網絡、賬號和工作負載是企業客戶在使用云時最先接觸到的云資源，云提供了便利性的同時，企業仍要高度重視安全性，避免為了提供更便利的服務犧牲安全性。建議在業務上云初期，對網絡規劃、賬號體系設計進行充分的考量和咨詢，并進行有效的檢測和評估。

阿里云提供了企業上云最佳實踐咨詢。對企業來說，將業務遷移到阿里云時，希望能夠保障業務在云上安全合規，同時兼顧靈活的業務組織拓展。根據大量的客戶實踐總結發現，在上云前做好合理的規劃可以避免對管理方式的反復重構，加速業務大規模上云。因此建議客戶在上云之前先從頂層規劃一個完善的企業上云框架，也稱為 Landing Zone。

網絡架構設計最佳實踐

阿里云基于大量的網絡架構設計，結合不同行業業務特點和網絡需求，提供網絡架構設計的最佳實踐。如企業級云上網絡分區分域設計、云上同城/異地容災網絡設計、DMZ-VPC區域設計、VPC東西向流量隔離和管控設計、云上云下混合云組網設計等最佳實踐方案。詳細說明參考網絡安全保護中相關內容。

賬號體系設計最佳實踐

阿里云基于Landing Zone體系，幫助企業設計資源管理及規劃，賬號設計和賬號組織隔離方案。

資源規劃

集團型企業對業務隔離的要求比較嚴格，不同業務必須按照安全要求或行業監管要求，部署在不同的云賬號內，根據阿里云最佳實踐，Landing Zone推薦企業使用多賬號架構來管理云上資源。多賬號架構幫助企業實現強隔離、降風險，應對企業多分公司關系，支持多種法律主體、多種結算模式共存，便于結構化管理，讓企業的業務更便于拆分和融合。

賬號設計

賬號規劃及職能說明如下：

• 企業管理賬號：用于多賬號管理，在該賬號中啟用資源目錄并構建賬號樹，具備統一設置審計、管控策略等規則并下發到各成員賬號等管理職能。該賬號一般也作為財務主賬號，與其它賬號建立財務關聯關系后對企業財務進行統一管理。

• 安全賬號：給企業的安全角色使用，用于配置相關安全產品，如Web應用防火墻（WAF）、云防火墻等。

• 日志賬號：聚合所有成員賬號的日志，便于統一收集、統一管理。

• 運維賬號：部署運維相關工具，如堡壘機、統一監控平臺、企業云管理平臺CMP、云上資產管理平臺CMDB等。

• 共享服務賬號：用于部署企業共享服務，如網絡等。

• 業務賬號：業務功能賬號，用于部署業務應用，如生產賬號、開發測試賬號。

賬號組織結構及業務隔離

說明及建議：

• 在企業管理賬號中使用資源目錄構建賬號樹，將其它賬號作為成員賬號納入資源目錄進行多賬號統一管理。

• 基礎管控類賬號放置到Core資源夾下，業務賬號放置到Applications資源夾下。

• 業務賬號按業務組織單元進行劃分，體現企業組織架構及管理方式，常見的組織單元劃分如分公司、部門、產品等，可用于對不同業務單元進行隔離。

• 每個組織單元下可劃分測試賬號及生產賬號，對生產環境及測試環境進行隔離。

• 賬號下可使用不同資源組對應用資源進行隔離。

• 大數據業務集中放置到大數據賬號，歸屬大數據資源夾。

• 外購資源夾用于放置供應商賬號，根據實際情況選擇是否需要，對供應商賬號可以實施管控策略等基線進行操作限制。

工作負載架構設計最佳實踐

工作負載的架構設計應從工作負載保護，工作負載網絡設計、工作負載的訪問控制三個層面設計。詳細設計最佳實踐可參考工作負載安全保護一節。