[[437680]]

【51CTO.com快譯】可以信任公共云嗎?答案當(dāng)然是肯定的。在許多方面，采用公共云比企業(yè)運(yùn)營(yíng)自己的數(shù)據(jù)中心更安全。

但是，多個(gè)客戶在公共云共享同一物理硬件這一事實(shí)是否會(huì)造成安全問(wèn)題?多租戶系統(tǒng)在本質(zhì)上都不太安全嗎?

什么是多租戶?

首先，應(yīng)該討論多租戶環(huán)境和單租戶環(huán)境的含義。正如人們懷疑的那樣，答案并不像看起來(lái)那么明確。

先了解一下在數(shù)據(jù)中心運(yùn)行的非云的應(yīng)用程序。圖1顯示了這樣一個(gè)系統(tǒng)。

圖1單租戶應(yīng)用程序

可以在圖1中看到兩個(gè)客戶，每個(gè)客戶都在不同且獨(dú)立的物理服務(wù)器上運(yùn)行不同的應(yīng)用程序?qū)嵗?。兩臺(tái)服務(wù)器可能在同一個(gè)數(shù)據(jù)中心運(yùn)行，共享同一個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，但不共享其他物理資源。由于它們都運(yùn)行不同的計(jì)算機(jī)實(shí)例(具有獨(dú)立的CPU、內(nèi)存和存儲(chǔ)硬件)，因此一個(gè)客戶的信息很難干擾另一個(gè)客戶的信息，這在本質(zhì)上是不可能的。

但是，如果在此設(shè)置中添加第三個(gè)客戶，則需要應(yīng)用程序的第三個(gè)實(shí)例，這需要購(gòu)買和設(shè)置第三臺(tái)物理服務(wù)器，并安裝、更新和配置適當(dāng)?shù)挠布O(shè)置和軟件。通常情況下，添加新客戶是一項(xiàng)緩慢、繁瑣且極其昂貴的任務(wù)。而從好的方面來(lái)說(shuō)，客戶的應(yīng)用程序可以被物理硬件墻隔開(kāi)。

多租戶的虛擬化

將上述單租戶模型與圖2所示的模型進(jìn)行比較。

圖2 物理多租戶、虛擬單租戶模型

在圖2中有兩個(gè)客戶，他們使用了一臺(tái)物理服務(wù)器運(yùn)行兩個(gè)不同實(shí)例。但是在這種情況下，實(shí)例分別運(yùn)行在兩個(gè)獨(dú)立的虛擬服務(wù)器上，實(shí)際上它們都在同一臺(tái)物理服務(wù)器上運(yùn)行。這是使用服務(wù)器虛擬化的多租戶示例，自從上世紀(jì)80年代末和90年代初以來(lái)一直在使用。這個(gè)理念是每個(gè)應(yīng)用程序駐留在單獨(dú)的虛擬服務(wù)器上，但兩個(gè)虛擬服務(wù)器駐留在相同的物理硬件上。

與單租戶模型相比，這一模型提高了遷移應(yīng)用程序和軟件的能力?，F(xiàn)在，當(dāng)新客戶加入時(shí)，可以使用這臺(tái)物理服務(wù)器的硬件和軟件，無(wú)需部署全新的物理服務(wù)器。需要做的就是啟動(dòng)一個(gè)新的虛擬服務(wù)器實(shí)例。這是一個(gè)簡(jiǎn)單的命令或API調(diào)用，通常很容易做到。只要物理服務(wù)器有足夠的容量，就可以通過(guò)簡(jiǎn)單的API調(diào)用啟動(dòng)多個(gè)虛擬服務(wù)器。而只有在需要額外的物理資源時(shí)才需要增加新硬件。

事實(shí)上，這個(gè)模型如此強(qiáng)大，以至于它是云計(jì)算服務(wù)的基礎(chǔ)。服務(wù)器虛擬化允許云計(jì)算提供商直接向企業(yè)出售虛擬服務(wù)器實(shí)例，并使他們能夠按需啟動(dòng)和停止實(shí)例。這是AWS EC2服務(wù)的基礎(chǔ)，也是Microsoft Azure、谷歌云平臺(tái)和其他公共云服務(wù)的基礎(chǔ)。新實(shí)例可以租給客戶一段時(shí)間，然后釋放出來(lái)供其他客戶使用。

