2016年第21期
China Computer&Communication计算机工程应用技术云服务中的租户数据安全策略研究 胡彦婷 杜 江
(重庆邮电大学 计算机科学与技术学院,重庆 400065)
摘 要:通过对多租户环境下数据安全保护需求进行分析,为增强数据访问和操作的可追溯性,从合理选择租户数据库隔离方案、调整数据的存储形式以及记录数据访问与操作情况、约束应用系统的访问控制机制三个方面对数据安全策略的实现进行了探索。通过对生成数据操作情况的审查信息及其审查流程的测试表明,租户可以参与到云端数据安全保护之中,持续审查和监督云端数据的操作情况,在发生安全事件之后能够进行有效追溯。 关键词:云计算;多租户;数据安全;审查信息生成工具
中图分类号:TP393 文献标识码:A 文章编号:1003-9767(2016)21-053-05
1 引言
云计算是一种资源复用的新型计算模式,其广泛使用的定义是由美国国家标准与技术研究院(NIST)提出的,“云计算是这样一种模式,它提供对可配置的计算资源共享池进行便捷的、按需的网络访问,这些资源具有伸缩性,在配置和释放过程中仅需投入很少的管理工作或与服务提供商进行很少的交互。资源主要包括网络、存储、服务器硬件、应用软件等,使用过程中进行按需付费”[1]。云计算有三种服务模式:(1)IaaS(Infrastructure as a Service),租户不用花费大量资金用于云计算基础设施构建,只需向IaaS服务商申请虚拟主机并按资源使用量进行按需付费;(2)PaaS (Plantform as a Service),租户可以进行应用程序开发和部署,充分利用平台上的由云服务商提供的各类程序开发资源开发基于互联网的应用;(3)SaaS(Software as a Service),租户直接使用云服务商提供的软件资源服务,对中小企业而言,SaaS服务模式可以帮助其在软件研发资金不足、设备维护成本过高的情况下仍可使用各类业务软件,最典型的应用有客户关系管理系统CRM、企业资源计划ERP、项目协作软件、OA等,这是使用最为广泛的云服务模式。
多租户是云计算的显著特征,也是一种软件架构技术,用户以租户为单位访问云资源。所谓租户,是独立使用云计算资源的单位,租户对象可以是一个企业、一个组织或个人,在使用云服务完成业务的过程中互不影响,彼此之间是隔离的。但是在云端,租户的数据是否以密文形式存储、租户之间的数据是否进行了有效隔离、其他租户是否可以越权访问本租户内的数据等是租户关心的数据安全问题,并且也是用户使用云服务基本的安全需求。虽然各云服务商极力宣称自己的安全防护攻不可破,但实
际上由于考虑到平台成本、运行效率和密钥管理等问题,资金充足的云服务商才能更好保障信息安全,而更多的云服务商采取的安全措施强度是不够的,还可能遭受来自其内部技术人员的越权访问,并且租户不得而知。
目前,频繁发生的数据安全事件让云安全问题备受关注,譬如,2009年3月微软云服务Azure中断了近22个小时,同年10月更是因云计算服务器故障导致用户数据丢失。2009年3月,Google Docs中的安全漏洞导致一部分使用者的私有数据泄露,并使得与未经授权的用户共享。2016年Salesforce公司在恢复数据过程中,因停电导致近5个小时客户数据丢失。数据安全问题已成为减缓云计算发展速度的重要制约因素。互联网时代,数据信息是不可多得的重要资源。因此,作为最终用户,他们更关心云端数据的安全状况,要能够对云服务商提供的云服务进行持续监督,以掌握数据的存储、授权访问和操作情况,这样可以一定程度消除他们对云端数据安全状况的担忧。
通过对多租户环境下数据安全保护需求的分析,我们认为不仅需要对租户敏感数据进行加密存储,还要增强数据访问和操作的可追溯性。在各租户的云服务应用系统上增加审查员角,授予其审查权限,审查存储在云端的数据安全状况信息,其目的是让用户参与到云端数据安全保护之中,持续审查和监督云端数据的访问与操作情况,并在发生安全事件之后能够进行有效追溯。
网2 云服务中数据安全保护研究现状
S Subashini和V Kavitha[2]调查并概述了云计算不同服务模式下的安全威胁,并重点分析了SaaS模式中的安全问题,包括数据安全、数据隔离、数据完整性、Web应用安全
作者简介:胡彦婷(1991-),女,重庆涪陵人,在读硕士研究生。研究方向:网络信息安全。杜江(1969-),男,重庆人,硕士,教授。研究方向:网络信息安全。
