多租戶SaaS服務安全技術研究

劉國萍，劉建峰，譚國權

（1.中國電信股份有限公司北京研究院 北京 100035；2.北京市交通信息中心 北京 100073）

1 研究背景

互聯網技術的發展，企業客戶對低成本、快速獲取企業應用需求的快速增長，應用軟件開發技術的成熟，催生了一種基于互聯網提供軟件服務的應用新模式——SaaS（software as a service，軟件即服務）。

SaaS作為一種基于互聯網的軟件交付模式，軟件在規模應用后的性能與運營成本是軟件開發商和服務運營商共同關心的重點。成熟的SaaS軟件開發商多采用一對多的軟件交付模式，也就是一套軟件供多個客戶使用，此種方式稱為單應用多重租賃 （single instance multitenancy）。相對于為單一企業提供的一對一軟件交付模式（如早期的ASP模式和單租賃SaaS），多重租賃大大降低了軟件的維護和升級成本，同時也增強了軟件的可靠性和可擴展性。

多重租賃的SaaS服務通常基于一套標準軟件向成百上千個不同租戶提供服務，這要求SaaS服務在滿足不同租戶對諸如界面、業務邏輯、數據結構等的個性化需求的同時，還能夠支持不同租戶之間的數據和配置的隔離，從而保證每個租戶數據的安全與隱私。即多重租賃SaaS在滿足多租戶間最大程度共享資源的同時，嚴格區分和隔離屬于不同用戶的數據，這不僅對SaaS應用平臺在性能、穩定性、擴展性上提出了更高的要求，更對SaaS應用運營管理、服務接入、應用設計、數據存儲、基礎設施等每個層面的安全提出了更大的挑戰。

SaaS服務的安全不僅與SaaS應用的部署、邏輯體系架構密切相關，還與SaaS應用運營管理架構密切相關。本文在分析構建SaaS服務體系架構鏈的基礎上，提出多重租賃的SaaS服務分層二維安全模型，并針對分層模型探討每個層面可能涉及的安全技術與策略。

2 SaaS應用服務體系架構鏈

在Philippe Kruchten提出的4+1軟件架構視圖[1]中，邏輯視圖和部署視圖是軟件架構設計的兩個重要視圖[2]，分別從功能設計和部署實施層面決定了SaaS系統的安全性。此外，對于SaaS應用，系統的運營維護對其安全性也有重要影響。圖1從SaaS安全性角度出發，給出了以邏輯視圖、部署視圖、運營視圖共同構建的SaaS應用服務體系架構鏈。

為了突出SaaS系統的多租戶可配置與可擴展性，同時也為了更好地分析并構建SaaS系統的安全模型，邏輯視圖采用了6層模型，與傳統的4層模型相比，增加了配置管理層和數據模式選擇層。配置管理層提供多租戶靈活的配置管理能力，包括自定義表單、自定義工作流程、自定義數據結構和自定義報表及個性化界面等。數據模式選擇層提供了多租戶環境下對不同數據庫類型和共享結構的適配和支持能力，提高了系統的可擴展性。SaaS邏輯視圖從系統分層設計的角度，反映了SaaS系統每個層面上需要考慮的安全因素。

考慮到服務提供商的經濟效益與客戶的多樣化需求，與傳統系統相比，SaaS部署視圖中增加了虛擬化抽象層。SaaS部署視圖從系統部署的角度，反映了SaaS系統需要考慮的安全因素。

SaaS服務與傳統的駐留于企業內部的應用有很大不同，以集中的離站式方式提供，因此在圖1中，更強調行業監管、運維架構和服務流程對SaaS服務安全的影響。

3 多租戶的SaaS服務安全模型

SaaS服務安全包含SaaS應用系統自身安全 （包括基礎設施、數據和應用軟件）以及與SaaS應用相關的運營服務的安全（運營管理）。SaaS服務安全在服務的不同階段，關注的重點不同，規劃建設階段側重于對已知、常見的安全風險的檢測與防護，而運行維護階段則側重于動態或未知安全風險的監測、預防與補救。

