マルチテナントクラウドプラットフォームの導入方法を学ぶ

[[437680]]

[51CTO.com クイック翻訳]パブリッククラウドを信頼できますか?答えはもちろんイエスです。多くの点で、パブリック クラウドを使用する方が独自のデータ センターを運用するよりも安全です。

しかし、パブリック クラウドで複数の顧客が同じ物理ハードウェアを共有するという事実は、セキュリティ上の問題を引き起こすのでしょうか?マルチテナントシステムは本質的に安全性が低いのでしょうか?

マルチテナントとは何ですか?

まず、マルチテナント環境とシングルテナント環境の意味について説明する必要があります。予想通り、答えは見た目ほど明確ではありません。

まず、データセンターで実行される非クラウド アプリケーションを見てみましょう。図1はそのようなシステムを示しています。

図1 シングルテナントアプリケーション

図 1 では、2 人の顧客がそれぞれ異なる独立した物理サーバー上でアプリケーションの異なるインスタンスを実行していることがわかります。 2 台のサーバーが同じデータ センターで実行され、同じネットワーク インフラストラクチャを共有する場合がありますが、他の物理リソースは共有しません。これらはすべて異なるコンピュータ インスタンス (独立した CPU、メモリ、およびストレージ ハードウェア) を実行するため、ある顧客の情報が別の顧客の情報に干渉することは困難であり、実質的に不可能です。

ただし、このセットアップに 3 番目の顧客を追加する場合は、アプリケーションの 3 番目のインスタンスが必要になります。そのためには、3 番目の物理サーバーを購入してセットアップし、適切なハードウェア セットアップとソフトウェアをインストール、更新、および構成する必要があります。通常、新規顧客の追加は時間がかかり、面倒で、非常にコストのかかる作業です。プラス面としては、顧客アプリケーションを物理的なハードウェアの壁によって分離することができます。

マルチテナント仮想化

上記のシングルテナント モデルと図 2 に示すモデルを比較します。

図2 物理マルチテナントと仮想シングルテナントモデル

図 2 には、1 台の物理サーバーを使用して 2 つの異なるインスタンスを実行している 2 人の顧客がいます。しかし、この場合、インスタンスは実際には同じ物理サーバー上で実行されているにもかかわらず、2 つの別々の仮想サーバー上で実行されています。これは、1980 年代後半から 1990 年代初頭にかけて使用されてきたサーバー仮想化を使用したマルチテナントの例です。各アプリケーションは個別の仮想サーバー上に存在しますが、両方の仮想サーバーは同じ物理ハードウェア上に存在します。

このモデルでは、シングルテナント モデルと比較して、アプリケーションとソフトウェアを移行する機能が向上します。これで、新しい顧客が参加する場合、完全に新しい物理サーバーを導入することなく、この物理サーバーのハードウェアとソフトウェアを使用できるようになります。必要なのは、新しい仮想サーバー インスタンスを起動することだけです。これは単純なコマンドまたは API 呼び出しであり、通常は簡単に実行できます。物理サーバーに十分な容量があれば、簡単な API 呼び出しで複数の仮想サーバーを起動できます。追加の物理リソースが必要な場合にのみ、新しいハードウェアが追加されます。

実際、このモデルは非常に強力であるため、クラウド コンピューティング サービスの基盤となっています。サーバー仮想化により、クラウド コンピューティング プロバイダーは仮想サーバー インスタンスを企業に直接販売し、オンデマンドでインスタンスを起動および停止できるようになります。これは、AWS EC2 サービス、および Microsoft Azure、Google Cloud Platform などのパブリック クラウド サービスの基盤となります。新しいインスタンスは一定期間顧客にリースされ、その後他の顧客が使用できるようにリリースされます。

顧客情報は仮想ハードウェア ウォールによって分離されており、仮想化ソフトウェアによってシミュレートできます。新しい顧客を追加するのは簡単ですが、新しい仮想サーバー インスタンスを起動する必要があり、リソースが消費されます。

このモデルは、物理マルチテナント、仮想シングルテナント モデルと呼ばれます。この名前は、各仮想インスタンスがソフトウェアの独自のインスタンスを持つ顧客に割り当てられる (仮想シングルテナンシー) 一方、すべての仮想インスタンスは共有の物理ハードウェア上で実行される (物理マルチテナンシー) という事実に由来しています。

マルチテナントソフトウェア

ここで、上の 2 つのモデルを図 3 と比較してください。

図 3 物理マルチテナント モデルと仮想マルチテナント モデル (SaaS モデルとも呼ばれる)

このモデルでは、複数の顧客が同じアプリケーション インスタンスを共有し、すべて同じ物理サーバーおよび同じ物理インフラストラクチャ上で実行されます。この場合、ソフトウェアはクライアント間の分離を提供しますが、物理的な分離は提供しません。これらのクライアントのアプリケーションと情報はソフトウェアによってのみ分離されます。

このモデルは、物理マルチテナント、仮想マルチテナント モデルと呼ばれます。これは、Software as a Service (SaaS) モデルと呼ばれます。

この場合、新規顧客を追加するのは非常に簡単です。仮想または物理ハードウェアは必要ありません。基盤となるハードウェアに十分なリソースがある限り、データベースを更新するか、構成ファイルにエントリを追加することで、追加の顧客を追加できます。新規顧客の追加は、迅速、簡単、そして安価です。

マルチテナントは安全ですか?