客戶的信息被虛擬硬件墻隔開(kāi)，而這些硬件墻可以由虛擬化軟件模擬。雖然添加新的客戶更容易，但它仍然需要啟動(dòng)新的虛擬服務(wù)器實(shí)例，這確實(shí)會(huì)消耗資源。

這種模型稱為物理多租戶、虛擬單租戶模型。這個(gè)名字來(lái)源于這樣一個(gè)事實(shí)，即每個(gè)虛擬實(shí)例都被分配給一個(gè)擁有自己的軟件實(shí)例(虛擬單租戶)的客戶，而虛擬實(shí)例都運(yùn)行在共享的物理硬件上(物理多租戶)。

多租戶軟件

現(xiàn)在將上面的兩個(gè)模型與圖3進(jìn)行比較。

圖3 物理多租戶、虛擬多租戶模型(又名SaaS模型)

在這個(gè)模型中，多個(gè)客戶共享同一個(gè)應(yīng)用程序?qū)嵗歼\(yùn)行在同一個(gè)物理服務(wù)器和同一個(gè)物理基礎(chǔ)設(shè)施上。在這種情況下，軟件提供了客戶之間的分離，但不是物理分離，這些客戶的應(yīng)用和信息只是通過(guò)軟件分隔。

這種模型稱為物理多租戶、虛擬多租戶模型。它被稱為軟件即服務(wù)(SaaS)模型。

在這種情況下，添加新客戶非常容易。不需要虛擬或物理硬件。只要底層硬件有足夠的資源，就可以通過(guò)更新數(shù)據(jù)庫(kù)或在配置文件中添加條目來(lái)添加額外的客戶。添加新客戶快速、簡(jiǎn)單且成本低廉。

多租戶安全嗎?

單租戶比多租戶更安全嗎?這是一個(gè)常見(jiàn)問(wèn)題，也是一個(gè)很難回答的問(wèn)題。兩種模型可能是安全的，也可能是不安全的。當(dāng)涉及到惡意人士試圖攻擊軟件和應(yīng)用程序時(shí)，這兩種模型都需要安全的流程和程序來(lái)防止惡意攻擊。

但是意外的安全漏洞呢?例如，不小心將一個(gè)客戶的數(shù)據(jù)暴露給另一個(gè)客戶呢?當(dāng)然，設(shè)計(jì)不佳的多租戶SaaS應(yīng)用程序確實(shí)存在將數(shù)據(jù)暴露給使用相同共享環(huán)境的其他消費(fèi)者的風(fēng)險(xiǎn)。

要了解這一點(diǎn)，可以通過(guò)圖4來(lái)了解。

圖4 跨客戶安全問(wèn)題因租賃類型而異

首先來(lái)看一個(gè)真正的單租戶應(yīng)用程序，如圖4左上角所示。如果一個(gè)客戶的數(shù)據(jù)意外地泄露給另一個(gè)客戶，那么其數(shù)據(jù)必須在物理服務(wù)器之間移動(dòng)。這并不容易，也很難想象這怎么會(huì)意外發(fā)生。單租戶系統(tǒng)不太可能出現(xiàn)意外的安全問(wèn)題。

現(xiàn)在來(lái)看看虛擬服務(wù)器的多租戶應(yīng)用，如圖4右上角所示。為了在這個(gè)模型中意外暴露數(shù)據(jù)，數(shù)據(jù)必須穿越一個(gè)強(qiáng)大的虛擬化邊界。雖然很難想象這種情況會(huì)發(fā)生，但這并非不可能。事實(shí)上，幾年前，Meltdown和Spectre漏洞暴露了服務(wù)器虛擬化中的一個(gè)缺陷，該缺陷可能導(dǎo)致此類暴露，但該缺陷很快被發(fā)現(xiàn)并修復(fù)。

在真正的多租戶應(yīng)用程序(SaaS應(yīng)用程序)中，如圖4底部所示，軟件錯(cuò)誤更有可能暴露客戶之間的數(shù)據(jù)。這是因?yàn)榭蛻糁g的分離完全存在于應(yīng)用層，其底層硬件或虛擬化沒(méi)有分離。從理論上來(lái)說(shuō)，軟件錯(cuò)誤可能會(huì)意外地暴露另一個(gè)客戶的數(shù)據(jù)。

