コンテンツにスキップ 
共有ホスティングのセキュリティは、侵害されたアカウントが他のサイトに触れるか、それとも完全に隔離されたままであるかを決定します。 テナント アイソレーションはすべてのレイヤーで効果を発揮する。プロセスの牢屋からVLAN/VXLAN、データベースのRLSまで、具体的な対策を概説する。 共有 日常生活におけるホスティング・セキュリティ.
中心点
以下の中核的な側面が テナント 共有ホスティングにおける分離。.
- 断熱層プロセス、ファイル、ネットワーク、データベースレベルでの分離。.
- データベースの保護テナントID、RLS、静止時と転送時の暗号化。.
- リソース制限cグループ、割当、「うるさい隣人」に対する公正な計画。.
- モニタリングテナントごとのメトリクス、ログ、アラームをわかりやすいラベルで表示。.
- 入居モデルリスクと予算に応じて、サイロ型、プール型、ハイブリッド型がある。.
をまず重くする。 断熱最もリスクの高いレイヤーに、さらにレイヤーを重ねる。こうすることで、死角のない深みのある守備が可能になる。初心者の方には構成要素を簡単に説明し、プロの方には具体的なメカニズムを挙げる。あらゆる対策が実を結ぶ セグメンテーション とスプレッドの可能性を減らす。最終的には、各口座の分離が明確に検証される。.
共有ホスティングにおけるテナント分離の意味
私は、各テナントを独自のプロセス、独自の名前空間、限られたリソースのフレームワークでカプセル化します。 ファイル または環境にアクセスできる。LXCやsystemd-nspawnのようなコンテナはPID、ネットワーク、マウントを分離し、cgroupsはハードリミットを設定する。シンプルなワークロードには軽量なジェイルで十分だが、ダイナミックなスタックにはAppArmorやSELinuxを使ったコンテナプロファイルを使う。また、UID/GIDセットを使って明確な制限を定義し、ファイルアクセスがきれいに失敗するようにしている。より詳しい紹介は ホスティングにおける分離の概念, 具体的なプロテクションの道筋を示している。そこで私は アタック・サーフェス 1テナントあたりは少額で理解しやすい。.
ネットワークの境界とトラフィックのセグメンテーション
ネットワークレイヤーでは、VLANまたはVXLANでトラフィックを分離し、リンクポートを セキュリティ-ポリシー。エッジファイアウォールは着信接続をフィルタリングし、ローカルファイアウォールは横方向の動きを抑制する。IDS/IPSはテナント・セグメントごとに異常なパターンを認識し、WAFルールは一般的なウェブ攻撃を早期に阻止する。私はテナントごとに、デフォルトの拒否、必要なプロトコルのみの許可、ドロップイベントのログを定義しています。レート制限とSYNクッキーは、個々のサイトがスタックに過負荷をかけるのを防ぎます。これにより サイド・セパレーション アプリのエラーにも有効だ。.
ホストのハードニングと最小限のOS
私は基本的なものを減らす。アタック・サーフェス, テナントが開始する前に。ホストOSは無駄を省き、不要なパッケージやコンパイラはデフォルトで削除される。システム・サービスはハード・デフォルトで実行され、マウント・ポイントはnoexec、nosuid、nodev、ro-bindsで保護される。sysctlスイッチは危険な機能(ptraceスコープ、非特権ユーザーのネームスペース、コア・ダンプ、スプーフ保護)をスロットルする。LSMプロファイルの強制 アクセス・コントロールの義務化, 監査ルールは、機密性の高いシステムコールを記録する。私は、カーネルとユーザーランドを最新の状態に保ち、可能な限りライブパッチとセキュアなブートチェーンを使用している。これにより、上位レイヤーのエラーが直接の被害となることを防いでいる。.
- 読み取り専用のシステム領域と変更不可 設定 完全性保護
- 厳密なデバイスアクセス:必要な/devノードだけがジェイルに表示される
- 危険なシステムコールを全面的に除外する標準的なseccompフィルター
RLSとテナントIDによるデータベースの分離
各テーブルに テナントID-を参照し、すべてのクエリでそれをチェックします。PostgreSQLでは、行レベルのセキュリティを使用し、パラメータでコンテキストをロードする。MySQLでは、アクティブなテナントからのみ行を解放するビュー、ストアドプロシージャ、トリガーを使っている。また、データを強力なアルゴリズムで暗号化し、すべての接続にTLS 1.3を設定しています。バックアップジョブを論理的に分離し、リストアが外部データに触れないようにしています。このようにして SQL-レベルの信頼性がある。.
