基于多租戶隔離的云安全建設

劉波

（中國電信股份有限公司廣東分公司 廣東省廣州市 510000）

1 基本概念

云計算是一個服務平臺，使多個租戶可以重用資源以及應用程序。由于云計算平臺具有一系列特性，如虛擬化、開放性以及共享性，所以很難以一種明確的界限對租戶進行嚴格的區分，從而進行管理與分離，因此，就造成了一系列安全問題[1-2]。 現如今，諸如具有安全隱患的網絡和數據隔離等問題已被國際云安全聯盟確定為云安全的主要威脅之一[3]。

如今所謂的租戶安全隔離，主要是指多個租戶在云安全環境中對關鍵的信息資源進行共享。但是，租戶個人信息的使用不受到其他租戶的影響，這一方面能夠有效防止各類危險的出現，從而才能夠保證各個獨立租戶個體在使用過程中的信息以及服務不受干擾[4]。但是為了保證隔離的安全性。業內出現了各種的安全隔離方法，諸如對訪問進行控制，以虛擬機進行隔離和各種加密存儲方法。盡管上述隔離方法在租戶數據之間提供了某種隔離，但是它們中的大多數僅集中于一個隔離級別，例如加密的隔離存儲，物理租戶隔離以及數據訪問控制。

本文從目前各類數據研究中所存在的諸多問題入手。從建立多級數據源隔離開始。對租戶的數據安全性進行了詳盡的研究。本文構建的與安全系統以租戶虛擬域作為顆粒度構建了隔離存儲成網絡存儲和管理隔離層，利用系統性的思想。從系統層面解決了租戶數據隔離的安全性，另外，將虛擬安全標簽作為特色引入系統解決方案之中，此外，還對傳統的哈希算法進行了改進，從而實現了對租戶資源的分布式映射，之后，通過安全標簽和數據進行有效綁定。對租戶數據隔離算法進行了改進，從而有效解決了租戶在信息共享過程中存在著隔離以及安全性訪問問題，最后，在隔離規則的控制下，使用新的安全性標簽和身份驗證，在虛擬安全領域中實現有效的數據傳輸。

2 相關研究簡介

這些年以來，為了實現對租戶的分離。出現了各類的租戶分離技術。我們可以將租戶分離技術分為基于硬件、操作系統、中間件、租戶網絡、存儲等不同層級的隔離，接下來對不同級別的租戶數據安全隔離進行了相應的文獻研究：

（1）通常所謂基于硬件的隔離，是指通過提升硬件性能，從而實現對租戶之間的安全隔離?；谟布崿F的隔離包括簡單的技術構想以及高級隔離，但是需要較高的設備性能，較高的功耗以及較高的成本。

圖1：域隔離器功能結構

（2）所謂操作系統級的隔離是指在租戶之間使用虛擬機實現計算資源的共享。該方法能夠有效實現租戶之間的信息共享，并保證各地的安全性，通常采用虛擬機管理層湖隔離層隔離的方案，他主要實現了操作與管理的分級。Roy 等人提出了一種基于虛擬機的信息流控制方法，該方法通過在程序上實現的可變及對租戶的信息流進行有效跟蹤，從而對租戶資源進行了有效的保護，楊永堅等人提出了一種基于云平臺的新型安全隔離構架，該構架可對虛擬機內部數據進行有效的加密與保護，從而提高了系統I/O 以及虛擬機之間訪問內存隔離的安全性。Malka 等人提出了一種新型的硬件虛擬化技術。通過該技術可以有效提升虛擬機的隔離安全性，但是由于該市方案尚屬理論研究階段，并未實現真正的虛擬機隔離方案。雖然簡單的虛擬機隔離很容易導致多租戶混亂，但違反虛擬機隔離控制會損害其他虛擬機的安全性。

（3）作為中間件級別的隔離設置，在租戶之間有效實現資源的信息共享。這就涉及到容器技術的使用，所謂容器技術是一種可以實現租戶之間的高度信息共享，如今市場上最為常用的容器技術主要有Linux 容器和Docker 容器，但是由于容器在設計時，其主要目的是能夠為用戶提供更高質量的網路服務，因此，其隔離能力不強，可能存在安全隱患，甚至威脅到主機的安全，從而導致停機以及威脅。 其他容器的安全性。 這威脅到租戶數據的安全性。

（4）租戶網絡級隔離是指基于網絡虛擬化的租戶之間網絡的邏輯隔離，以確保租戶之間數據傳輸的安全性。傳統的數據中心網絡通常使用虛擬局域網（VLAN，虛擬局域網）技術。如今，普通租戶通常只是用VLAN，但是從技術層面上看，傳統的VLAN 對不同租戶是彼此隔離的，這就導致不同租戶之間無法直接實現通信，所以，當使用傳統VLAN 的用戶數量大幅增長的時候，導致VLAN 以及配置不佳。復雜的問題。為了滿足大型數據中心租戶網絡的隔離需求，如今涌現了許多用于租戶隔離的新技術，在這些新技術中覆蓋網絡體系結構是其中十分亮眼的一個，其能夠有效解決多租戶網絡隔離。在實際的現場應用中，通信服務運營商通常采用可擴展的虛擬局域網（VXLAN，虛擬可擴展LAN）以及NVGRE（使用通用路由封裝的網絡虛擬化）。 VXLAN 技術是在傳統的VLAN技術的基礎上發展起來的，其能夠大幅增加節點數量，但是，由于其最終的虛擬終端數量的大幅增加常常導致系統節點數量過載，從而會對系統的使用性能造成嚴重影響。而NVGRE 協議通常使用大路由協議進行封裝，所以對于系統節點數量的增加并不敏感，但是，由于其采用了非標準的傳輸協議，所以其性能較低，對于硬件設備的要求較高，因此，將二者進行融合是一種很好的解決方案。

