第27章 多租戶安全與資料治理

# 第27章 多租戶安全與資料治理 ## 27.1 引言 在「虛擬演員」生態系統中，資料往往跨越多個雲端服務、Edge 節點以及本地端裝置。隨著租戶（租用者）數量的攀升，資料隔離、隱私保護與合規要求變得愈加複雜。本章將聚焦於： 1. **多租戶安全（Multi‑Tenant Security）** 的核心原則與設計模式。 2. 在雲端與 Edge 之間實施資料治理（Data Governance）的最佳實踐。 3. 具體技術方案—加密、憑證管理、身份與存取管理（IAM）、審計與合規工具。 > **目標讀者**：架構師、資料安全工程師、雲端運維工程師與 AI 虛擬演員開發者。 ## 27.2 多租戶環境概念 | 項目 | 定義 | 重點 | 示例 | |------|------|------|------| | **租戶（Tenant）** | 在同一物理或虛擬基礎設施上隔離使用者群體 | 資料隔離、服務隔離 | Netflix、Zoom、AI 虛擬演員平台 | | **資料隔離** | 防止不同租戶資料互相可見 | 構件級隔離、資料庫隔離、網路隔離 | Kubernetes Namespace、VPC | | **服務隔離** | 防止不同租戶的服務彼此干擾 | 計算資源、存儲容量、網路頻寬 | 多租戶 GPU 服務 | > **最佳實踐**： > * **硬體隔離**：若合約要求，可使用實體伺服器或專用租用槽。 > * **邏輯隔離**：使用 Kubernetes Namespace、IAM Role 分離；資料庫多租戶架構。 > * **網路隔離**：VPC、子網、Security Group、Network Policy。 ## 27.3 資料隱私與合規框架 ### 27.3.1 法規概覽 | 地區 | 法規 | 主要要求 | |------|------|----------| | **歐盟** | GDPR | 資料主體權益、數據最小化、隱私設計 | | **美國** | CCPA、HIPAA、FERPA | 產業特定隱私、加密、可審計性 | | **中國** | PIPL | 本地化存儲、跨境數據審批 | | **其他** | 取決於行業 | 例：PCI DSS、ISO/IEC 27001 | ### 27.3.2 合規檢查清單 1. **資料分類**：敏感、機密、公開。 2. **存儲地點**：確定數據在境內/境外位置。 3. **存取權限**：最小權限原則、時間限制。 4. **加密**：靜態、傳輸層；密鑰管理。 5. **審計日誌**：完整性、保留期限、可搜索性。 6. **資料保留與刪除**：符合法規要求的自動化流程。 ## 27.4 Edge‑Cloud 資料治理策略 | 步驟 | 目的 | 技術 | 例子 | |------|------|------|------| | **資料分類** | 確定資料敏感度 | 機器學習、關鍵字檢測 | 自動分類「個人識別資訊」 | | **資料加密** | 靜態/傳輸加密 | AES‑256、TLS 1.3 | Edge‑to‑Cloud 資料加密通道 | | **資料最小化** | 只傳送必要資訊 | 預處理、雲邊緣裁減 | 處理影像只傳送邊緣檢測結果 | | **資料留存** | 滿足合規與性能 | 本地快照、雲端快照 | Edge 本地持久化 24 小時 | | **審計與監控** | 追蹤資料流向 | OpenTelemetry、Prometheus | 記錄加解密操作、網路傳輸 | > **實作範例**：使用 Kubernetes + Istio + Vault ## 27.5 加密與憑證管理 ### 27.5.1 靜態資料加密（At‑Rest） yaml # Kubernetes Secret 與 HashiCorp Vault 範例 apiVersion: v1 kind: Secret metadata: name: db-credentials namespace: tenant-123 annotations: vault.hashicorp.com/role: "db-role" data: username: dXNlcg== password: c2VjcmV0 > Vault 會動態產生憑證，並在 Secret 中以注釋方式綁定。 ### 27.5.2 傳輸層加密（In‑Transit） | 協議 | 版本 | 建議密碼套件 | |------|------|--------------| | **TLS** | 1.3 | ECDHE‑ECDSA‑AES‑256‑GCM | | **MQTT** | Secure‑MQTT | TLS‑ECC | > 在 Edge 節點使用 `mosquitto` 的 `mosquitto.conf`： ini listener 8883 cafile /etc/ssl/ca.crt certfile /etc/ssl/server.crt keyfile /etc/ssl/server.key tlsv1.3 true ### 27.5.2 密鑰管理（Key Management Service） | 方案 | 特點 | 適用場景 | |------|------|----------| | **KMS (AWS KMS)** | 雲端自動化、回滾、鍵輪換 | 雲端資料 | 敏感訊息加密 | | **Azure Key Vault** | 原生 IAM 整合 | 多租戶雲端 | 用於雲端推理模型儲存 | | **Google Cloud KMS** | 與 GKE 集成 | 大規模分佈式系統 | | **Vault PKI** | 動態憑證、憑證輪換 | Edge‑to‑Cloud | 自動產生 TLS 憑證 | > **加密策略圖（文字版）** +-------------+ +--------------+ +-------------+ | Edge Node | --TLS(1.3)--> | Vault/KMS | --AES‑256--> | Cloud DB | +-------------+ +--------------+ +-------------+ ## 27.6 身份與存取管理（IAM） ### 27.6.1 IAM 基礎 | 概念 | 描述 | 工具 | |------|------|------| | **Role‑Based Access Control (RBAC)** | 基於角色授權 | Kubernetes RBAC、Istio AuthorizationPolicy | | **Attribute‑Based