キュー、電子メール、その他のセカンダリ・チャンネルの保護
DBとHTTPに加え、私は以下を分離した。 メッセージパスメッセージ・ブローカーは、テナントごとにユニークな認証情報とACLを持つvhost/namespacesを使用する。Redisについては、すでに述べたキーのネームスペースにACLを追加し、Memcachedはテナントごとに個別のソケット/ポートにバインドする。MTAはドメインごとにスプールとDKIMキーを分け、レート制限とgreylistingはグローバルではなくアカウントごとに適用している。アウトバウンドSMTPは、風評被害を避けるため、テナントごとにボリュームのしきい値を設定したイグレスフィルタを通す。DNSゾーンは個別に管理し、署名(DNSSEC)と証明書(個別のキー)は明確な所有権の境界に従っています。このように 二次チャンネル 断熱材に隙間がないこと。.
プロセス分離の実際
PHP、Node.js、Pythonの場合は、ランタイム環境を自分の UIDs、分離されたソケット、制限されたファイルパーミッション。nginxやApacheのようなウェブサーバーは、グローバルソケット経由ではなく、分離されたアップストリーム経由で各アプリに対応する。seccompプロファイルでシステムコールを制限し、危険なコールができないようにしている。スタートスクリプトは、完全なroot権限ではなく、最小限の機能を設定する。亜種を比較したい場合は、以下を参照してください。 プロセスの分離を比較する. .このように スコープ 各アプリの.
ファイルシステム、メモリ、キャッシュを分離
各テナントを自分の部屋に閉じ込める chroot- またはCageFS jailを使用し、各アカウントのホームディレクトリを暗号化します。AppArmor/SELinuxプロファイルは、アプリが見ることを許可されるパスを定義し、近隣のホームへのトラバーサルを拒否する。オブジェクト・ストレージでは、テナント固有のプレフィックスと、これらのパスを排他的にターゲットとするIAMポリシーを使用している。Redisなどのキャッシュでは、tenant:{id}:keyのような名前空間を使ってキーをバージョン管理し、衝突が起きないようにしている。私は特に共有メモリ領域からのリスクに対処している。 共有メモリのリスク は実用的なガードレールを示している。これによって データ 厳格に分離されている。.
プロビジョニング、デプロビジョニング、安全な削除
を自動化している。 ライフサイクル テナントごと:オンボーディングの際に、自分のUID/GID範囲、ホーム・スケルトン、分離されたサービス・ユニットを作成する。シークレットは初回起動時にのみ作成され、暗号化されてターゲットに送信され(KMS経由など)、イメージにベイクされることはありません。ネームスペース、クォータ、ポリシーは、繰り返しがギャップを作らないように、偶発的に適用される。暗号鍵は破棄(暗号消去)し、ボリュームは上書きするか安全に廃棄し、ログはアーカイブバケットに転送する。ドメイン、IP、証明書は再割り当てされる前に隔離されます。このようにして データ保持 とゴースト・オーソライゼーション。.
リソース制限:Cグループ、クォータ、公平性
テナントごとに、CPU時間、RAM、I/O、そして プロセス. .cgroups v2とI/Oコントローラは、過剰なジョブがホストの速度を低下させるのを防ぐ。私は、PHP-FPMプールやノードワーカーに最大子数やメモリ分割を設定しています。ストレージクォータは占有領域を制限し、inode は何百万もの小さなファイルを防ぎます。スケジューラ・クラスは重要なサービスに優先順位を付け、負荷がかかっても管理者アクセスが利用できるようにします。そのため、ホストはすべてのテナントが利用可能な状態に保たれます。 パフォーマント.
テナントごとのDoS、不正使用、退出制御
私はまた、次のようにカプセル化している。 利用 アカウントごとにカウントされます:接続テーブル、HTTPコンテキスト、レートリミッターは常にテナントごとにカウントする。ホスト上では、NetNS/UIDに割り当てられたトラフィックシェーピングによって、同時ソケット、接続、帯域幅を制限している。発信トラフィックは、危険なサイトがコマンド&コントロール・リレーにならないように、許可リストに従います。アップロード/ダウンロードのピークに対しては、グローバルなハードキャンセルの代わりに、バーストウィンドウと穏やかなバックログ戦略を定義します。これにより、他のテナントに影響を与えることなく、不正使用やDDoSの影響をローカルに保つことができます。.
JWTとIAMによるセッションとアイデンティティ・コンテキスト
テナント・コンテキストを トークン そしてホップごとにチェックする。ゲートウェイは署名を検証し、ヘッダーを設定し、これらのクレームがアプリによって上書きされるのを防ぐ。サーバー側では、テナント固有のリソースだけを見る最小権限のロールを強制している。一時的な認証情報は短期間実行され、IPとタイムウィンドウにバインドされる。これにより、漏洩したキーによる横の動きを排除している。アイデンティティが最強になる 国境 をスタックに入れる。.
安全なサプライチェーン、製造プロセス、配備
をブロックする。 配送ルート から:成果物は再現可能にビルドされ、署名され、SBOMとともに提供される。ビルドランナーは短命で、rootなしで動作し、信頼できるレジスター/レポにのみ最小限のネットワークでアクセスする。依存関係をピン留めし、リリース前にスキャンする。„production “への昇格には、ビルドとテストによる証明が必要である。デプロイメントでは、ロールアウトする前にポリシーを検証する(コンフィグドリフト、オープンポート、クォータ不足)。ターゲット環境では、テナントごとにシークレットを注入する。これにより サプライチェーン, 操作されたパッケージがアイソレーションに侵入する。.
