眾安國際的上云Landing Zone之旅
關于眾安國際
眾安國際于2017年12月由中國互聯網保險科技公司眾安在線在香港設立,旗下共有銀行、保險技術輸出3項主要業務,秉持著“以客為本”的理念,持續聚焦于提高用戶滿意度,深耕金融科技領域。以「用戶共創」為信念,眾安國際針對用戶個性化的需求,鼓勵用戶直接參與產品開發和設計,一同打造出與眾不同而又最合乎香港客戶需要的產品和服務。
眾安國際旗下虛擬銀行ZA Bank作為香港首家正式開業的虛擬銀行,不到兩年時間里,用戶數量到底就已經突破50萬,業務規模始終保持行業領先地位,也是目前香港本地產品最齊全的虛擬銀行之一。
數字化保險ZA Insure則恪守為用戶提供保障的使命,通過互聯網平臺7*24小時為本地居民提供"人人都買得起"的保險產品服務,并推出了香港最便宜的自愿醫保"標準計劃"-"ZA自愿醫保",讓用戶以普惠的價格獲得全面的基本醫療保障。
在雙牌照的協同優勢下,眾安國際通過ZA Bank App為用戶帶來了香港首個虛擬銀行打造的全數碼化銀保體驗,投保最快3分鐘。接下來,眾安國際將繼續發揮旗下各品牌協同效應,進一步升級用戶體驗,為用戶未來的數字化理財、財富管理體驗創造更多價值,繼續助力香港發展金融科技,推廣金融普惠。
為什么選擇Landing Zone
隨著公司業務不斷拓展,如何為營銷活動快速提供充足IT資源、保障活動順利開展已經成為眾安國際基礎架構團隊的重點工作之一。因此,企業決定將逐步采用混合云的架構,以同時滿足安全合規及資源高彈性的需要。上云并不只是資源上云,傳統IDC機房模式下的治理基線如何在云上落地,也成為了所有上云企業的課題。
從以往的各種故障案例中,業界都清晰地認識到:不論是從安全合規角度,還是控制風險角度,都需要在不同的業務線間,生產與非生產環境間做好隔離。而云賬號是公共云能夠提供的最高級別的隔離手段。
但隨著業務線的拓展、環境數量的增長,云賬號的數量也隨之膨脹,傳統的IT架構和管理方法已經不能很好的適應并有效解決上云面臨的諸多挑戰,主要表現在如下幾個方面:
(1)架構復雜:業務線持續擴展,多云賬號的架構難以支撐
(2)管理復雜:VPC、網段等資源難以統一管理
(3)分賬耗時:對多個業務線進行分賬,耗時耗力
(4)維護繁重:需人工維護資源標簽和劃分資源組等
為了確保業務在云上的快速投產和高效運營,并將云原生的能力和企業IT管理戰略進行更好的結合,需要有良好云上IT治理體系來支撐。結合眾安國際業務現狀,對云治理體系的基本要求為:安全合規、可支持多業務線、基于切面的統一管控且具有較強的可擴展性。我們期望通過對資源、網絡、成本、身份權限、安全審計等板塊的治理,逐步將現有云上環境改善為標準、合規的多賬號環境,實現不同業務間的相互隔離,降低安全風險,有效管理云環境。
針對如上提到云治理的需求,我們思考可以通過兩種治理方式來實現:
(1)自主研發云管平臺
如果公司自主研發云管理平臺,有定制化好、貼合本公司使用模式等優點,但復雜度會隨使用云產品的變化而增加,難以滿足業務的敏捷性。同時對接的云產品越多,開發成本越大。
那么,有沒有別的方法能用相對低成本的滿足我們的需求呢?自主研發云管平臺與云原生登陸區的有機結合可能是一個比較好的方向。
(2)云原生登陸區(Landing Zone)
云原生登陸區Landing Zone是基于云服務商提供的管理與治理服務構建的一套解決方案,隨著大型企業客戶的應用與實踐,業界普遍認可Landing Zone的概念,它有效為企業上云提供策略和技術的指導原則和最佳實踐,特別是在針對治理多云賬號方面,提供了良好設計的解決方案。
領先的云服務提供商都提出并設計Landing Zone解決方案。同樣,阿里云也定義了自己的Landing Zone,包括資源規劃、財務管理、網絡規劃、身份權限、安全防護、合規審計、運維管理、自動化八個模塊,切合眾安國際對云治理的需求。
基于上述原因,眾安國際決定結合Landing Zone框架,搭建一套企業級的管理和治理框架作為云環境的基礎設施,為企業的云治理打好基礎。
Landing Zone實施前準備
在決定搭建Landing Zone后,需要做些什么準備呢?