3 租戶虛擬域分離的建設思路

3.1 基本定義

虛擬域（VD，virtual domain）。所謂的虛擬域通常指一片邏輯上安全的區域，其主要包括了租戶本身的各類虛擬資源以及一組包含用戶的乘員。

域隔離器（DR，domain isolator）。其主要對組合的各類資源進行管理，通常指云平臺中的路由器或交換機。

不同的域隔離器中通常內置一個能夠自動生成的網關，這一網關的功能主要包括自動進行標簽生成，實現標簽的映射，對地址進行解析，驗證用戶的身份標簽，資源管理以及調度，租戶標簽生成以及分發以及標簽映射索引等功能組件。 并完成租戶信息，在域中重定向數據訪問位置，標簽分析，身份驗證以及處理，租戶資源的集成管理以及調度等功能。一個典型的域隔離器的結構圖如圖1所示。

安全標簽（SLebal，安全標簽）。 面對租戶虛擬域中不同級別的隔離要求以及租戶虛擬域中資源以及數據的唯一標識，本文提出了不同形式的安全標簽SLebal={TID, DLebal, VLebal}。其中，虛擬域安全性標簽用TID進行表征，數據存儲標簽用DLebal進行表征，即Data Lebal，數據控制標簽用VLebal 進行表征。

（1）TID。租戶虛擬域標識符TID = Hash（ID || T），其中“ ||” 是連接操作，ID 是租戶的唯一標識符，T 是租戶完成映射并與DR 協商后的結果。其后生成的秘密序列號使租戶ID 信息能夠被很好的隱藏起來，從而有效的防止被惡意租戶偽造，從而有效保護了租戶的信息安全。

（2）Dlebal。當租戶共享存儲時，它們用于識別和分離存儲租戶的私有數據，并在訪問存儲數據時實現屬性身份驗證。 迪巴爾{ tid，key，，tk }。 Key 是用于加密存儲數據的密鑰。 { f1，f2，... ，fn }是策略謂詞的集合，屬性 a { a1，a2，... ，an }用于用戶訪問存儲的數據。 例如，策略謂詞{“ user bob” ，“ read” ，... ，“ data ∈[2017,2019]”}。 只有當∈(a’是訪問屬性)中的’()() ，ii f a something [1，]時，用戶獲得存儲的數據并使用密鑰解密數據密文。Tk 是用于獲取 f (a) f (a’)密文的查詢標記。

（3）VLebal。數據控制標簽用于控制租戶虛擬域內部以及外部的數據的安全標簽VLebal = {TID，Hash_S，BAN_TIME，Trans_Type}。 S 是數據安全級別，Hash_S 是安全級別S 的哈希值，BAN_TIME 是機密性保留期限，而Trans_Type 是數據傳輸方法。

3.2 基本概念

本文根據租戶對安全性隔離的不同需求級別，將逐步虛擬域分為以下三個基本層級，分別是隔離存儲虛擬網絡隔離和隔離網管理。本節對租戶虛擬與分層構造的基本概念進行一些簡要的描述與介紹為之后的云安全建設打下技術基礎。

（1）由于在云平臺中，通常已經安裝了多個分離的域隔離器，所以，使用時，能夠使用不同的安全標簽對各個不同的虛擬域進行高效、可靠、安全的識別，并將信息分發給多個域隔離器以分離租戶。設計了租戶虛擬域映射算法。分散管理以及資源分離。

（2）設計數據控制標簽與租戶數據組的綁定方法，以實現對租戶虛擬網絡層的分離，并使用域隔離器的標簽解析功能，認證功能以及地址解析功能來使用域隔離器 以及租戶虛擬域。 提供分布之間的數據傳輸。

（3）在對租戶數據進行存儲時，本文采用的是分離存儲的方法，利用所謂的謂詞加密技術，對于租戶的基本數據進行分離，之后，將數據與標簽進行一一對應，在需要使用時，利用域隔離器進行標簽解析，從而區分出不同用戶的數據，之后，又使用了令牌和謂詞查詢策略，從而實現了對加密密鑰，數據密文以及租戶數據的加密與存儲，通過該技術能夠實現對租戶數據的隔離與保存。

（4）通過對租戶數據的隔離規則進行明確，系統可以通過使用簡單的標簽與標記對數據進行跟蹤，通過該方法，能夠有效防止數據的聚合，最終實現防止數據泄露的最終目的。建立數據安全通道和數據流控制規則。安全虛擬域中的租戶數據傳輸和訪問隔離。

總之，通過在不同級別引入安全標簽，本文結合了租戶虛擬網絡的建立，隔離存儲以及在域隔離器的分布式管理下的數據訪問，以創建彼此獨立的租戶虛擬域。

4 小結

通過創建多租戶安全域，可以安全地分離租戶數據。 為此，本文提出了一種在L-DHT 基礎上的多租戶虛擬域分離算法，構建一種能夠實現對租戶的隱私以及基礎資源進行有效保護的分布式映射機制，該機制能夠很好以一種分布式的方式實現對租戶資源的管理。

（1）它將域安全標簽和一致哈希算法結合起來，為多租戶提供分布式隔離映射算法。 這樣就完成了租戶資源和域隔離器的良好平衡映射，您可以將資源從域隔離器分配到租戶資源。

（2）數據存儲標記和租戶數據以解決對租戶數據的獨立訪問。

（3）租戶數據的多維分離使用控制規則和租戶數據包鏈接、分析和身份驗證，使用流和控制規則為數據傳輸建立一個安全通道。用來提供安全的控制。 提供獨立訪問。