1.服务概述
1.1.服务说明
Landing Zone服务是在客户系统在上云的过程中,提供基于阿里云产品体系的云化IT治理方案设计与方案技术验证。通过该服务帮助客户进行账户管理方案设计、网络规划方案设计、财务管理方案设计、资源管理方案设计、合规审计方案设计、安全防护方案设计与方案技术验证服务。通过该服务指导客户根据阿里云最佳实践更快地设置安全的多账户阿里云环境。
Landing Zone服务包含3项子服务,客户可以结合自身业务需求进行购买:
Landing Zone服务(必选,以下3选1)
基础版
轻量级咨询服务:包含账户管理方案和网络规划方案/安全防护方案,基于客户的需求进行方案设计、技术咨询服务
包含基于以上方案的技术验证服务,对所用到的技术选型进行技术验证
标准版
标准咨询服务:包含账户管理方案、网络规划方案、财务管理方案、资源管理方案、合规审计方案和安全防护方案,基于客户的需求进行方案设计、技术咨询服务
包含基于以上方案的技术验证服务,对所用到的技术选型进行技术验证
包含客户自建系统的对接方案,包含SSO、CMDB、计费系统
进阶版
进阶咨询服务:包含账户管理方案、网络规划方案、财务管理方案、资源管理方案、合规审计方案和安全防护方案,基于客户的需求进行方案设计、技术咨询服务、方案实施
包含基于以上方案的技术验证服务,对所用到的技术选型进行技术验证并进行方案实施包含客户自建系统的对接方案,包含SSO、CMDB、计费系统
任何未在本SOW中定义的工作或方案均在本项目的范围之外。
2.服务范围
以下服务范围按照3个类别进行分类,分别是Landing Zone基础版,Landing Zone标准版,Landing Zone进阶版,不同客户类型可按照不同需求进行交付。
2.1.Landing Zone基础版服务范围
Landing Zone基础版内容如下:
Landing Zone调研与评估
以调研表、访谈等多种方式快速调研和分析应用技术栈现状,企业实施云化IT治理可行性评估。确定Landing Zone流程。
基于评估的结果,给出Landing Zone技术路线选型。
账户管理方案
基于Landing Zone调研与评估的结果,为客户设计账户管理方案,包含:
账号:规划阿里云上账号、权限划分方案,RAM账户使用规范等
MFA:加入MFA支持方案
SSO接入:与客户现有的SSO统一登录与身份集成,打通用户鉴权体系
身份认证:梳理身份使用场景,根据场景设计联邦认证集成方案
网络规划方案(网络规划方案/安全防护方案二选一)
基于Landing Zone调研与评估的结果,为客户设计网络规划方案,包含:
网络接入方案:主要规划IDC通过VPN接入云平台网络的方案,包括接入层防火墙设计、应用层防火墙设计,跳板机方案。
云内部网络方案:定义网络架构规划方案,包括VPC的划分、网段及IP地址规划、云上DMZ区域划分。
云间互联方案:通过CEN,在不同的区域、不同的账号、不同的本地数据中心建立VPC互联。可根据客户需求通过账号进行互联授权。
安全防护方案(网络规划方案/安全防护方案二选一)
基于Landing Zone调研与评估的结果,为客户设计安全防护方案,包含:
网络安全:主要指安全组配置,设计云上网络安全域划分方案,通过网络安全区域进行应用的隔离,同时针对应用的具体需求进行联通配置。
数据安全:包括密钥管理、数据库访问控制、存储访问控制,根据客户需求设计满足客户安全要求的数据安全方案。
需要注意的是,安全方案仅包含云平台本身涉及到的安全,并遵循企业安全管理规范,不涉及客户应用及其它安全需求。
技术验证
根据以上账户管理方案、网络规划方案或安全防护方案进行技术验证,该阶段的目标是为了对方案中所用的技术选型进行技术验证。技术验证范围包括:
用户账号、权限、身份管理验证
网络分配、网段划分、网络连通验证
2.2.Landing Zone标准版服务范围
Landing Zone标准版内容如下:
Landing Zone调研与评估
以调研表、访谈等多种方式快速调研和分析应用技术栈现状,企业实施云化IT治理可行性评估。确定Landing Zone流程。
基于评估的结果,给出Landing Zone工作范围。
账户管理方案
基于Landing Zone调研与评估的结果,为客户设计账户管理方案,包含:
账号:规划阿里云上账号、权限划分方案,RAM账户使用规范等
MFA:加入MFA支持方案