2016年第21期
信息与电脑
China Computer&Communication
计算机工程应用技术
问题等。Deyan Chen 和Hong Zhao [3]从数据生命周期角度分析了云计算中数据安全和隐私保护,并提供了一些现有的解决方案。Mohammed Hussain 和Hanady Abdulsalam [4]以用户为中心,提出将安全解决方案以服务形式在云计算不同服务模式下实施,用户可以选择不同的安全服务,对云端拥有更多的控制权。麻光景[5]从数据传输和安全存储方面提出SaaS 云平台数据保护的解决方案,用HTTPS 保障数据传输安全,并在共享数据库隔离方案中提出对数据核心字段进行分割,并以字段为加密粒度在DBMS 外层实施加密。
这些方案从不同角度给出了保障云端数据安全的思路,具有较强的实用价值。但是,多数没有洞察用户真正的安全需求。我们可以从数据安全状况的审查角度,解决用户担忧云端数据安全状况的问题。
3 多租户环境下的数据安全策略
3.1 针对CRM 系统数据安全的需求分析
以中小企业使用较多的客户关系管理(CRM ,Customer Relationship Management )系统为例,针对租户存放在云端的结构化数据进行安全需求分析。在以客户为中心的激烈竞争环境下,客户关系管理已成为增强企业核心竞争力的关键
[6]
。在CRM 系统中,企业以客户为中心,企业的生产、营销、
服务及市场都围绕着客户而进行,在最大程度提高客户满意度的同时,也提高了企业的运作效率,降低了企业的运行成本[7]
。随着云计算的飞速发展,云服务商采用SaaS 模式为企业提供CRM 软件服务。用户不仅不用自身开发、维护和升级一套软件架构,还可以充分利用云服务商的海量云资源,如大数据技术对客户行为、销售数据等进行分析和预测。
但是这种服务方式存在数据安全隐患。首先,企业需要将涉及商业机密的客户数据、销售计划、订单状态等信息存储到云端,数据访问与操作情况是否安全令企业关注。其次,这类云端软件一般采用类似于传统软件中基于角的访问控制方式,系统管理员拥有最高控制权,可以为本租户内的操作人员授予不同权限。但是系统管理员可能滥用职权,软件漏洞情况也是未知,无法保证每个租户操作人员都在其应有权限范围内访问数据。再次,云服务商处于开放的网络环境下,数据库的控制权或许会落入黑客之手,致使数据被非法窃取。另外,云服务商的后台技术人员也有可能凭借职务之便窥探租户存储的数据或进行非法售卖。类似的安全问题阻碍了云端CRM 系统的普及程度和利用率,也是影响企业选择云服务商的重要考虑因素。3.2 云端数据的安全策略分析
笔者认为,数据安全策略的实现有三个方面。第一,合理选择租户数据库隔离方案。采取何种隔离方案对于数据安全至关重要,同时也影响下文安全审查机制的实现。第二,调整数据的存储形式以及记录数据访问与操作情况。云端CRM 中的数据敏感字段以密文形式存储,对应用程序运行过
程中的数据访问和操作情况进行审查,产生租户数据访问和操作记录的审查信息。第三,约束应用系统的访问控制机制。需要实时而详细地记录各租户在云服务应用中系统管理员的授权过程,产生其授权记录的审查信息。对第二、三项策略产生的审查信息将由被授权的各租户内审查员角所掌握。审查员角只能获取对应本租户范围内的审查信息。由于各租户在应用层面共用软件实例,要实现审查流程,需要对租户的审查信息分别进行处理。 3.2.1 合理选择租户数据库隔离方式
通常,多租户环境下的数据存储可以采用三种隔离方式。第一种是独立数据库的方式。云服务商为每个租户提供一个单独的数据库,其隔离级别最高,安全性最好,有助于扩展数据模型,满足不同租户的独特需求。但是这会使云服务商增加服务器数量来满足存储需求。第二种是共享数据库、独享数据模式的方式。所有租户数据放在一个数据库中,但采用不同的数据模式即schema ,则系统为每个租户创建一套表并关联其特定的数据模式。这种隔离方式共享程度较高,但数据安全性较低,数据恢复困难。第三种是共享数据库、共享数据模式的方式。所有租户共用一个数据库下的一套数据模式,数据库的每个表中每一行数据采用租户ID 进行区分,共享程度最高,但隔离程度最低,因而安全性也最低。
采用以上三种隔离方式都可以开展对租户数据的安全性审查,但实现的复杂程度各有差异。如果租户企业有审查需求并且数据安全强度要求较高,认为采用第一种独立数据库方式更为合适。
