安全以及成本的不可控、运行效率下降等风险。

德勤的Landing Zone解决方案，包括一个可用作建立和实施自定义安全基线的起点的初始安全基线，同时也包括客户将新应用程序迁移或部署到云上所需的基本构建模块。与阿里云的安全架构完美契合，提供从治理、架构、安全监控运营、自动化端到端的服务。

德勤一站式云商管理及治理方案，主要包括：

1. 1. 云上资源管理、构建多账号管理体系
   2. 财务管理、进行云成本管理和优化，对现有资源进行标签管理和成本分账核算
   3. 云服务安全合规基线管理、云服务治理
   4. 云运维管理，监控和告警，统一日志管理，备份和恢复
   5. 自动化的配置、持续基础和持续部署
   6. 网络安全防护，构建基础安全环境，主机加固及漏洞检测，数据加密，数据安全分类分级
   7. 网络安全规划与隔离、安全防护策略、云上云下互联互通，南北向，东西向安全策略
   8. 身份管理与身份权限设定，多因素认证，账号统一管理等

• Landing Zone合规审计解决方案
  

德勤的阿里云Landing Zone合规审计解决方案，可以帮助客户的IT运维团队，全面管理云上资源，进行多账号、集中式、自动化的管理，包括：网络安全评估、识别合规要点，合规风险评估与合规风险治理，可对个人信息及场景识别、数据分类分级管理、数据跨境场景分析，建立统一的数据跨境采集、传输和访问规范等等。通过阿里云上的环境，构建事前、事中、事后三道防线，可对各成员账号进行限制策略、建立配置基线，对配置变更进行合规检查，并通过操作审计和日志服务，实现安全分析和变更追踪。

• Landing Zone安全解决方案

德勤可提供一站式的端到端云上安全解决方案。如安全加固服务、等保咨询服务，安全评估服务等，涵盖不同层面的云产品。结合德勤以往为各个行业客户进行云安全规划和服务的经验，我们从顶层的云安全战略，云安全合规，云安全体系，云上数据隐私保护，云应用安全和云安全响应等多个维度为企业打造全方位的云安全能力。同时，帮助客户建立云安全运营体系，安全运营制度、运营流程、运营指标，安全运营人员支撑和安全技术能力构建。都可以结合阿里云的网络安全、系统安全、应用安全和数据安全能力，为客户提供定制化的云安全解决方案，满足客户对于等保2.0、数据安全法、个人信息保护法等法律法规的合规性要求。

• Landing Zone安全解决方案架构

要构建云上基础的具有纵深防护能力的云安全架构，首先是访问安全，重点是统一身份管理，具有阿里云的SSO，可实现多账户的统一管理，特别是面向集团企业，可对多个云账户进行统一管理配置，保证一致性。并且能够与企业的现有的统一身份控制系统进行集成同步，将现有的IT用户和用户组同步到云SSO中，降低管理难度，最大限度地优化了用户体验。

在Landing Zone构建过程中，帮客户根据所使用的地域，业务功能，对云上的网络进行分区、业务生产、开发测试、内部运维、互联网出口等不同区域，同时，规划不同VPC之间的互联互通、逻辑隔离策略，确保东西向安全。确认云上现象环境互联的方式，保障本地网络和云上网络的安全联通。

实施云主机安全、云容器安全，为客户构建云上的数据安全防护能力，进行安全合规检查、基线检查、安全漏洞扫描，同时帮助客户设计安全运营策略，安全组织与职责的优化、安全管控流程优化等。

最后是数据安全，根据国家《网络安全法》、《数据安全法》、《个人信息保护法》要求，对敏感数据进行分类分级，通过自动化的手段，了解内部数据现状，对海量的全域数据资产进行识别与分类，按数据安全合规的严苛程度进行分级。快速有效定位关键以及敏感类信息，并有针对性的开展合规治理和数据安全防护工作。

通过多种数据加密方式，使用多种加密算法来进行加密运算，帮助客户满足静态数据安全方面的监管合规要求，保护云上静态业务数据的机密性。通过多种数据加密传输通道，帮助客户对动态数据进行安全防护，防止攻击窃取传输过程中的重要数据。另外还需要对敏感数据进行脱敏，我们可以为客户定制灵活的、个性化的数据脱敏方式，适应不同的业务场景。