SSO接入:与客户现有的SSO统一登录与身份集成,打通用户鉴权体系
身份认证:梳理身份使用场景,根据场景设计联邦认证集成方案
网络规划方案
基于Landing Zone调研与评估的结果,为客户设计网络规划方案,包含:
网络接入方案:主要规划IDC接入云平台网络的方案,包括接入层防火墙设计、应用层防火墙设计,跳板机方案
云内部网络方案:定义网络架构规划方案,包括VPC的划分、网段及IP地址规划、云上DMZ区域划分
云间互联方案:通过CEN,在不同的区域、不同的账号、不同的本地数据中心建立VPC互联。可根据客户需求通过账号进行互联授权
财务管理方案
基于Landing Zone调研与评估的结果,为客户设计财务管理方案,包含:
成本分账:设计成本核算模型,对云上支出进行基于成本中心的账单分析方案
成本分析:设计客户的财务分析方案,提供阿里云计费能力对接方案,协助客户接入企业内部财务分析平台,获取账单、费用明细等费用数据
成本优化:根据所采用的云服务成本优化的最佳实践、部署方案和审计方案
资源管理方案
基于Landing Zone调研与评估的结果,为客户设计资源管理方案,包含:
提供阿里云计费能力对接方案,协助客户接入企业内部计费平台,获取账单、发票等费用数据
对于没有标准计费模式和平台的企业,提供基于资源目录的费用管理方案,提供分账设计方案
合规审计方案
基于Landing Zone调研与评估的结果,为客户设计合规审计方案,包含:
提供企业防火墙配置规范,满足等保合规对于安全区域边界防护的要求
企业级多层次防护,包括服务端加密、客户端加密、防盗链、IP黑白名单配置规范
包含操作审计、账号审计、日志审计等,结合企业审计要求定制服务企业要求的审计方案
安全防护方案
基于Landing Zone调研与评估的结果,为客户设计安全防护方案,包含:
网络安全:主要指安全组配置,设计云上网络安全域划分方案,通过网络安全区域进行应用的隔离,同时针对应用的具体需求进行联通配置。
数据安全:包括密钥管理、数据库访问控制、存储访问控制,根据客户需求设计满足客户安全要求的数据安全方案。
需要注意的是,安全方案仅包含云平台本身涉及到的安全,并遵循企业安全管理规范,不涉及客户应用及其它安全需求。
技术验证
根据以上账户管理方案、网络规划方案、财务管理方案、资源管理方案、合规审计方案、安全防护方案进行技术验证,该阶段的目标是为了对方案中所用的技术选型进行技术验证。技术验证范围包括:
用户账号、权限、身份管理验证
网络分配、网段划分、网络连通验证
费用分账验证
IP白名单、网络安全组、操作审计验证
安全域隔离性、数据访问白名单验证
企业IT基础设施接入验证:SSO、CMDB、计费平台
2.3.Landing Zone进阶版服务范围
Landing Zone进阶版内容如下:
Landing Zone调研与评估
以调研表、访谈等多种方式快速调研和分析应用技术栈现状,企业实施云化IT治理可行性评估。确定Landing Zone流程。
基于评估的结果,给出Landing Zone工作范围。
账户管理方案
基于Landing Zone调研与评估的结果,为客户设计账户管理方案,包含:
账号:规划阿里云上账号、权限划分方案,RAM账户使用规范等
MFA:加入MFA支持方案
SSO接入:与客户现有的SSO统一登录与身份集成,打通用户鉴权体系
身份认证:梳理身份使用场景,根据场景设计联邦认证集成方案
网络规划方案
基于Landing Zone调研与评估的结果,为客户设计网络规划方案,包含:
网络接入方案:主要规划IDC接入云平台网络的方案,包括接入层防火墙设计、应用层防火墙设计,跳板机方案
云内部网络方案:定义网络架构规划方案,包括VPC的划分、网段及IP地址规划、云上DMZ区域划分
云间互联方案:通过CEN,在不同的区域、不同的账号、不同的本地数据中心建立VPC互联。可根据客户需求通过账号进行互联授权。
财务管理方案
基于Landing Zone调研与评估的结果,为客户设计财务管理方案,包含:
成本分账:设计成本核算模型,对云上支出进行基于成本中心的账单分析方案
成本分析:设计客户的财务分析方案,提供阿里云计费能力对接方案,协助客户接入企业内部财务分析平台,获取账单、费用明细等费用数据
成本优化:根据所采用的云服务成本优化的最佳实践、部署方案和审计方案
资源管理方案