Access Control (ABAC)** | 基於屬性授權 | OPA + Rego | | **Token‑Based Identity** | 短期憑證 | OAuth2, OpenID Connect | ### 27.6.2 Istio AuthorizationPolicy 範例 yaml apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: tenant-auth namespace: tenant-123 spec: selector: matchLabels: app: virtual-actor-service action: ALLOW rules: - from: - source: principals: ["cluster.local/ns/tenant-123/sa/virtual-actor-svc"] to: - operation: methods: ["GET", "POST"] ## 27.7 實時監控與審計 | 工具 | 作用 | 配置範例 | |------|------|----------| | **OpenTelemetry Collector** | 資料流、事件、度量 | `collector-config.yaml` | | **Prometheus + Alertmanager** | 性能、失敗率、合規告警 | `alert.rules` | | **Elastic Security** | 日誌、審計、SIEM | `filebeat` 與 Elastic Stack | yaml # OpenTelemetry Collector 配置範例（監控加密操作） receivers: otlp: protocols: grpc: endpoint: 0.0.0.0:4317 processors: batch: exporters: otlp: endpoint: "otel-collector:4317" service: pipelines: traces: receivers: [otlp] processors: [batch] exporters: [otlp] ## 27.8 風險評估與治理流程 1. **風險評估**： * 風險矩陣（可能性 × 影響） * 資料保護評估（DPIA） 2. **治理流程**： * **政策制定** → **實作** → **審計** → **改進** 3. **自動化治理工具**： * **Policy‑as‑Code**：OPA + Rego、Kubernetes Gatekeeper * **Compliance‑as‑Code**：Terraform + InSpec、Chef InSpec ### 27.8.1 OPA Rego 政策範例 rego package authz default allow = false allow { input.user == "alice" input.resource == "s3://bucket/tenant-123/" input.action == "read" } > 在 Kubernetes Gatekeeper 中使用此政策，確保租戶只能存取自己的 bucket。 ## 27.9 案例研究 ### 27.9.1 AI 虛擬演員平台（多租戶） | 步驟 | 實作 | 成果 | |------|------|------| | **租戶隔離** | 使用 Namespace + Istio Network Policy | 物理資源共用、網路隔離 | | **資料治理** | 在 Edge 裝置使用 TensorFlow Lite 只傳送檢測結果 | 節省帶寬、符合 GDPR 透明度 | | **加密** | 端對端 TLS 1.3 + AWS KMS | 數據靜態加密、密鑰輪換 | | **審計** | OpenTelemetry + Elastic | 可追蹤資料流向、合規審計 | | **成本控制** | KEDA + Spot‑VMs | 成本降低 25% | ### 27.9.2 物聯網（IoT）企業租戶 | 需求 | 解決方案 | 成本 | |------|----------|------| | **跨境資料傳輸** | AWS Direct Connect + AWS PrivateLink | 高頻寬、低延遲 | | **憑證自動輪換** | HashiCorp Vault + Cloud‑Native App Secrets | 避免手動部署 | | **審計合規** | Azure Monitor + Microsoft Defender for Cloud | 24/7 審計 | ## 27.10 小結 * **多租戶安全** 不是「一刀切」的解決方案，而是多層隔離、權限最小化與自動化治理的綜合體系。 * **Edge‑to‑Cloud 資料治理** 需要在資料分類、加密、最小化與審計之間建立明確的策略鏈。 * **技術棧**：Kubernetes、Istio、HashiCorp Vault、OPA、OpenTelemetry、Prometheus、Elastic Stack 等，能在分佈式系統中實現高效、可擴展且合規的安全架構。 > **下一步**：在實際部署前，先完成合規風險評估與密鑰管理策略審查。 ## 27.11 閱讀延伸與資源 | 主題 | 資源 | |------|------| | **Kubernetes 安全最佳實踐** | <https://kubernetes.io/docs/concepts/security/> | | **Istio Service Mesh 安全** | <https://istio.io/latest/docs/tasks/security/> | | **HashiCorp Vault 文檔** | <https://www.vaultproject.io/docs/> | | **OpenTelemetry** | <https://opentelemetry.io/> | | **合規治理工具** | <https://www.chef.io/inspec> | > **建議閱讀**： > * 《Zero Trust Architecture》 – NIST 800‑207 > * 《Data Governance for the Data‑Driven Enterprise》 – Garth N. Smith > * 《Kubernetes Hardening Guide》 – CNCF