SaaS租户隔离策略.docxVIP

SaaS租户隔离策略

多租户环境中的资源隔离

2020年8月

目录

摘要 1

前言 2

隔离思维 2

隔离：保障安全，还是减少嘈杂邻居？ 4

核心隔离概念 4

筒仓隔离 4

池隔离 7

桥接模式 10

分层隔离 11

身份与隔离 13

实现筒仓隔离 14

全堆栈隔离 14

有针对性的筒仓隔离 17

筒仓计算注意事项 19

资源筒仓 21

实现池隔离 21

利用IAM实施运行时、基于策略的隔离 23

池隔离策略的扩展与管理 25

池存储隔离策略 26

应用程序执行的池隔离 29

资源池 30

隐藏池隔离的细节 30

隔离透明度 32

结论 33

撰稿人 33

延伸阅读 33

文档修订 34

亚马逊云科技SaaS租户隔离策略

1

摘要

租户隔离是设计和开发软件即服务（SaaS）系统的基础，这项技术使得SaaS提供商能够向客户保证，即便在多租户环境中，租户的资源也不会被其他租户访问。本文将探讨

SaaS企业常用的各种策略，从而确保他们的系统能够成功隔离租户资源，同时实现SaaS交付模式的价值主张。

亚马逊云科技SaaS租户隔离策略

2

前言

租户隔离是每个软件即服务（SaaS）提供商必须解决的基本问题之一。随着独立软件供应商（ISV）向SaaS转移并采用共享基础设施模式来实现成本和运行效率，他们还必须

应对挑战，确定在多租户环境中如何确保租户不会访问其他租户的资源。对于SaaS企业来说，无论以何种方式在这一界限上寻求突破都具有重大意义，且其结果可能无法逆转。

虽然租户隔离需求被视为SaaS提供商的基本需求，但实现这种隔离的策略和方法并未被广泛使用。有许多因素会影响在SaaS环境中实现租户隔离的方式。域、合规性、部署模式以及亚马逊云科技服务的选择都会为租户隔离流程带来不同的考量因素。

在本白皮书中，我们将概述在亚马逊云科技上实现租户隔离的各种常见模式和策略。我们旨在探索各种SaaS架构模式和亚马逊云科技技术中的一些常见问题和挑战，同时阐述在这些环境中实现租户隔离的方法。本文将为您提供一系列见解，帮助您选择最符合您的环境和业务模式的隔离策略组合。

隔离思维

从观念的角度来说，大多数SaaS提供商都认同保护和隔离租户资源的重要性和价值。然而，当您深入研究实现隔离策略的细节时，您通常会发现每个SaaS独立软件供应商对充分隔离都有着自己的定义。

鉴于这些不同的观点，我们在下面概述了一些原则。这些原则对我们的租户隔离整体价值体系具有指导意义。每个SaaS提供商都应该建立一套清晰的高级隔离要求体系，以指导他们的团队定义其SaaS环境的隔离足迹。以下是建立全面的SaaS租户隔离模式的一些常见关键原则：

隔离并非可有可无——隔离是SaaS的基本要素，在多租户模式下交付解决方案的每个系统都应确保其系统能够采取措施确保租户资源得到隔离。

亚马逊云科技SaaS租户隔离策略

3

身份验证和授权并不等同于隔离——虽然我们期望您通过身份验证和授权来控制对SaaS环境的访问，但是限制在登录界面或API的入口点并不意味着您已经实现了隔离。这只是隔离难题的一部分，仅靠身份验证和授权本身是不够的。

实施隔离的人员不应当仅仅只是服务开发人员——虽然开发人员永远不会引入可能违反隔离规则的代码，但期望他们永远不会无意中跨越租户边界是不现实的。为了解决这一问题，应该通过一些共享机制来应用隔离规则（在开发人员的视野之外），从而控制对资源的访问作用域。

如果没有现成的隔离解决方案，您可能需要自己构建——许多安全机制可以简化租户隔离的路径，如亚马逊云科技IdentityandAccessManagement（IAM）。这些工具及其与更广泛安全方案的集成通常会使隔离在某种程度上实现无缝化。然而，在某些情况下，

您的隔离模式也可能无法使用相应的工具或技术进行直接处理。即便暂且没有针对性的解决方案，甚至是需要自行构建，您也不应降低对隔离的要求。

隔离并非是针对资源级别而设计的结构——在多租户和隔离的环境中，有些人会将隔离

视为在具体基础设施资源之间划定硬边界的一种方式。这种隔离通常以模式的方式存在，在这种模式下，您可能会