基于Landing Zone调研与评估的结果,为客户设计资源管理方案,包含:
提供阿里云计费能力对接方案,协助客户接入企业内部计费平台,获取账单、发票等费用数据
对于没有标准计费模式和平台的企业,提供基于资源目录的费用管理方案,提供分账设计方案
合规审计方案
基于Landing Zone调研与评估的结果,为客户设计合规审计方案,包含:
提供企业防火墙配置规范,满足等保合规对于安全区域边界防护的要求
企业级多层次防护,包括服务端加密、客户端加密、防盗链、IP黑白名单配置规范
包含操作审计、账号审计、日志审计等,结合企业审计要求定制服务企业要求的审计方案
安全防护方案
基于Landing Zone调研与评估的结果,为客户设计安全防护方案,包含:
网络安全:主要指安全组配置,设计云上网络安全域划分方案,通过网络安全区域进行应用的隔离,同时针对应用的具体需求进行联通配置。
数据安全:包括密钥管理、数据库访问控制、存储访问控制,根据客户需求设计满足客户安全要求的数据安全方案。
需要注意的是,安全方案仅包含云平台本身涉及到的安全,并遵循企业安全管理规范,不涉及客户应用及其它安全需求。
技术验证
根据以上账户管理方案、网络规划方案、财务管理方案、资源管理方案、合规审计方案、安全防护方案进行技术验证,该阶段的目标是为了对方案中所用的技术选型进行技术验证。技术验证范围包括:
用户账号、权限、身份管理验证
网络分配、网段划分、网络连通验证
费用分账验证
IP白名单、网络安全组、操作审计验证
安全域隔离性、数据访问白名单验证
企业IT基础设施接入验证:SSO、CMDB、计费平台
方案实施
根据以上账户管理方案、网络规划方案、财务管理方案、资源管理方案、合规审计方案、安全防护方案的技术验证结果进行方案实施,该阶段的目标是为了对方案中所用的技术方案进行实施。
本服务不包含:
Landing Zone仅包含客户云上的IT治理内容,不提供企业级IT治理咨询,如有需求请单独购买相关服务
方案涉及到安全治理仅包括云平台层面的安全审计治理相关设计,不涉及客户业务系统本身的应用安全、内容安全,不包含客户的等保要求等。
方案涉及到对接客户自有平台,如SSO、CMDB、计费平台等,均只提供对接方案,不负责处理客户自有平台本身的技术问题以及不负责具体的对接实现。
由甲方原因导致的进度不符合预期,乙方不承担延期责任。
甲方不应限制服务方式,乙方按照项目需要通过现场或远程方式进行详细调研以及咨询方案设计,并产出最终结果。
乙方不负责提供除阿里云官方文档、项目交付范围内文档之外的任何技术文档。
乙方不负责甲方业务系统规划、架构设计、上云改造、应用过程中的任何实施与维护责任。
乙方不负责非阿里云平台(第三方软件、应用系统)问题处理、技术的支持和答疑工作。
3.前提条件
客户应提前至少15个工作日申请该服务,以便于阿里云评估客户业务目标及时间计划可行,确认是否承接该服务申请。
如客户的申请涉及大批量资源需求,建议客户提前一个月申请,具体视供应链评估情况协商。
客户应及时向乙方提供所有需要的合理的文档、信息、数据、图表以及必要的系统权限、远程访问通道以使乙方可以提供服务。且所有这些资料将受到本协议项下的保密条款的约束。甲方同意向乙方已披露的或将要披露的所有信息是真实、准确并且不会产生误导。
Landing Zone基础版、标准版及进阶版,乙方的办公地点不受项目约束,服务的提供方式主要以:电话、钉钉、邮件等方式。
本项目交付过程中,实施主体为甲方,乙方主要提供方案设计以及实施过程中的问题处理,具体的IT治理实施动作需要由甲方进行。
乙方将在正常业务时间,即星期一到星期五的正常业务时间,即北京时间上午 9:00 到下午 6:00(国家法定节假日除外)提供本项目的交付服务。
双方在项目实施期间采用双方同意的通讯方式,由双方的项目经理负责传递本项目所需的书面信息,可选择的通讯方式包括:钉钉,互联网、FAX、电子邮件等。
所有项目交付物为中文(简体),工作语言为中文。所有交付作品采用MicrosoftOffice(包括PPT,WORD,Excel,Visio)格式,并以电子拷贝方式提交。
甲方与乙方应须按双方事先达成一致的工作计划、人员资源计划与系统确定的工作起止日期投入项目工作。如遇到甲方相关业务系统迭代延期上线,相关项目进度将会产生顺延,乙方对此不承担责任。
