[[437680]]

【51CTO.com快譯】可以信任公共云嗎?答案當然是肯定的。在許多方面，采用公共云比企業(yè)運營自己的數(shù)據(jù)中心更安全。

但是，多個客戶在公共云共享同一物理硬件這一事實是否會造成安全問題?多租戶系統(tǒng)在本質(zhì)上都不太安全嗎?

什么是多租戶?

首先，應該討論多租戶環(huán)境和單租戶環(huán)境的含義。正如人們懷疑的那樣，答案并不像看起來那么明確。

先了解一下在數(shù)據(jù)中心運行的非云的應用程序。圖1顯示了這樣一個系統(tǒng)。

圖1單租戶應用程序

可以在圖1中看到兩個客戶，每個客戶都在不同且獨立的物理服務器上運行不同的應用程序?qū)嵗?。兩臺服務器可能在同一個數(shù)據(jù)中心運行，共享同一個網(wǎng)絡(luò)基礎(chǔ)設(shè)施，但不共享其他物理資源。由于它們都運行不同的計算機實例(具有獨立的CPU、內(nèi)存和存儲硬件)，因此一個客戶的信息很難干擾另一個客戶的信息，這在本質(zhì)上是不可能的。

但是，如果在此設(shè)置中添加第三個客戶，則需要應用程序的第三個實例，這需要購買和設(shè)置第三臺物理服務器，并安裝、更新和配置適當?shù)挠布O(shè)置和軟件。通常情況下，添加新客戶是一項緩慢、繁瑣且極其昂貴的任務。而從好的方面來說，客戶的應用程序可以被物理硬件墻隔開。

多租戶的虛擬化

將上述單租戶模型與圖2所示的模型進行比較。

圖2 物理多租戶、虛擬單租戶模型

在圖2中有兩個客戶，他們使用了一臺物理服務器運行兩個不同實例。但是在這種情況下，實例分別運行在兩個獨立的虛擬服務器上，實際上它們都在同一臺物理服務器上運行。這是使用服務器虛擬化的多租戶示例，自從上世紀80年代末和90年代初以來一直在使用。這個理念是每個應用程序駐留在單獨的虛擬服務器上，但兩個虛擬服務器駐留在相同的物理硬件上。

與單租戶模型相比，這一模型提高了遷移應用程序和軟件的能力?，F(xiàn)在，當新客戶加入時，可以使用這臺物理服務器的硬件和軟件，無需部署全新的物理服務器。需要做的就是啟動一個新的虛擬服務器實例。這是一個簡單的命令或API調(diào)用，通常很容易做到。只要物理服務器有足夠的容量，就可以通過簡單的API調(diào)用啟動多個虛擬服務器。而只有在需要額外的物理資源時才需要增加新硬件。

事實上，這個模型如此強大，以至于它是云計算服務的基礎(chǔ)。服務器虛擬化允許云計算提供商直接向企業(yè)出售虛擬服務器實例，并使他們能夠按需啟動和停止實例。這是AWS EC2服務的基礎(chǔ)，也是Microsoft Azure、谷歌云平臺和其他公共云服務的基礎(chǔ)。新實例可以租給客戶一段時間，然后釋放出來供其他客戶使用。

客戶的信息被虛擬硬件墻隔開，而這些硬件墻可以由虛擬化軟件模擬。雖然添加新的客戶更容易，但它仍然需要啟動新的虛擬服務器實例，這確實會消耗資源。

這種模型稱為物理多租戶、虛擬單租戶模型。這個名字來源于這樣一個事實，即每個虛擬實例都被分配給一個擁有自己的軟件實例(虛擬單租戶)的客戶，而虛擬實例都運行在共享的物理硬件上(物理多租戶)。

多租戶軟件

現(xiàn)在將上面的兩個模型與圖3進行比較。

圖3 物理多租戶、虛擬多租戶模型(又名SaaS模型)

在這個模型中，多個客戶共享同一個應用程序?qū)嵗?，都運行在同一個物理服務器和同一個物理基礎(chǔ)設(shè)施上。在這種情況下，軟件提供了客戶之間的分離，但不是物理分離，這些客戶的應用和信息只是通過軟件分隔。

這種模型稱為物理多租戶、虛擬多租戶模型。它被稱為軟件即服務(SaaS)模型。

在這種情況下，添加新客戶非常容易。不需要虛擬或物理硬件。只要底層硬件有足夠的資源，就可以通過更新數(shù)據(jù)庫或在配置文件中添加條目來添加額外的客戶。添加新客戶快速、簡單且成本低廉。

多租戶安全嗎?