根據上述的SaaS服務體系架構鏈，給出如圖2所示的SaaS服務安全二維模型。在該模型中，橫軸給出了安全實施的重點階段，縱軸給出了SaaS應用的安全層次劃分。該模型便于分層次、分階段地對SaaS服務的安全性進行分析研究。

SaaS服務安全模型的最底層是基礎安全層，主要是機房、網絡和硬件及操作系統層面的安全，這個層面除增加虛擬機安全隔離外，其他與傳統應用的安全實施內容基本相同。基礎設施層面的安全分兩個階段：一是服務規劃部署階段，如機房安全；二是服務運行階段，如網絡安全和主機安全等。

SaaS服務安全模型的第2層是數據安全，包含數據庫自身及其他應用數據的安全，是SaaS服務安全的重點部分。這個層面的安全包括設計建設層面的數據庫組件服務安全以及數據庫訪問安全等，在運行階段主要考慮數據存儲安全和數據傳輸安全。

SaaS服務安全模型的第3層是應用安全，主要是指應用程序自身及客戶端訪問安全。該層面的安全實施與傳統的應用相比，沒有增加更多新的內容。但由于SaaS服務用戶數量龐大、租戶情況各異，每一項安全內容都需要更加嚴密的設計與實施，尤其在運行階段，服務提供商應加強對Web型SaaS應用的掛馬監測，避免造成大范圍的客戶受損；同時客戶側也應加強自身安全意識，及時對瀏覽器漏洞進行修補。

SaaS服務安全模型的最上層是運營管理安全，該層在安全模型中是重要的一層，因為對于以服務為交付模式的SaaS服務而言，客戶的隱私信息及重點數據均由服務提供商所掌握。服務提供商的運維體系是否健全、運維流程是否規范、行業監管政策是否完備以及服務審計是否有效等，都將影響到客戶的合法利益及客戶使用SaaS服務的積極性，從而影響了服務提供商的利益。

在上述SaaS服務分層二維安全模型中，涉及的安全內容較多，包括技術實施和運營管理，技術實施是基礎，運營管理是重要保障。本文限于篇幅，僅從技術層面對SaaS服務涉及的安全內容進行分析探討，包括基礎安全、數據安全和應用安全3個層面。

4 多租戶下SaaS服務安全技術

4.1 基礎設施安全

在SaaS服務中，用戶的數據和資料等都保存在SaaS服務器端，服務器端機房、傳送服務的網絡及存儲數據的服務器安全技術實施不夠嚴密，很容易遭到人為泄密或黑客攻擊，租戶隱私及數據安全就會受到威脅，所以SaaS服務的軟硬件基礎設施的安全是保證SaaS服務安全的基礎。

（1）機房安全

SaaS服務的安全始于機房。機房的安全性包括氣體滅火、聯網電子鎖防盜、24 h專人和錄像監控、口令/門禁進入機房等。

（2）網絡安全

SaaS服務的基礎是網絡。SaaS網絡的安全性包括內外網隔離與訪問控制（網絡防火墻）、網絡入侵檢測、應用入侵防御（應用防火墻）、網絡流量監測管理、安全審計、網絡出口冗余備份等技術。

（3）主機安全

部署SaaS應用的主機包括Web服務器、數據服務器、應用服務器等，主機安全技術主要指主機系統與服務安全，如系統病毒防護、系統漏洞修復、主機防火墻、虛擬交換機、虛擬防火墻等技術。針對Web服務器，還需要利用主機入侵檢測及主機審計技術提高其安全性。通過對數據庫服務器的集群和備份，在保證服務高可用性的同時，也使得數據在遭到破壞的情況下，可通過備份信息得以恢復。

4.2 應用數據安全

任何企業應用的數據對于用戶來說都是一筆重要資產，SaaS服務使得用戶通過網絡集中存取數據，因此數據的丟失將導致用戶資產遭受重大損失，同時也會對SaaS服務提供商失去信任，因此數據安全對用戶和服務提供商至關重要。

（1）數據庫服務安全

面向廣大租戶的SaaS服務，SaaS應用一般采用大型商用關系型數據庫，如Oracle、SQL Server和 DB2等，相對MySQL等開源數據庫，更加成熟、安全。