如需引入第三方,甲乙双方应分别负责同各自第三方签订合同。乙方不对甲方的其他分包商或厂商(除乙方的分包商外)的行为负责、亦不对由其造成的延迟负责;甲方不对乙方的其他分包商或厂商(除甲方的分包商外)的行为负责、亦不对由其造成的延迟负责。
任何一方均不对本合同项下的特殊、附带、或间接损害或后果性经济损害(包括利润或节省金额损失)负责,即便该方已被告知该等损害赔偿的可能性。
4.分工界面
4.1.客户与阿里云
客户购买Landing Zone(基础版+标准版+进阶版),经过阿里云审核后确认服务成立
针对该服务期限内,双方商定并确认具体业务目标及范围。
服务类型 | 阶段 | 任务名称 | 任务明细 | 客户 | 阿里云 |
|---|---|---|---|---|---|
Landing Zone | 现状调研 | 基础设施调研 | 分析用户的部署架构,收集当前运行收集当前计算、存储、中间件与应用之间的关系,并对这些节点进行数据上的统计和分析 | A/S/C/I | R/I |
业务现状与应用系统调研 | 通过远程信息收集+现场沟通讨论的方式,摸清客户当前IT治理现状,对于云上IT治理的需求情况。 | A/S/C/I | R/I | ||
Landing Zone规范调研 | 收集用户IT治理规范,如安全规范、网络规范、账号管理规范、计费分账规范的等,摸清企业IT治理架构。 | A/S/C/I | R/I | ||
方案设计 | 账户管理方案设计 | 针对企业用户账号设计管理方案,包含SSO对接、MFA、权限管理等 | A/S/C/I | R/I | |
网络规划方案设计 | 基于客户网络规划,设计网络规划方案,满足客户系统对于网络的需求 | A/S/C/I | R/I | ||
财务管理方案设计 | 基于分账标签设计企业的云成本管理方案,为后续成本优化及业务决策,提供数据支撑 | A/S/C/I | R/I | ||
资源管理方案设计 | 根据评估系统对于云上资源的需求进行资源管理设计,满足应用对于云资源的需求 | A/S/C/I | R/I | ||
合规审计方案设计 | 基于企业合规审计规范,结合云上产品制定合规与审计方案,满足企业诉求 | A/S/C/I | R/I | ||
安全防护方案设计 | 基于企业安全规范,结合云上产品制定安全防护方案,满足企业诉求。仅包含云上安全 | A/S/C/I | R/I | ||
技术验证 | Landing Zone方案技术验证 | 方案技术验证,协助解决方案验证过程中遇到的问题 | A/S/C/I/R | S/C/I | |
方案实施 | Landing Zone方案实施 | 方案实施,协助进行技术方案实施 | A/S/C/I | R/S/C/I |
责任简称:R-Responsible执行人,A-Accountable负责人,C-Consulted征求意见人,I-Informed被告知人,S-Support负责配合“R”完成指标的工作
4.1.1.客户
客户指定一名具备合适技能和经验的项目经理作为与阿里云沟通的主要联系人,代表客户直接负责项目实施的计划、协调、监督与控制以及升级问题与风险,同时全权代表客户在本项目的各个方面做出决策。
根据项目情况,由甲方项目经理协调各方资源主导Landing Zone调研以及技术验证工作。
项目开始由甲方提供企业内部IT治理相关的资料和规范文档,并明确说明执行要求。
4.1.2.阿里云
指派一名有经验的技术经理执行Landing Zone项目管理,并引入、管理乙方项目组人员,与甲方项目经理沟通。
通过现状调研了解客户系统的基本架构、业务使用场景、技术组件和开发框架等信息,并对Landing Zone规范进行评估。
基于现状调研设计Landing Zone方案。
配合甲方进行Landing Zone方案技术验证,协助解决技术验证过程中遇到的各类问题。
4.1.3.完工标准
Landing Zone基础版完工标准
Landing Zone方案设计完成并经过甲方确认,需包含账户管理和网络规划/安全防护两部分
产出交付物
《Landing Zone基础治理方案》
Landing Zone标准版完工标准
Landing Zone方案设计完成并经过甲方确认,需包含账户管理、网络规划、财务管理、资源管理、合规审计、安全防护。
产出交付物
《Landing Zone标准治理方案》
Landing Zone进阶版完工标准
Landing Zone方案完成设计与实施并经过甲方确认,需包含账户管理、网络规划、财务管理、资源管理、合规审计、安全防护。
