阿里云：2023金融企业上云登陆区（Landing Zone）白皮书（64页）.pdf

1、 2 目录 目录.2 法律声明.5 序言.7 1 金融企业云上治理需求洞察.8 金融上云，合规先行.9 容灾建设成为必选项.10 混合云需要统一治理架构.11 2 金融企业上云登陆区建设指南.13 企业上云总体建设思路.13 企业上云登录区Landing Zone解决方案.15 金融企业上云登录区建设要点.18 3 金融企业上云资源架构.20 企业组织多账号结构设计.20 金融企业云上财务规划.22 使用标签进行资源分类.25 云资源统一命名规范.26 4 金融企业上云网络规划.27 企业级云上网络分区设计.27 网络分区设计.27 分区间网络互通.27 云上业务互联安全设计.28 云上DMZ

2、区域设计.28 默认公网出口.29 第三方API调用的特殊公网出口.29 3 指定域名访问出口.30 云上云下混合组网设计.30 金融企业IDC和总部与云上互联.31 金融线下多分支机构互联.31 金融机构与三方监管机构网络互联.32 跨地域构建企业全球一张网.32 云上同城/异地容灾网络设计.33 小结.34 5 金融企业上云安全防护.36 云上与云下安全的区别.36 基础设施和数据的权限分离.36 交付形态转变.37 安全责任共担模型.37 阿里云云上安全整体方案.38 云上基础安全建设.38 第一步：定义安全管理合规体系.38 第二步：评估安全风险.39 第三步：建设基础防护.39 第四

3、步：安全持续运营.41 云上身份与权限安全.41 身份管理.41 权限管理.45 云上数据安全.47 防护重点1：数据分类分级.49 防护重点2：静态数据防护.49 防护重点3：动态数据防护.50 防护重点4：数据安全审计.50 小结.51 6 金融企业上云容灾设计.52 容灾技术架构选型.52 云上容灾方案设计.53 4 云上容灾参考架构.56 同城容灾参考架构.57 异地容灾参考架构.59 小结.61 7 结束语.62 附录：参考文档.63 5 法律声明 本文档的版权归阿里云所有，您应当通过阿里云网站或阿里云提供的其他授权通道下载、获取本文档，且仅能用于自身的合法合规的业务活动。一、文档使

4、用及更新说明 本文档仅作为用户使用阿里云产品及服务的参考性指引，阿里云以产品及服务的“现状”、“有缺陷”和“当前功能”的状态提供本文档。阿里云在现有技术的基础上尽最大努力提供相应的介绍及操作指引，但阿里云对本文档内容的准确性、完整性不作任何明示或暗示的保证。由于产品版本升级、调整或其他原因，本文档内容有可能变更。阿里云保留在没有任何通知或者提示下，对本文档的内容进行修改的权利，并在阿里云授权通道中不时发布更新后的文档。您应当实时关注用户文档的版本变更，并通过阿里云授权渠道下载、获取最新版的用户文档。二、知识产权声明 本文档中的材料和信息，包括但不限于文本、产品、图片、数据、档案、建议、资料，均

5、由阿里云和/或其关联公司依法拥有其知识产权，包括但不限于商标权、专利权、著作权等。非经阿里云和/或其关联公司书面同意，任何人不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表。三、如何联系我们 您对本声明内容有任何疑问和意见，或者您发现本文档存在任何错误，您可以登录阿里云官网，单击首页下方联系我们与我们联系。出品信息 6 出品方：阿里云计算有限公司 监制 陈立伟，黄永法 编写成员 宁江彬，刘冰，龚韵中，庄鑫博，冉庆坤，吴骋骐，张威，钱岩，林龙军，孙岩，崔迪，王睿超 特别鸣谢 张翅（阿里云智能新金融行业解决方案总经理）李津（阿里云智能全球技术服务部总经理）祝顺民（阿里云智能云网络总经

6、理）欧阳欣（阿里云智能云安全总经理）何登成（阿里云智能开放平台总经理）7 序言 在数字经济高速发展的大背景下，金融行业的顶层政策标准指引、传统IT架构升级、业务数字化转型、金融信息技术应用创新需求驱动等因素的多重影响，金融行业上云进程不断加速，从早期的简单用云已经步入到日益深化的阶段。总体看有三个特点来看这个发展和变化。一、随着音视频、大模型等等新技术的出现，不断影响改变着金融业务在客户服务上的形态，金融行业上公共云的业务类型和规模也日益增多。二、金融行业自身技术架构也在不断拥抱和采用云平台和云原生技术，建设自己专有的云平台，更为重要的是绝大多数金融机构都选择公专一体的云平台技术路线。三、随着