在數據庫的設計上，多重租賃的軟件有3種設計，每個客戶公司獨享一個數據庫實例，或獨享其中的一個模式，或多客戶公司以隔離和保密技術原理共享一個數據庫實例的一個模式。SaaS服務提供一般為最大化效益，一般采用后兩種，應用設計時可通過諸如權限管理、SQL視圖以及加密等“虛擬隔離”機制滿足用戶安全性需求。

（2）數據庫訪問安全

數據庫安全依賴于數據庫系統的訪問控制。目前對數據庫進行訪問控制有3種機制：基于強制訪問控制（MAC）的、基于自主訪問控制 （DAC）的和基于角色訪問控制（RBAC）[3]的機制。從安全性角度來說，在對 SaaS應用的數據庫進行訪問控制時，采用基于MAC和基于RBAC的方式，相對于基于DAC的方式安全性更高。

（3）數據存儲安全

SaaS應用數據都存儲在服務提供商側的數據庫管理系統中，而每個數據庫系統中都存在一個超級用戶，通常這個超級用戶是軟件運營商內部人員，因此對于擔心企業應用數據會被運營商看到的租戶來說，可以采用數據存儲加密的方式，確保其數據的安全性，同時也可以避免由于數據庫受到攻擊導致的機密數據被竊。

傳統的加密以報文為單位，加密解密都是從頭至尾順序進行。數據庫數據的使用方法決定了它不可能以整個數據庫文件為單位進行加密。數據庫加密通常基于子密鑰加密技術和秘密同態技術對數據庫字段和記錄進行加解密[4]。

數據存儲安全除包括上述用戶機密數據存儲安全外，還應包括對退租用戶的殘留數據進行徹底清除。

對于多租戶按需租用的SaaS服務，客戶對服務的租用與退租行為將變得相對頻繁，如何確保退租用戶存儲在服務器中的數據在重新租給新的用戶之前能被徹底銷毀，以防止機密信息的外泄，也是擺在租戶和服務提供商面前的一個重要安全問題。目前通用的刪除、格式化、重新分區、反復填寫等技術并不能保證信息的徹底銷毀，徹底的銷毀需要首先對電子數據存儲介質的底層進行分析，在分析其結構的基礎上進行底層的覆蓋寫入，從而確保數據擦除后的電子數據具有不可恢復性。

（4）數據傳輸安全

對于B/S架構的SaaS服務，用戶通常采用瀏覽器且通過互聯網訪問部署在軟件運營商端的SaaS服務，這對于需要傳輸一些機密數據（如客戶資料、財務資料）且對安全性要求較高的用戶來講，保證其在互聯網上傳輸數據的安全可靠是一項非常重要的需求。

目前有兩類技術可解決傳輸中的數據安全問題，第一類是基于隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術，組建VPN，實現租戶在公用互聯網上建立一個臨時的、安全的連接隧道，確保信息的安全傳輸；第二類是基于HTTP SSL實現客戶端與服務器端通信數據的安全傳輸，在實際的數據傳輸前，通信雙方進行身份認證、協商加密算法、交換加密密鑰等。在數據的傳輸過程中，密鑰應該定期更換。

4.3 應用系統安全

（1）應用服務安全

在分層安全模型里，應用服務安全包括應用服務器安全和Web服務器安全。

應用服務器是指通過多種協議為客戶端提供商業邏輯的服務組件技術，為應用程序的執行提供核心服務，如對CORBA的支持以及EJB容器等,并提供系統級的服務,如事務處理、安全服務、緩存服務、負載平衡、系統管理以及災難恢復等功能。由于越來越多的用戶使用各種設備,通過各種方式訪問系統,這要求應用服務器不僅能提供良好的技術兼容性、擴展性、開放性和可靠性，還能提供足夠高的安全性，應能確保應用數據的機密性、完整性和可用性,不讓攻擊者訪問任何機密信息。SaaS服務提供商應選擇一些主流商用應用服務器平臺，如Weblogic Server、Websphere Application Server、Oracle9i Application Server等，它們均可提供較高的安全性服務，如用戶和應用程序的認證、加密授權、審計、訪問控制和會話管理等。