产出交付物
《Landing Zone进阶治理方案》
4.2.服务目录
服务内容:Landing Zone服务针对客户的业务目标,包含以下服务:
阶段名称 | 服务目录 | Landing Zone基础版 | Landing Zone标准版 | Landing Zone进阶版 |
|---|---|---|---|---|
现状调研 | 基础设施调研 | 支持 | 支持 | 支持 |
业务现状与应用系统调研 | 支持 | 支持 | 支持 | |
Landing Zone规范调研 | 支持 | 支持 | 支持 | |
方案设计 | 账户管理 | 支持 | 支持 | 支持 |
网络规划 | 支持(网络规划/安全防护二选一) | 支持 | 支持 | |
财务管理 | 支持 | 支持 | ||
资源管理 | 支持 | 支持 | ||
合规审计 | 支持 | 支持 | ||
安全防护 | 支持(网络规划/安全防护二选一) | 支持 | 支持 | |
技术验证 | Landing Zone方案技术验证 | 支持 | 支持 | 支持 |
方案实施 | Landing Zone方案实施 | 支持 |
5.服务SLA
提供Landing Zone服务
在服务期间内向客户提供方案技术验证以及按需的现场保障
按对应服务规格提供《Landing Zone基础治理方案》、《Landing Zone标准治理方案》、《Landing Zone进阶治理方案》
6.服务流程
Landing Zone服务流程
7.验收标准
7.1.验收分项清单
编号 | 交付阶段 | 交付明细 | 交付物 | 交付物类型 |
|---|---|---|---|---|
1 | 现状调研阶段 | 基础设施调研 | 《LandingZone现状调研报告》 | 文档 |
业务现状和应用系统调研 | ||||
LandingZone规范调研 | ||||
2 | 方案设计阶段 | 账户管理 | 《LandingZone基础治理方案》 网络治理《LandingZone标准治理方案》 资源治理《LandingZone进阶治理方案》 | |
网络规划 | ||||
财务管理 | ||||
资源管理 | ||||
合规审计 | ||||
安全防护 | ||||
3 | 技术验证 | 方案技术验证 | 无 | |
4 | 方案实施 | 方案技术实施 | 无 |
7.2.验收标准
乙方项目交付过程中提供LandingZone咨询,并将关键信息记录在文档内,因此文档类交付成果应着重文档实质内容的验收,确认乙方提交内容符合甲方需求。
若甲方业务流程要求在乙方提交交付成果前需进行各类内部评审,甲方应在约定的验收时点前推动并及时完成其内部所需评审和汇报。
文档内容经过评审会,若需要修改,乙方修改后提请甲方进行验收,由甲方指定的代表进行签收确认。验收在公共云服务系统页面上点击验收确认按钮。
LandingZone基础版验收标准
《LandingZone基础治理方案》满足预期
LandingZone标准版验收标准
《LandingZone标准治理方案》满足预期
LandingZone进阶版验收标准
《LandingZone标准治理方案》满足预期
7.3.验收计划
根据《7.1验收分项清单》所列示各阶段的交付内容与交付物,本项目将按照以下验收计划进行项目验收,甲方同意根据此验收计划对乙方的交付物进行验收。
LandingZone基础版验收计划
编号 | 验收里程碑 | 验收内容 | 验收完成标志 |
|---|---|---|---|
1 | 《LandingZone基础治理方案》设计与验证完成 | 《LandingZone基础治理方案》 | 甲方确认验收方案 |
LandingZone标准版验收计划
编号 | 验收里程碑 | 验收内容 | 验收完成标志 |
|---|---|---|---|
1 | 《LandingZone标准治理方案》设计与验证完成 | 《LandingZone标准治理方案》 | 甲方确认验收方案 |
LandingZone进阶版验收计划
编号 | 验收里程碑 | ||
|---|---|---|---|
1 | 《LandingZone进阶治理方案》设计、验证与实施完成 | 《LandingZone进阶治理方案》 | 甲方确认验收方案 |
8.完成标志
客户验收完成