入居モデル:サイロ、プール、ハイブリッド
私は、リスク、コンプライアンス、そして、その3つの観点からテナントモデルを選択する。 予算. .サイロは顧客ごとに厳密に分離するが、コストが高くなり、専用の運用プロセスが必要になる。プールはリソースを効率的に共有するが、きめ細かいポリシーとシームレスなテストが必要。ハイブリッドは、専用データ・レベルと共有エッジ、またはその逆を組み合わせたものです。以下の表は、メリットとスワップを明確に分類したもので、意思決定が強固なものとなる。.
| 断熱レベル | メリット | デメリット | 典型的な例 |
|---|---|---|---|
| サイロ(専用) | 最大限の分離、クリア コンプライアンス-ゾーン | コスト高、分離運営 | キーアカウントごとにスタックを所有 |
| プール(共用) | 高稼働率、低稼働率 コスト | より複雑なポリシー、厳格なテストが必要 | 標準共有ホスティング |
| ハイブリッド | 柔軟なバランス、狙った硬化 | 管理の手間と設定ミスのリスク | スプリットエッジ、専用DB |
機密データはサイロ・コンポーネントに、トラフィック処理はプールにというように、アプリケーションごとにモデルごとに決めています。重要なのは、トランジションを ポリシー バウンダリーごとに安全でアンカー・モニタリングができる。これにより、リスクを最小化し、コストを計算可能な状態に保つセットアップが実現する。クライアント・フィクスチャを使ったテスト・スイートは早い段階でエラーを検出する。デプロイメント・パイプラインは自動的に分離ルールをチェックする。.
テナントごとのコンプライアンス、暗号化、バックアップ
テナントごとに監査ログを分け、監査ができるようにしています。 監査証明 のままである。鍵はHSMかKMSサービスに保管し、アクセスは厳格な役割に従っている。TLSプロファイルをホスト全体に適用し、古い暗号は設定から削除しています。バックアップは転送前に暗号化し、復元はテナントごとに個別にチェックします。保管計画は、ビジネス要件と法的仕様に合わせてカスタマイズします。これにより、データ保護が具体的になり 試験可能.
フォレンジック、エクササイズ、リスタート
を計画している。 反応 を使用しています:不変のログ、クリーンなタイムソース、スナップショット戦略により、信頼性の高いタイムラインを実現します。インシデントが発生した場合、他のテナントに迷惑をかけることなく、影響を受けたテナントを隔離モード(読み取り専用マウント、ブロックされたイグジットパス、より厳しい制限)にします。ガラス破りのアクセスは短時間でログに記録する。復旧は、スイッチを本稼働させる前に、別環境のテナント固有の検証済みバックアップから行う。卓上演習やレッドチームのシナリオでは、これらの手順を定期的に繰り返します。 硬化 政策やテストにおいて。.
テナントごとの監視、監査、障害対応
それぞれの指標に次のようなラベルを付けている。 テナントID, ダッシュボードがすぐに効果を分けられるように。エラーバジェットを別々に計算し、介入に公平に優先順位をつけられるようにしています。アラームは、テナントの状況に応じて、クォータ違反、レイテンシー急増、認証エラーで作動します。Playbookには、影響を受けたリソースの隔離から復旧までの手順が記述されています。インシデント・レポートは、ハードニング対策とテスト・ケースにフィードバックされます。このようにして、プラットフォームは目に見える形で学習し 測定可能.
一般的な攻撃ベクトルと直接的な対策
脆弱なアプリ経由でアクセスされた場合、プロセス分離によって 横の動き. .厳密なテナントフィルタリングとテーブルレベルでのRLSでSQLの漏れを防ぐ。cグループ、クォータ、スケーリング制限により、「うるさい隣人」からの不正使用を抑制します。MFA、FIDO2、短いセッション時間で、脆弱な管理者認証情報を緩和します。厳密な名前空間と個別のソケットで、危険な共有メモリパスを排除する。すべての対策は、次のような障壁を構築する。 スプレッド にある。
簡単にまとめると
共有ホスティングは、私が安全なまま テナント すべてのレイヤーにおいて、赤のモチーフとして分離がある。私はプロセス、ファイル、ネットワーク、データベースを一貫して分離し、テナントごとに効果を測定し、厳しい境界線を引いています。リソースの制限によって公平性を確保し、RLSと暗号化によってデータを保護し、セグメント化されたエッジによって攻撃を早い段階で抑制します。監査、メトリクス、アラームにより、すべての意思決定が追跡可能かつ制御可能になります。このように考えれば、共有環境を確実に密閉し、データを保護することができます。 パフォーマンス すべての人のために。.
