ClickHouse Cloud のセキュリティ

本ドキュメントでは、ClickHouse Cloud の組織およびサービスを保護するために利用可能なセキュリティオプションとベストプラクティスについて詳述します。 ClickHouse は、安全な分析用データベースソリューションを提供することに注力しており、データおよびサービスの完全性を保護することを最優先事項としています。ここでは、ユーザーが ClickHouse 環境を保護するのに役立つよう設計された、さまざまな方法について説明します。

クラウドコンソールの認証

パスワード認証

ClickHouse Cloud コンソールのパスワードは NIST 800-63B 標準に準拠しており、12 文字以上で、大文字・小文字・数字・特殊文字の 4 種類のうち 3 種類を含む複雑性要件を満たす必要があります。

パスワード認証の詳細はこちらをご覧ください。

ClickHouse Cloud は、Google または Microsoft のソーシャル認証によるシングルサインオン (SSO) をサポートしています。

ソーシャル SSOの詳細はこちらをご覧ください。

多要素認証 (MFA)

メールアドレスとパスワード、またはソーシャル SSO を利用しているユーザーは、Authy や Google Authenticator などの認証アプリを利用した多要素認証も設定できます。

多要素認証の詳細はこちらをご覧ください。

Security Assertion Markup Language (SAML) 認証

エンタープライズのお客様は、SAML 認証を設定できます。

SAML 認証の詳細はこちらをご覧ください。

API 認証

お客様は、OpenAPI、Terraform、および Query API エンドポイントで使用するための API キーを設定できます。

API 認証の詳細はこちらをご覧ください。

データベース認証

データベースパスワード認証

ClickHouse データベースユーザーのパスワードは、NIST 800-63B 標準に準拠するよう設定されており、12 文字以上であることに加え、大文字・小文字・数字および／または特殊文字を含むといった複雑性要件を満たす必要があります。

データベースパスワード認証の詳細をご覧ください。

Secure Shell (SSH) データベース認証

ClickHouse データベースユーザーは、SSH 認証を使用するように設定できます。

SSH 認証の詳細をご覧ください。

アクセス制御

コンソールのロールベースアクセス制御 (RBAC)

ClickHouse Cloud は、組織・サービス・データベースの各権限に対するロール割り当てをサポートしています。この方法で設定したデータベース権限は、SQL コンソールでのみ利用できます。

コンソール RBAC の詳細をご覧ください。

データベースユーザーの権限付与

ClickHouse のデータベースは、ユーザーへの権限付与に基づくきめ細かな権限管理とロールベースアクセスをサポートしています。

データベースユーザーの権限付与の詳細をご覧ください。

ネットワークセキュリティ

IP フィルター

ClickHouse サービスへの受信接続を制限するために IP フィルターを設定します。

詳しくは、IP フィルターを参照してください。

プライベート接続

プライベート接続を使用して、AWS、GCP、Azure から ClickHouse クラスターに接続します。

詳しくは、プライベート接続を参照してください。

暗号化

ストレージレベルの暗号化

ClickHouse Cloud は、クラウドプロバイダー管理の AES-256 キーを使用して、保存中のデータをデフォルトで暗号化します。

詳しくは、ストレージ暗号化をご覧ください。

透過的データ暗号化

ストレージ暗号化に加えて、ClickHouse Cloud Enterprise のお客様は、追加の保護としてデータベースレベルの透過的データ暗号化を有効にできます。

詳しくは、透過的データ暗号化をご覧ください。

お客様管理の暗号鍵

ClickHouse Cloud Enterprise のお客様は、データベースレベルの暗号化に独自のキーを使用できます。

詳しくは、お客様管理の暗号鍵をご覧ください。

監査とログ記録

コンソール監査ログ

コンソール上の操作はログに記録されます。ログは確認およびエクスポートできます。

コンソール監査ログの詳細をご覧ください。

データベース監査ログ

データベース上の操作はログに記録されます。ログは確認およびエクスポートできます。

データベース監査ログの詳細をご覧ください。

BYOC セキュリティプレイブック

ClickHouse BYOC インスタンスを管理するセキュリティチーム向けのサンプル検出クエリです。

BYOC セキュリティプレイブックの詳細をご覧ください。

コンプライアンス

セキュリティおよびコンプライアンスレポート

ClickHouse は堅牢なセキュリティおよびコンプライアンスプログラムを運用しています。新しい第三者監査レポートについて、定期的にご確認ください。

セキュリティおよびコンプライアンスレポートの詳細をご覧ください。

HIPAA 準拠サービス

ClickHouse Cloud Enterprise のお客様は、Business Associate Agreement (BAA) を締結した後、保護対象医療情報 (PHI) を保管するサービスを HIPAA 準拠リージョンにデプロイできます。

HIPAA 準拠の詳細をご覧ください。

PCI 準拠サービス

ClickHouse Cloud Enterprise のお客様は、クレジットカード情報を保管するサービスを PCI 準拠リージョンにデプロイできます。

PCI 準拠の詳細をご覧ください。

クラウドコンソールの認証​

パスワード認証​

ソーシャルシングルサインオン (SSO)​

多要素認証 (MFA)​

Security Assertion Markup Language (SAML) 認証​

API 認証​

データベース認証​

データベースパスワード認証​

Secure Shell (SSH) データベース認証​

アクセス制御​

コンソールのロールベースアクセス制御 (RBAC)​

データベースユーザーの権限付与​

ネットワークセキュリティ​

IP フィルター​

プライベート接続​

暗号化​

ストレージレベルの暗号化​

透過的データ暗号化​

お客様管理の暗号鍵​

監査とログ記録​

コンソール監査ログ​

データベース監査ログ​

BYOC セキュリティプレイブック​

コンプライアンス​

セキュリティおよびコンプライアンスレポート​

HIPAA 準拠サービス​

PCI 準拠サービス​