3.2.2 调整数据的存储形式以及记录数据访问与操作情况
(1)数据加密。在上层应用程序中嵌入加解密模块,在数据存储前先进行加密再放入数据库中,访问数据时经过解密再呈现给用户。由于数据加密会影响索引建立和查询过程,因此,并不是对数据的所有字段都进行了加密处理,但可以通过审查数据访问与操作情况来获知未加密字段的安全状况。
抗氧化剂386
调整垫铁(2)记录数据访问与操作情况。当云服务应用系统采用LAMP 软件合集开发时,由于其中MySQL 具
有完善的日志记录功能,主要包括查询日志、错误日志、二进制日志等,所有涉及数据的增删改的用户操作痕迹信息都会存放在二进制日志中,因此,通过提取二进制日志可以了解数据操作情况。LAMP 中的Apache 能够详细记录应用系统访问情况,所有数据都保存在access.log 文件中。但是二进制日志文件无法直接打开,使用日志查看工具mysqlbinlog 得到的日志数据可读性低,并含有应用程序框架类信息,数据量较大,如图1所示。access.log 文件同样存在数据量较大的问题,且无法区分不同租户的访问记录,所以两类日志信息无法直接作为审查信息。通过开发“审查信息生成工具”,用于定时更新、解析和处理日志数据以生成有用的审查信息,并以认证授权的方式提供给审查员角,使其掌握本租户范围的数
2016年第21期
信息与电脑
China Computer&Communication
计算机工程应用技术
据操作情况。
图1 mysqlbinlog解析到的二进制日志
3.2.3 约束应用系统的访问控制机制
爬梯电动轮椅
租户应用系统普遍采用基于角的访问控制机制以约束数据的授权访问与操作,但系统管理员的权限范围过大,需要审查其授权过程。基于角的访问控制中包含用户表、用户-角表、角-权限表等,实时提取这一套访问控制表,形成审查信息,可以获悉系统管理员的授权过程,以约束租户应用环境中系统管理员的授权行为。3.3 数据安全审查流程
对于以上三种安全策略,现就如何生成数据操作记录的审查信息及审查流程进行说明。“审查信息生成工具”处理MySQL 二进制日志的程序运行流程如图2
所示。
图2 审查信息生成工具运行流程图
“审查信息生成工具”在云端运行后生成的审查信息集中存储于云端存储节点,各租户中的审查员角需要向云服
务商申请获得查看审查信息的授权凭证才能查看属于本租户范围内的审查信息。审查流程如图3所示。
图3 获取审查信息的审查流程
首先,云主机获取存储节点的访问密钥Access Key 和签名密钥Secret Key ,用于将“审查信息生成工具”生成的审查信息同步到存储节点;其次,租户审查员角需向云端提供有效的身份角信息并指定审查范围,才能从云主机处获取由Secret Key 授权签名的下载凭证;最后,审查员角通过下载凭证即可通过云端存储节点的认证,获取审查信息。由于审查信息统一放入大容量的存储节点中,用户可以按需获取,便于对数据的安全状况进行更长时间的追溯。
3.4 多租户环境的搭建和审查流程的测试
首先在Openstack 云平台上云主机中搭建云应用系统CRM ,并部署存储节点进行测试。各租户采用了数据安全策略中的独立数据库隔离方案,在应用层共用一个软件实例,通过使用二级域名相互区分,譬如租户1的域名为t1.demo ,租户2的域名为t2.demo 。要实现多租户访问,需要在Apache 配置文件f 中设置ServerAlias 参数,使多个域名指向同一个Web 应用实例。Web 程序得到访问请求后,通过映射函数获得二级域名,从而可以访问不同租户的数据库存储环境。映射函数所在类的核心代码如图4
所示。
图4 映射函数核心代码
其次测试“审查信息生成工具”的运行情况,生成的MySQL 数据操作审查信息如图5所示。测试结果显示,生成的审查信息所显示的数据操作情况比二进制日志更为
明显。
图5 数据操作情况审查信息
按照审查流程,不同租户内被授予审查员角的用户填写相关表单内的字段,请求获得审查信息,通过认证之后,
云端应用为其发放授权下载凭证。用户在浏览器中输入下载
(下转第68页)
它的误差要大很多,基本上在小于等于5cm的范围,而静动态混合AP的情况误差就要更加大[8]。因此,未来的研究方向逐渐从静态AP算法演变到静动态混合AP的算法,从而通过更加先进的室内定位技术来准确定位位置[9]。
弩的结构图
3 结 语