1、建立團隊
因Landing Zone涉及安全、網絡、財務、資源等多個方面,組建一個跨領域角色的專業團隊尤為重要。
2、收集需求
通過結合企業自身特點,針對當前云治理的痛點,收集各個團隊對云治理的需求,因為清楚的認知了需求,才能更明確治理目標。
主要需求圍繞如下幾個點展開:
(1)多賬號管理:如何基于切面管理各個業務線的云賬號;
(2)分賬管理:怎樣輕松實現各業務線分賬;
(3)安全合規:實現為多個業務線制定不同的安全審計基線;
(4)單點登錄:用一個云子賬號轉換不同角色登錄多個云環境。
3、明確目標
根據治理需求,制定了如下第一階段的云治理目標:
(1)隔離:結合眾安國際業務等現狀,建立一套基于業務線隔離、環境隔離的云環境體系;
(2)提效:更便捷地開展分賬和資源管理工作;
(3)基線:有安全合規審計的賬號和授權體系,同時此套體系可以基于切面的統一管控,良好地應對業務線的增長和擴展;
(4)遷移:將原來已有的云賬號納入到Landing Zone體系下。
Landing Zone方案設計及實施
結合Landing Zone框架,我們從資源規劃、財務管理、網絡規劃、身份權限、合規審計五個方面展開實施。
資源規劃
資源結構是指企業管理其下云資源的邏輯結構,良好的結構設計可以降低管理難度,提升企業管理效率。資源目錄RD(Resource Directory)是云廠商面向企業客戶提供的一套多級賬號和資源關系管理服務。
企業管理賬號是資源目錄的超級管理員,也是開通資源目錄的初始賬號,對其創建的資源目錄和成員賬號(Organization Unit賬號)擁有完全控制權限。只有企業類型賬號才能開通資源目錄,每個資源目錄有且只有一個企業管理賬號。
企業管理賬號的作用如下:
管理所有成員賬號的合規策略
為所有成員賬號集中配置云安全中心、配置審計等云服務
管理所有成員賬號的賬單和支付相關的財務信息
開通資源目錄后會自動創建Root資源夾。根據最佳實踐創建以下兩個資源夾:
Core資源夾:用于放置具有管控用途的成員賬號;
Applications資源夾:用于放置開展具體業務的成員賬號。
根據眾安國際現有業務線上云情況,按業務線和環境劃分了如下圖的資源賬號:
財務管理
企業財務組織結構,通常代表一家企業的成本管理結構。 針對眾安國際之前運用資源組或標簽字段分賬的痛點,Landing Zone采用賬號和財務單元相結合的模式進行財務劃分和管理。基于資源目錄管理的多賬號模式下,Applications目錄下的每一個Application都是一個獨立的賬號,這個賬號下的所有費用可以全部計入這個業務線的成本。同時將資源實例分配到創建的“財務單元”中,并可以按照“財務單元”維度靈活匯總、查看相應資源實例的賬單費用。
根據眾安業務線劃分,自定義“財務單元”層級結構,將所有資源實例產生的費用進行歸類,一些公共資源還可以按照自定義分攤比例進行分賬。同時,在云控制臺可以按照資源賬號、財務單元等多個維度查看費用情況。
身份權限
云SSO提供基于資源目錄RD(Resource Directory)的多OU(Organization Unit)賬號統一身份管理與訪問控制,一次性統一配置,即可完成面向多OU賬號的身份和權限配置。
云SSO提供一個原生的身份目錄,將所有需要訪問云的用戶在該目錄中維護。借助與RD的深度集成,在云SSO中統一配置用戶或用戶組對整個RD內的任意OU賬號的訪問權限。云SSO管理員可以根據RD的組織結構,選擇不同OU賬號為其分配可訪問的身份(SSO賬號,即用戶或用戶組)以及具體的訪問權限,且該權限可以隨時修改和刪除。
結合眾安國際人員職能和崗位的情況,針對如下幾種角色進行權限設計:
所以,一個用戶或用戶組擁有的權限是OU賬號與角色權限的集合。例如:張三(SSO賬號)在業務A非生產賬號(OU賬號)持有SRE(角色)權限。
網絡規劃
本著業務隔離、生產環境與非生產環境隔離的原則,具體網絡規劃如下:
(1)網絡間聯通和訪問控制
VPC間可通過CEN進行組網
通過安全組、云產品白名單(如RDS白名單)、云防火墻做隔離
(2)Internet訪問
互聯網入口接入防火墻、WAF、DDoS防護
統一管理互聯網出口NAT GW
(3)云上組網規劃
生產與非生產網絡隔離
不同業務線不同環境使用獨立的VPC
