Multi-tenant monitoring — co to znaczy i komu służy
Multi-tenant monitoring po ludzku: jedna platforma, wiele organizacji i izolacja danych na poziomie wierszy bazy (RLS). Co to daje i komu naprawdę służy.
Zespół Nextriv4 min czytania
Spis treści
- Jeden budynek, wiele zamkniętych mieszkań
- Multi-tenant monitoring od kuchni: izolacja na poziomie wierszy bazy (RLS)
- Wokół izolacji: kto wchodzi i co zostawia ślad
- Multi-tenant to nie to samo co wiele lokalizacji
- Komu ta architektura służy
- Chmura wspólna, budynek autonomiczny
- Jak to sprawdzić u dowolnego dostawcy
Multi-tenant monitoring brzmi jak hasło z prezentacji dla inwestorów, a kryje się za nim pytanie, które prędzej czy później zadaje każdy klient chmury: skoro moje pomiary leżą na tej samej platformie co dane setek innych firm, to co właściwie oddziela jedne od drugich? Odpowiedź rozstrzyga, czy z monitoringu w chmurze można korzystać w aptece, szpitalu czy grupie kapitałowej — czyli wszędzie tam, gdzie „chyba nikt nie zobaczy" nie jest akceptowalnym poziomem gwarancji. Poniżej tłumaczymy architekturę multi-tenant po ludzku: co to znaczy, jak wygląda izolacja od kuchni i komu taka konstrukcja realnie służy.
Jeden budynek, wiele zamkniętych mieszkań
Tenant (ang. „najemca") to w tej architekturze po prostu organizacja: firma, spółka, placówka. Platforma multi-tenant działa jak budynek z mieszkaniami — instalacje, fundamenty i dach są wspólne, ale każde mieszkanie ma własny zamek, a sąsiad nie wejdzie do Twojej kuchni, bo „mieszka obok". Współdzielona jest infrastruktura: serwery, aktualizacje, monitoring bezpieczeństwa po stronie dostawcy. Oddzielne są dane, użytkownicy, urządzenia i konfiguracja każdej organizacji.
Alternatywa — osobna instalacja systemu u każdego klienta — brzmi bezpieczniej tylko na pierwszy rzut oka. W praktyce oznacza serwer, który ktoś musi utrzymywać i łatać, aktualizacje wdrażane „kiedyś" oraz koszty, które z góry wykluczają mniejsze firmy. Model multi-tenant odwraca ten rachunek: każda poprawka i nowa funkcja trafia do wszystkich jednocześnie, a start nowej organizacji to minuty, nie tygodnie wdrożenia.
Multi-tenant monitoring od kuchni: izolacja na poziomie wierszy bazy (RLS)
Kluczowe pytanie brzmi: co technicznie pilnuje granic między organizacjami? Najprostsza odpowiedź — „aplikacja filtruje dane po identyfikatorze firmy" — jest zarazem najsłabsza: wystarczy jedno zapytanie napisane bez filtra, by dane wyciekły między tenantami. Dlatego w Nextriv izolacja zeszła piętro niżej, do samej bazy danych, w postaci mechanizmu Row-Level Security (RLS), czyli zabezpieczeń na poziomie wierszy.
Działa to tak: każdy wiersz danych — pomiar, czujnik, alert, użytkownik — ma przypisaną organizację, a reguły RLS w bazie wymuszają, że zapytanie wykonywane w kontekście jednej organizacji w ogóle nie widzi wierszy pozostałych. To nie aplikacja grzecznie odfiltrowuje cudze dane — to baza danych odmawia ich zwrócenia. Nawet błąd programisty w warstwie aplikacji nie otwiera drzwi do danych sąsiada, bo zamek jest wbudowany w fundament, nie w klamkę. W inżynierii bezpieczeństwa nazywa się to obroną w głąb: granica między organizacjami nie zależy od bezbłędności każdej linijki kodu wyżej.