單租戶比多租戶更安全嗎?這是一個常見問題，也是一個很難回答的問題。兩種模型可能是安全的，也可能是不安全的。當涉及到惡意人士試圖攻擊軟件和應用程序時，這兩種模型都需要安全的流程和程序來防止惡意攻擊。

但是意外的安全漏洞呢?例如，不小心將一個客戶的數(shù)據(jù)暴露給另一個客戶呢?當然，設(shè)計不佳的多租戶SaaS應用程序確實存在將數(shù)據(jù)暴露給使用相同共享環(huán)境的其他消費者的風險。

要了解這一點，可以通過圖4來了解。

圖4 跨客戶安全問題因租賃類型而異

首先來看一個真正的單租戶應用程序，如圖4左上角所示。如果一個客戶的數(shù)據(jù)意外地泄露給另一個客戶，那么其數(shù)據(jù)必須在物理服務器之間移動。這并不容易，也很難想象這怎么會意外發(fā)生。單租戶系統(tǒng)不太可能出現(xiàn)意外的安全問題。

現(xiàn)在來看看虛擬服務器的多租戶應用，如圖4右上角所示。為了在這個模型中意外暴露數(shù)據(jù)，數(shù)據(jù)必須穿越一個強大的虛擬化邊界。雖然很難想象這種情況會發(fā)生，但這并非不可能。事實上，幾年前，Meltdown和Spectre漏洞暴露了服務器虛擬化中的一個缺陷，該缺陷可能導致此類暴露，但該缺陷很快被發(fā)現(xiàn)并修復。

在真正的多租戶應用程序(SaaS應用程序)中，如圖4底部所示，軟件錯誤更有可能暴露客戶之間的數(shù)據(jù)。這是因為客戶之間的分離完全存在于應用層，其底層硬件或虛擬化沒有分離。從理論上來說，軟件錯誤可能會意外地暴露另一個客戶的數(shù)據(jù)。

這是人們可能會面臨的風險。但實際上，當使用來自信譽良好的企業(yè)的高質(zhì)量SaaS應用程序時，這種風險并沒有看起來那么大。當然，任何涉及租戶之間意外數(shù)據(jù)泄露的漏洞都會很快得到修復。人們對這個特定問題給予了很多關(guān)注。但這是客戶在選擇SaaS公司并決定向他們提供哪些數(shù)據(jù)時應該考慮的問題。

為什么要使用多租戶?

如果單租戶在理論上比多租戶更安全，那為什么還要使用多租戶呢?

首先，可以從上述用例中推斷出，多租戶系統(tǒng)更容易擴展，也更容易添加新客戶。在單租戶系統(tǒng)中添加新客戶的成本非常高，因為這包括新硬件、設(shè)置、配置、維護、軟件、升級等的成本。相比之下，新客戶的增量成本在真正的多租戶SaaS系統(tǒng)幾乎為零，其添加實際上就像向數(shù)據(jù)庫添加一行數(shù)據(jù)一樣簡單。多租戶SaaS系統(tǒng)允許提供商在他們的應用程序中構(gòu)建“先試后買”的功能，并在仍然保持盈利的同時實施真正的免費層。這在完整的單租戶應用程序和硬件中幾乎是不可能的。

當必須處理額外負載時，多租戶系統(tǒng)還可以更輕松地向正在運行的應用程序添加資源。如果應用程序需要一定數(shù)量的服務器來處理負載，并且流量激增，那么會怎么做?對于具有虛擬多租戶硬件的系統(tǒng)，可以在幾秒鐘內(nèi)輕松地動態(tài)添加額外的服務器容量。對于真正的單租戶應用程序，購買、安裝和配置物理服務器可能需要數(shù)天或數(shù)周的時間。

由于在單租戶應用程序中增加容量需要很長時間，因此需要提前幾個月規(guī)劃容量。企業(yè)必須猜測自己的需求是什么，并且必須有足夠的過剩容量來滿足可能遇到的任何異?；蛞馔獾姆逯?。這種過剩容量大部分時間都處于閑置狀態(tài)，從而增加了應用程序運營成本。

使用多租戶系統(tǒng)，以通過啟動更多虛擬服務器，在需要時動態(tài)添加額外容量。由于多租戶基礎(chǔ)設(shè)施中的硬件是共享的，因此多余的容量會在多個客戶之間分攤。

應用程序?qū)⑦\行在多租戶的硬件環(huán)境

應用程序的未來發(fā)展是，多租戶硬件環(huán)境中的多租戶虛擬環(huán)境中運行多租戶應用程序。單租戶應用程序?qū)⒃絹碓缴?，并且將主要用于?nèi)部部署數(shù)據(jù)中心環(huán)境。多租戶系統(tǒng)的安全問題只是所有應用程序整體安全框架的一部分。

多租戶是公共云的基礎(chǔ)，它是所有主要生產(chǎn)操作環(huán)境的支柱，它定義了現(xiàn)在和將來如何構(gòu)建和部署應用程序。

原文標題：Learn to love the multitenant cloud，作者：Lee Atchison

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】