合規審計
我們需要通過審計合規能力構建一個可見、可控、可追溯的安全運維環境:
審計:客觀記錄云上IT運維的全過程,并做長期留存。
合規:通過限制和持續監控,確保IT配置始終符合合規預期。
IT運維團隊管理云上資源的過程中,有三個關鍵環節:事前限制、事中及時發現和修復、事后審計記錄,對應的環境在云上都有匹配的云服務或功能。
將資源目錄中所有成員的操作審計日志和配置審計日志統一投遞到指定日志OU賬號下的對象存儲OSS或日志服務SLS,方便專職審計人員查詢和分析審計日志。
Landing Zone實施收益
通過運用Landing Zone,眾安國際建立了一套基于業務線隔離、環境隔離、有安全合規審計的賬號和授權體系,同時此套體系可以良好地應對業務線的增長和擴展。與此同時,在財務分賬、成本管理和授權管理效率方面都顯著地提升。 實施前后的對比如下表所示:
實施經驗與總結
實施Landing Zone的收益顯著,但在實施Landing Zone過程中也伴隨著困難和曲折。對于Landing Zone相對較新的概念,對于云使用者需要一定的學習成本。推動大家由RAM賬號更換為云SSO賬號并改變云使用習慣,是一個需不斷宣導且循序漸進的過程。
我們還遇到一個困難點,是在使用Landing Zone之前就已經存在的云賬號資源遷移問題。需要考慮將此賬號的資源、財務、網絡等各方面納管在Landing Zone體系下。目前資源是不能直接跨賬號遷移的,所以重新規劃已經上線的資源是一個耗時耗力的過程。可見,搭建Landing Zone的最好時機是還沒有創建任何云資源前。
在實施后,總結了如下實施經驗:
框架先行:在實施前就明確賬號權限、網絡基線、財務模式等框架非常重要
領域整合:云治理需要安全、SRE、網絡、DevOps、云管理員等多部門協同推進
廠商協同:廠商已在很多方面有好的產品或最佳實踐可供使用
持續優化:云治理是一個持續過程,需要持續優化改進
規劃和展望
云上治理是一個持續的過程,成功實施Landing Zone框架并不是結束,如何基于現有基礎做更好的云上治理,如何進一步提升效率,是我們下一階段的課題。具體來說,有如下幾個方向:
1、基于IaC快速部署Landing Zone
當企業確認好Landing Zone的設計方案后,實施的方案有多種,通過編寫代碼來管理云上Landing Zone的部署和配置,可以更快地實現基礎設施的交付,降低手工配置的成本。特別是企業使用了多云時,如何快速在多云上落地一致的治理基線是一個挑戰,我們認為使用IaC的方式是一條不錯的路徑。
2、與企業內部運維平臺對接
自建云管平臺與采用Landing Zone并不是非此即彼的關系,本質上是需要能夠盡量低成本高效率的滿足云上治理的各項要求。確認好運維平臺與Landing Zone的邊界,將兩者進行有機的結合,將能在盡可能利用云原生治理能力的前提下,更便捷、低成本的滿足我們個性化的需求。比如,我們通過云SSO與資源目錄實現權限控制體系,并在此基礎上實現了內部權限申請、賦權、去權的自動化,大大提升了組織運轉的效率。
隨著業務需求不斷增長,云廠商會提供基于 Terraform實現快速搭建環境的能力。如果再和企業DevOps平臺有效對接,也將進一步提升組織運轉的效率。
3、做更精細的成本和預算管理
據統計,超過一半的企業在上云初期會產生超預算支出,分賬是精細化成本控制的前提之一。在實現了各業務線便捷分賬后,如何更好的治理資源、更精細化的管控成本,是我們下一階段努力的方向。
結語
云上治理是每個企業上云的必經之路,但Landing Zone這套框架并不是唯一解。年輕的快速發展中的公司往往不得不在云治理上做出一定妥協,以集中資源支撐業務擴張,而借助Landing Zone框架,則可以幫助企業在同樣的成本限制下,達成更高的云上治理水平。對于那些業務集中、共享基礎設施、且沒有分賬等需求的企業來說,Landing Zone的整體框架有些過度設計,但其實也可以在該框架上進行刪減,量體裁衣,為將來的快速擴張打好地基。
云上治理是一個實踐工程,我們也是在邊摸索邊實踐,希望我們的分享能對您有所幫助和啟發。同時也希望拋磚引玉,看到國內有更多相關分享出現,彼此啟迪,提高業界的治理水平。
作者:眾安國際技術團隊
引用來源:“眾安國際技術團隊”公眾號