Wokół izolacji: kto wchodzi i co zostawia ślad
Sama izolacja to fundament, ale architektura multi-tenant potrzebuje jeszcze porządku wewnątrz każdego „mieszkania". W Nextriv składają się na niego cztery role użytkowników o rosnących uprawnieniach, zaproszenia do organizacji ważne 7 dni, dwuskładnikowe logowanie (TOTP z kodami zapasowymi), polityka haseł oraz zarządzanie sesjami z globalnym wylogowaniem — przydatnym, gdy telefon z aktywną sesją zmienia właściciela.
Do tego dochodzi rozliczalność: dziennik zdarzeń (audit trail) i osobny rejestr zdarzeń bezpieczeństwa, przechowywane przez 5 lat, odpowiadają na pytanie „kto, co i kiedy zmienił" — bez którego żadna kontrola się nie obejdzie. A gdy współpraca się kończy, organizacja może samoobsługowo usunąć swoje konto wraz z danymi, zgodnie z wymogami RODO. Pełny przegląd tych mechanizmów znajdziesz na stronie bezpieczeństwa platformy, a praktyczne omówienie szyfrowania i audytu — w artykule o bezpieczeństwie danych z czujników.
Multi-tenant to nie to samo co wiele lokalizacji
Te dwa pojęcia często się mylą, a odpowiadają na różne pytania. Jedna firma z dziesięcioma sklepami to jeden tenant z wieloma lokalizacjami: wspólny pulpit, wspólni użytkownicy, alerty i raporty per obiekt — jak to ułożyć, opisaliśmy w artykule o monitoringu wielu lokalizacji. Granica tenanta przebiega tam, gdzie granica organizacji: osobne spółki grupy kapitałowej, niezależni franczyzobiorcy czy podmioty o różnych administratorach danych zakładają osobne tenanty — każdy z własnymi użytkownikami, danymi i konfiguracją, rozdzielonymi na poziomie bazy.
Prosta heurystyka: jeśli dwa zbiory danych mają różnych właścicieli prawnych, powinny mieszkać w różnych tenantach. Jeśli mają wspólnego właściciela, a różnią się tylko adresem — to lokalizacje w jednym tenancie.
Komu ta architektura służy
- Małym firmom — bo znosi próg wejścia: zero własnej infrastruktury, start w minuty, a poprawki bezpieczeństwa wdraża dostawca, nie „informatyk od wszystkiego".
- Organizacjom regulowanym — aptece, laboratorium, ochronie zdrowia — bo na pytanie audytora „co oddziela wasze dane od innych klientów" istnieje konkretna, techniczna odpowiedź: izolacja na poziomie wierszy bazy plus pięcioletni audit trail.
- Grupom i sieciom — bo granice między spółkami są egzekwowane przez bazę danych, a nie przez regulamin wewnętrzny.
- Każdemu, kto myśli o wyjściu — bo cykl życia danych jest domknięty: eksporty, samoobsługowe usunięcie organizacji i kasowanie danych zgodne z RODO.
Chmura wspólna, budynek autonomiczny
Multi-tenant nie oznacza, że obiekt jest zakładnikiem chmury. W instalacjach budynkowych rolę lokalnego węzła pełni Nextriv Hub Edge — bramka brzegowa, która obok czujników bezprzewodowych czyta magistrale RS485/Modbus, BACnet i KNX, a logikę sterowania wykonuje lokalnie, także przy zerwanym łączu. Chmura pozostaje warstwą nadzoru, analityki i wieloletniej historii — wspólną infrastrukturą z prywatnymi, odizolowanymi danymi — a budynek reaguje na miejscu, niezależnie od internetu.
Jak to sprawdzić u dowolnego dostawcy
Na koniec trzy pytania, które warto zadać każdemu dostawcy monitoringu w chmurze: czym technicznie — nie umownie — odizolowane są dane organizacji? Jak długo przechowywany jest dziennik zdarzeń i czy obejmuje działania administratorów? Co dzieje się z danymi po zakończeniu współpracy? Jeśli odpowiedzi padają bez wahania, architektura była projektowana z myślą o granicach, a nie łatana po fakcie. Odpowiedzi Nextriv znajdziesz w cenniku i na żywo — podczas prezentacji platformy, gdzie pokażemy też, jak wygląda zakładanie organizacji od zera.
