数据隔离方案
A. 如何实现既内外网隔离,又能内外网业务工作的开展
可以用跨屏办公的“一机两用双网隔离”的方案,在内网服务器区域(存放回的软件系统的)和内网办公电答脑之间,部署“一机两用双网隔离网关”,这种双网隔离网关设备内置的虚拟化系统,办公电脑仅用浏览器(443端口),通过双网隔离网关直接访问内网的软件系统,这时,办公电脑和双网隔离网关是鼠标键盘和屏幕信息的交互,所访问的内网的软件系统,不管是运算、存储、数据库查询等都在内网服务器区域,真实数据不会落地到办公电脑上。 而访问外网的OA系统和QQ等,则直接通过办公电脑的本地桌面系统搞定即可,因为本来就是外网的业务。这种方式不改变网络架构、不改变业务流程、不改变操作习惯,管理员维护也方便轻松。
B. 计算机信息安全防护措施有哪些
云计算数据的处理和存储都在云平台上进行,计算资源的拥有者与使用者相分离已成为云计算模式的固有特点,由此而产生的用户对自己数据的安全存储和隐私性的担忧是不可避免的。
具体来说,用户数据甚至包括涉及隐私的内容在远程计算、存储、通信过程中都有被故意或非故意泄露的可能,亦存在由断电或宕机等故障引发的数据丢失问题,甚至对于不可靠的云基础设施和服务提供商,还可能通过对用户行为的分析推测,获知用户的隐私信息。这些问题将直接引发用户与云提供者间的矛盾和摩擦,降低用户对云计算环境的信任度,并影响云计算应用的进一步推广。
信息安全的主要目标之一是保护用户数据和信息安全。当向云计算过渡时,传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。
数据安全隔离
为实现不同用户间数据信息的隔离,可根据应用具体需求,采用物理隔离、虚拟化和Multi-tenancy等方案实现不同租户之间数据和配置信息的安全隔离,以保护每个租户数据的安全与隐私。数据访问控制
在数据的访问控制方面,可通过采用基于身份认证的权限控制方式,进行实时的身份监控、权限认证和证书检查,防止用户间的非法越权访问。如可采用默认“deny
all”的访问控制策略,仅在有数据访问需求时才显性打开对应的端口或开启相关访问策略。在虚拟应用环境下,可设置虚拟环境下的逻辑边界安全访问控制策略,如通过加载虚拟防火墙等方式实现虚拟机间、虚拟机组内部精细化的数据访问控制策略。数据加密存储
对数据进行加密是实现数据保护的一个重要方法,即使该数据被人非法窃取,对他们来说也只是一堆乱码,而无法知道具体的信息内容。在加密算法选择方面,应选择加密性能较高的对称加密算法,如AES、3DES等国际通用算法,或我国国有商密算法SCB2等。在加密密钥管理方面,应采用集中化的用户密钥管理与分发机制,实现对用户信息存储的高效安全管理与维护。对云存储类服务,云计算系统应支持提供加密服务,对数据进行加密存储,防止数据被他人非法窥探;对于虚拟机等服务,则建议用户对重要的用户数据在上传、存储前自行进行加密。数据加密传输
在云计算应用环境下,数据的网络传输不可避免,因此保障数据传输的安全性也很重要。数据传输加密可以选择在链路层、网络层、传输层等层面实现,采用网络传输加密技术保证网络传输数据信息的机密性、完整性、可用性。对于管理信息加密传输,可采用SSH、SSL等方式为云计算系统内部的维护管理提供数据加密通道,保障维护管理信息安全。对于用户数据加密传输,可采用IPSec
VPN、SSL等VPN技术提高用户数据的网络传输安全性。数据备份与恢复
不论数据存放在何处,用户都应该慎重考虑数据丢失风险,为应对突发的云计算平台的系统性故障或灾难事件,对数据进行备份及进行快速恢复十分重要。如在虚拟化环境下,应能支持基于磁盘的备份与恢复,实现快速的虚拟机恢复,应支持文件级完整与增量备份,保存增量更改以提高备份效率。剩余信息保护
由于用户数据在云计算平台中是共享存储的,今天分配给某一用户的存储空间,明天可能分配给另外一个用户,因此需要做好剩余信息的保护措施。所以要求云计算系统在将存储资源重分配给新的用户之前,必须进行完整的数据擦除,在对存储的用户文件/对象删除后,对对应的存储区进行完整的数据擦除或标识为只写(只能被新的数据覆写),防止被非法恶意恢复。
C. 什么是多租户模式
SaaS现在已成为一股潮流,它将颠覆传统的软件交付方式
其实从架构层面来分析,SaaS区别于传统技术的重要差别就是Multi-Tenant模式。多租户就是说多个租户共用一个实例,租户的数据既有隔离又有共享,说到底就是如何解决数据存储的问题。
现在SaaS Multi-Tenant在数据存储上存在三种主要的方案,分别是—
方案一:独立数据库
这是第一种方案,即一个Tenant一个Database(见图3-14),这种方案的用户数据隔离级别最高,安全性最好,但成本也高。
优点:
为不同的租户提供独立的数据库,有助于简化数据模型的扩展设计,满足不同租户的独特需求;如果出现故障,恢复数据比较简单。
缺点:
增大了数据库的安装数量,随之带来维护成本和购置成本的增加。
这种方案与传统的一个客户、一套数据、一套部署类似,差别只在于软件统一部署在运营商那里。如果面对的是银行、医院等需要非常高数据隔离级别的租户,可以选择这种模式,提高租用的定价。如果定价较低,产品走低价路线,这种方案一般对运营商来说是无法承受的。
方案二:共享数据库,隔离数据架构.即多个或所有租户共享Database,但一个Tenant一个Schema。
优点:
为安全性要求较高的租户提供了一定程度的逻辑数据隔离,并不是完全隔离;每个数据库可以支持更多的租户数量。
缺点:
如果出现故障,数据恢复比较困难,因为恢复数据库将牵扯到其他租户的数据;如果需要跨租户统计数据,存在一定困难。
方案三:共享数据库,共享数据架构.即租户共享同一个Database、同一个Schema,但在表中通过TenantID区分租户的数据。这是共享程度最高、隔离级别最低的模式。
优点:
三种方案比较,第三种方案的维护和购置成本最低,允许每个数据库支持的租户数量最多。
缺点:
隔离级别最低,安全性最低,需要在设计开发时加大对安全的开发量;数据备份和恢复最困难,需要逐表逐条备份和还原。如果希望以最少的服务器为最多的租户提供服务,并且租户接受以牺牲隔离级别换取降低成本,这种方案最适合。
CRM系统未来将以中低端市场为主,所以采用第三种方案,只要做好数据隔离比较好了。千万不可掉以轻心,SaaS下的安全性设计很重要。一般常见的安全性设计分为两类:系统级和程序级。
系统级:
使用HTTPS协议以SSL(Security Socket Layer)交换数据,增强通信安全;通过数字签名防止传输过程篡改;对用户身份识别的UserToken使用DES算法数据加密;业务数据定时自动备份。
程序级:
完整的权限配置,包括功能权限和数据权限;客户端输入校验,防止JS攻击、XSS攻击、SQL注入等;辅助安全设计,比如密码控件、图片验证码、手机确认码等。
D. 多租户技术的实现方式
多租户技术的实现重点,在于不同租户间应用程序环境的隔离( context isolation)以及数据的隔离(data isolation),以维持不同租户间应用程序不会相互干扰,同时数据的保密性也够强。
应用程序部份:通过进程或是支持多应用程序同时运行的装载环境(例如Web Server,像是Apache或IIS等)来做进程间的隔离,或是在同一个伺服程序(server)进程内以运行绪的方式隔离。
数据部份:通过不同的机制将不同租户的数据隔离,Force是采用中介数据(metadata)的技术来切割,微软 MSDN 的技术文件则是展示了使用结构描述的方式隔离。
多租户就是说多个租户共用一个实例,租户的数据既有隔离又有共享,从而解决数据存储的问题。从架构层面来分析,SaaS区别
于传统技术的重要差别就是Multi-Tenant模式。
SaaS多租户在数据存储上存在三种主要的方案,分别是
1.独立数据库
这是第一种方案,即一个租户一个数据库,这种方案的用户数据隔离级别最高,安全性最好,但成本也高。
优点:
为不同的租户提供独立的数据库,有助于简化数据模型的扩展设计,满足不同租户的独特需求;
如果出现故障,恢复数据比较简单。
缺点:
增大了数据库的安装数量,随之带来维护成本和购置成本的增加。
这种方案与传统的一个客户、一套数据、一套部署类似,差别只在于软件统一部署在运营商那里。如果面对的是银行、医院等需要非常高数据隔离级别的租户,可以选择这种模式,提高租用的定价。如果定价较低,产品走低价路线,这种方案一般对运营商来说是无法承受的。
2.共享数据库,隔离数据架构
这是第二种方案,即多个或所有租户共享Database,但一个Tenant一个Schema。
优点:
为安全性要求较高的租户提供了一定程度的逻辑数据隔离,并不是完全隔离;每个数据库可以支持更多的租户数量。
缺点:如果出现故障,数据恢复比较困难,因为恢复数据库将牵扯到其他租户的数据;如果需要跨租户统计数据,存在一定困难。
3.共享数据库,共享数据架构
这是第三种方案,即租户共享同一个Database、同一个Schema,但在表中通过TenantID区分租户的数据。这是共享程度最高、隔离级别最低的模式。
优点:
三种方案比较,第三种方案的维护和购置成本最低,允许每个数据库支持的租户数量最多。
缺点:
隔离级别最低,安全性最低,需要在设计开发时加大对安全的开发量;数据备份和恢复最困难,需要逐表逐条备份和还原。如果希望以最少的服务器为最多的租户提供服务,并且租户接受以牺牲隔离级别换取降低成本,这种方案最适合。