本篇文章主要对基于WLAN的室内定位技术进行了详细介绍,通过静态AP、动态AP以及静动态混合AP的场景模拟了一次室内定位技术算法的计算,从而让大家对室内定位技术有所了解。与此同时,本文也介绍了目前室内定位技术的状况以及问题,相信随着无线局域网技术的快速发展,室内定位技术,特别是基于WLAN的室内定位技术越来越受到关注,在室内定位系统准确度不断得到提高的基础上,保证定位准确度不受影响的前提下,继续提高室内定位系统的易用性、对动态变化环境的自适应性,并进一步推进基于位置的服务,从而在实际应用中朝着更加方便、更加便携、更加人性化的方向发展[10]。
参考文献
[1]孙建利.基于WLAN的室内定位技术研究[D].秦皇岛:燕山大学,2014.
[2]汤丽,徐玉滨,周牧,等.基于K近邻算法的WLAN 室内定位技术研究[C]//国际信息技与应用论坛,2009.
[3]高国威.基于WLAN和Zigbee的室内定位系统的设计与实现[D].北京:北京邮电大学,2011.
[4]郑文翰.基于WLAN的室内定位技术研究与实现[D].成都:电子科技大学,2016.
[5]薛涵.基于WLAN的图书馆室内定位技术研究[J].图书馆杂志,2014,33(12):81-86
[6]邓志安.基于学习算法的WLAN室内定位技术研究
[D].哈尔滨:哈尔滨工业大学, 2012
[7]许建波.基于WLAN位置指纹的室内定位技术研究与实现[D].北京:北京工业大学,2014.
tm2005[8]赵晋云,田小杰.长输油气管道维护管理和维修的若干标准问题[J].自然科学,2015(25).
[9]谢代军.无线局域网室内定位技术研究[D].郑州:解放军信息工程大学,2013.
[10]宋震龙.基于WLAN的室内定位关键技术及应用研究[D].宁波:宁波大学,2012.
凭证即可获取审查信息。通过实验测试,审查流程可以使用户准确获取授权访问的审查信息,从而有效获知租户数据操作情况。
4 结 语
笔者从合理选择租户数据库隔离方案、调整数据的存储形式以及记录数据访问与操作情况、约束应用系统的访问控制机制三个方面对数据安全策略的实现进行了探索。通过开发“审查信息生成工具”来生成审查信息,并授权提供给企业的租户应用系统中的审查员角,可以让租户企业参与到云端数据安全保护之中。实验测试了此工具生成数据操作审查信息的情况以及审查流程,结果表明审查员角可以对云端数据的操作情况进行持续的审查和监督。
参考文献
[1]P Mell,T Grance. The NIST definition of cloud computing[J]. National Institute of Standards and Technology, 2009,53(6):50.
[2]Subashini S, Kavitha V. A survey on security issues in service delivery models of cloud computing[J]. Journal of network and computer applications, 2011,34(1):1-11.
[3]Chen D, Zhao H. Data security and privacy protection issues in cloud computing[C]// International Conference on Computer Science & Electronics Engineering, 2012(1):647-651.
[4]Hussain M, Abdulsalam H. SECaaS: security as a service for cloud-based applications[C]// Kuwait Conference on E-services & E-systems, 2011:1-4.
[5]麻光景.SaaS平台数据安全问题的研究[D].西安:西安电子科技大学,2014.
[6]罗洪,杨杰.基于SaaS的CRM系统安全策略探讨[J].现代计算机:专业版,2010(8):106-107,135.
[7]安树宝.浅谈客户关系管理(CRM)[J].现代情报, 2005(9):179-180,203.
(上接第56页)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议