這是人們可能會(huì)面臨的風(fēng)險(xiǎn)。但實(shí)際上，當(dāng)使用來(lái)自信譽(yù)良好的企業(yè)的高質(zhì)量SaaS應(yīng)用程序時(shí)，這種風(fēng)險(xiǎn)并沒(méi)有看起來(lái)那么大。當(dāng)然，任何涉及租戶之間意外數(shù)據(jù)泄露的漏洞都會(huì)很快得到修復(fù)。人們對(duì)這個(gè)特定問(wèn)題給予了很多關(guān)注。但這是客戶在選擇SaaS公司并決定向他們提供哪些數(shù)據(jù)時(shí)應(yīng)該考慮的問(wèn)題。

為什么要使用多租戶?

如果單租戶在理論上比多租戶更安全，那為什么還要使用多租戶呢?

首先，可以從上述用例中推斷出，多租戶系統(tǒng)更容易擴(kuò)展，也更容易添加新客戶。在單租戶系統(tǒng)中添加新客戶的成本非常高，因?yàn)檫@包括新硬件、設(shè)置、配置、維護(hù)、軟件、升級(jí)等的成本。相比之下，新客戶的增量成本在真正的多租戶SaaS系統(tǒng)幾乎為零，其添加實(shí)際上就像向數(shù)據(jù)庫(kù)添加一行數(shù)據(jù)一樣簡(jiǎn)單。多租戶SaaS系統(tǒng)允許提供商在他們的應(yīng)用程序中構(gòu)建“先試后買”的功能，并在仍然保持盈利的同時(shí)實(shí)施真正的免費(fèi)層。這在完整的單租戶應(yīng)用程序和硬件中幾乎是不可能的。

當(dāng)必須處理額外負(fù)載時(shí)，多租戶系統(tǒng)還可以更輕松地向正在運(yùn)行的應(yīng)用程序添加資源。如果應(yīng)用程序需要一定數(shù)量的服務(wù)器來(lái)處理負(fù)載，并且流量激增，那么會(huì)怎么做?對(duì)于具有虛擬多租戶硬件的系統(tǒng)，可以在幾秒鐘內(nèi)輕松地動(dòng)態(tài)添加額外的服務(wù)器容量。對(duì)于真正的單租戶應(yīng)用程序，購(gòu)買、安裝和配置物理服務(wù)器可能需要數(shù)天或數(shù)周的時(shí)間。

由于在單租戶應(yīng)用程序中增加容量需要很長(zhǎng)時(shí)間，因此需要提前幾個(gè)月規(guī)劃容量。企業(yè)必須猜測(cè)自己的需求是什么，并且必須有足夠的過(guò)剩容量來(lái)滿足可能遇到的任何異?；蛞馔獾姆逯怠＿@種過(guò)剩容量大部分時(shí)間都處于閑置狀態(tài)，從而增加了應(yīng)用程序運(yùn)營(yíng)成本。

使用多租戶系統(tǒng)，以通過(guò)啟動(dòng)更多虛擬服務(wù)器，在需要時(shí)動(dòng)態(tài)添加額外容量。由于多租戶基礎(chǔ)設(shè)施中的硬件是共享的，因此多余的容量會(huì)在多個(gè)客戶之間分?jǐn)偂?/p>

應(yīng)用程序?qū)⑦\(yùn)行在多租戶的硬件環(huán)境

應(yīng)用程序的未來(lái)發(fā)展是，多租戶硬件環(huán)境中的多租戶虛擬環(huán)境中運(yùn)行多租戶應(yīng)用程序。單租戶應(yīng)用程序?qū)⒃絹?lái)越少，并且將主要用于內(nèi)部部署數(shù)據(jù)中心環(huán)境。多租戶系統(tǒng)的安全問(wèn)題只是所有應(yīng)用程序整體安全框架的一部分。

多租戶是公共云的基礎(chǔ)，它是所有主要生產(chǎn)操作環(huán)境的支柱，它定義了現(xiàn)在和將來(lái)如何構(gòu)建和部署應(yīng)用程序。

原文標(biāo)題：Learn to love the multitenant cloud，作者：Lee Atchison

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】