シングルテナントはマルチテナントよりも安全ですか?これはよくある質問ですが、答えるのが難しい質問です。どちらのモデルも安全である場合もあれば、安全でない場合もあります。悪意のある人物がソフトウェアやアプリケーションを攻撃しようとする場合、どちらのモデルでも、悪意のある攻撃を防ぐための安全なプロセスと手順が必要です。

しかし、偶発的なセキュリティ侵害についてはどうでしょうか?たとえば、ある顧客のデータを誤って別の顧客に公開してしまうことなどでしょうか?もちろん、適切に設計されていないマルチテナント SaaS アプリケーションでは、同じ共有環境を使用している他の消費者にデータが公開されるリスクがあります。

これを理解するには、図 4 を見てください。

図4: 顧客のセキュリティに関する懸念はリースの種類によって異なる

まず、図 4 の左上隅に示されているように、真のシングルテナント アプリケーションを見てみましょう。ある顧客のデータが誤って別の顧客に公開された場合、そのデータを物理サーバー間で移動する必要があります。それは簡単なことではありませんし、予期せずこのようなことが起こるとは想像もつきません。シングルテナント システムでは、予期しないセキュリティ問題が発生する可能性が低くなります。

次に、図 4 の右上隅に示すように、仮想サーバーのマルチテナント アプリケーションを見てみましょう。このモデルでデータが誤って公開されるためには、データが強力な仮想化境界を通過する必要があります。これが起こるとは想像しにくいですが、不可能ではありません。実際、数年前、Meltdown と Spectre の脆弱性により、このような危険につながる可能性のあるサーバー仮想化の欠陥が明らかになりましたが、この欠陥はすぐに発見され、修正されました。

図 4 の下部に示すように、真のマルチテナント アプリケーション (SaaS アプリケーション) では、ソフトウェアのバグによって顧客間でデータが公開される可能性が高くなります。これは、顧客間の分離は完全にアプリケーション層で行われ、基盤となるハードウェアや仮想化では分離が行われていないためです。理論上は、ソフトウェアのバグにより、他の顧客のデータが誤って公開される可能性があります。

これは人々が直面する可能性のあるリスクです。しかし実際には、評判の良い企業の高品質の SaaS アプリケーションを使用する場合、このリスクはそれほど大きくはありません。もちろん、テナント間の偶発的なデータ漏洩に関連する脆弱性はすぐに修正されます。この特定の問題には多くの注目が集まっています。しかし、これは顧客が SaaS 企業を選択し、どのようなデータを提供するかを決定する際に考慮すべき事項です。

マルチテナントを使用する理由は何ですか?

理論的にはシングルテナントの方がマルチテナントよりも安全であるのに、なぜマルチテナントを使用するのでしょうか?

まず、上記のユースケースから、マルチテナント システムは拡張が容易で、新しい顧客の追加が容易であることが推測できます。シングルテナント システムで新規顧客を追加するコストは、新しいハードウェア、セットアップ、構成、メンテナンス、ソフトウェア、アップグレードなどのコストが含まれるため、非常に高くなります。対照的に、真のマルチテナント SaaS システムでは、新規顧客の増分コストはほぼゼロであり、新規顧客の追加は文字通りデータベースにデータ行を追加するのと同じくらい簡単です。マルチテナント SaaS システムにより、プロバイダーはアプリケーションに「購入前に試す」機能を組み込み、収益性を維持しながら真の無料層を実装できます。これは、完全なシングルテナント アプリケーションとハードウェアではほぼ不可能です。

マルチテナント システムでは、追加の負荷を処理する必要がある場合に、実行中のアプリケーションにリソースを追加することも容易になります。アプリケーションが負荷を処理するために一定数のサーバーを必要とし、トラフィックが急増した場合はどうなるでしょうか?仮想マルチテナント ハードウェアを備えたシステムの場合、追加のサーバー容量を数秒で簡単かつ動的に追加できます。真のシングルテナント アプリケーションの場合、物理サーバーの購入、インストール、構成には数日または数週間かかることがあります。

シングルテナント アプリケーションに容量を追加するには長い時間がかかるため、数か月前に容量を計画する必要があります。企業は、自社のニーズを予測し、発生する可能性のある異常なピークや予期しないピークに対応できる十分な余剰容量を確保する必要があります。この余剰容量はほとんどの時間アイドル状態となり、アプリケーションの運用コストが増加します。

マルチテナント システムを使用すると、必要に応じて仮想サーバーを追加起動して、容量を動的に追加できます。ハードウェアはマルチテナント インフラストラクチャで共有されるため、余剰容量は複数の顧客間で共有されます。

アプリケーションはマルチテナントハードウェア環境で実行されます

アプリケーションの将来は、マルチテナント ハードウェア環境のマルチテナント仮想環境でマルチテナント アプリケーションを実行することです。シングルテナント アプリケーションはますます少なくなり、主にオンプレミスのデータ センター環境で使用されるようになります。マルチテナント システムのセキュリティ問題は、すべてのアプリケーションの全体的なセキュリティ フレームワークの一部にすぎません。

マルチテナンシーはパブリック クラウドの基盤であり、すべての主要な運用環境のバックボーンであり、現在および将来におけるアプリケーションの構築および展開方法を定義します。

原題: マルチテナント クラウドを愛する方法、著者: Lee Atchison

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。