在B/S架構的 SaaS服務中，Web服務器 （即 B/S的服務端）用于接收用戶HTTP服務請求，并作出響應。Web服務器作為直接面向客戶端提供網頁解析服務的組件，最容易成為外部攻擊的目標，攻擊者利用各種系統漏洞、口令破解等途徑實施攻擊，進行內容篡改、盜取管理員密碼、數據庫注入、網站掛馬、木馬植入、竊取數據等破壞活動。

為保證網站免受攻擊、篡改，一方面需要SaaS應用的開發商在選擇Web服務器時選擇安全性相對較高的服務器組件，如IIS 7、Apache、OpenAngel等服務器；另一方面還需要在Web代碼設計時充分考慮代碼的安全性，開發時加強代碼安全性檢查與測試，如在保存通過文本框輸入的數據之前進行必要的字符長度、數據類型、字符格式、特殊字符等嚴格檢測，以避免緩沖溢出漏洞和SQL注入式漏洞。

（2）站點安全

對于B/S架構的SaaS服務，網站系統在運行時還需要利用數字水印技術、應用防護技術及增強型事件觸發檢測技術實現頁面防篡改、防注入攻擊，對網頁內容進行實時監控，并在必要時進行網頁自動恢復。

（3）身份認證

認證是指驗證提供服務的服務器或訪問服務的用戶身份合法性的過程，授權是指對通過認證的對象授予訪問特定服務或操作特定功能的權限的過程。身份驗證和授權服務是保證SaaS應用系統安全性的基礎。

SaaS應用系統需要提供完整的身份管理和登錄服務。基于密碼的認證在HTTP協議中是一種基本的認證方法，它提供了有限的安全性。對于安全性要求較高的場合，采用數字簽名方式。使用SSL進行數字簽名是安全認證的有效方法，通過第三方信任的認證機構發放數字證書，可以用來確認服務器或用戶的身份。通過多個證書鏈可以提供更加靈活、安全的B2B安全需求。

（4）客戶端安全

在上述安全分層模型里，SaaS應用客戶端安全指客戶端瀏覽器安全。隨著B/S架構的流行，將有越來越多的SaaS軟件采用瀏覽器方式提供訪問。對基于瀏覽器的訪問模式，普遍采用的安全技術包括Cookie加密、URL隨機碼、SQL等代碼的注入防范等技術。同時，瀏覽器自身的及時升級及安全設置也是非常重要的。

5 結束語

SaaS服務安全涉及多個環節，從應用的設計、開發、部署到運行，每一個環節都需要嚴密考慮。它不僅是技術實施問題，更重要的是，還需要SaaS服務提供商內部健全而規范的信息安全管理流程和運維組織體系保證，以減少SaaS應用的數據及用戶隱私內部人為破壞或泄露的概率。同時，SaaS應用安全還與社會整體安全環境相關，SaaS服務的用戶應增強到自身隱私信息、服務賬號和密碼的保護意識，國家監管及執法部門應完善互聯網網絡攻擊及詐騙等犯罪行為的相關立法。

SaaS應用的安全還來自客戶內心的感知。服務提供商除從技術及運營管理層面保障SaaS安全外，還需要從客戶安全感知方面加以增強，如提供實體的USB加密，以增強客戶內心對SaaS服務的安全“感知”，逐步提升對SaaS服務安全的信任度。

1 Philippe Kruchten.架構藍圖——軟件架構 “4+1”視圖模型.https://www.ibm.com/developerworks/cn/rational/r-4p1-view

2 軟件架構視圖.http://wenku.baidu.com/view/6f9c2b4ae45c3b3567 ec8bf1.html

3 趙勇,田茂.多用戶空間數據庫的安全訪問控制.計算機應用研究,2004(11)

4 數據庫安全.蘭州理工大學計算機與通信學院數據庫原理與應用課件,2009

5 王茂光,丁穎.應用服務器的安全性研究.計算機工程與設計,2004(11)