Seguridad - ClickHouse Documentation

Este documento detalla las opciones de seguridad y las buenas prácticas disponibles para proteger la organización y los servicios de ClickHouse. ClickHouse se compromete a ofrecer soluciones seguras de bases de datos analíticas; por ello, proteger los datos y la integridad del servicio es una prioridad. La información aquí presentada abarca varios métodos diseñados para ayudar a los usuarios a proteger sus entornos de ClickHouse.

Autenticación en Cloud Console

Autenticación con contraseña

Las contraseñas de la consola de ClickHouse Cloud se configuran según los estándares NIST 800-63B, con un mínimo de 12 caracteres y 3 de 4 requisitos de complejidad: letras mayúsculas, letras minúsculas, números y/o caracteres especiales. Obtenga más información sobre la autenticación con contraseña. ClickHouse Cloud admite la autenticación social con Google o Microsoft para el inicio de sesión único (SSO). Obtén más información sobre el SSO social.

Autenticación multifactor

Los usuarios que inician sesión con correo electrónico y contraseña o con SSO social también pueden configurar la autenticación multifactor mediante una aplicación de autenticación como Authy o Google Authenticator. Obtenga más información sobre la autenticación multifactor.

Autenticación con Security Assertion Markup Language (SAML)

Los clientes Enterprise pueden configurar la autenticación SAML. Obtenga más información sobre la autenticación SAML.

Autenticación de la API

Los clientes pueden configurar claves de API para usarlas con OpenAPI, Terraform y los endpoints de Query API. Obtenga más información sobre la autenticación de la API.

Autenticación de la base de datos

Autenticación con contraseña de la base de datos

Las contraseñas de los usuarios de base de datos de ClickHouse se configuran conforme al estándar NIST 800-63B, con un mínimo de 12 caracteres y requisitos de complejidad: letras mayúsculas, letras minúsculas, números y/o caracteres especiales. Obtenga más información sobre la autenticación con contraseña de la base de datos.

Autenticación de base de datos mediante Secure Shell (SSH)

Los usuarios de base de datos de ClickHouse pueden configurarse para usar la autenticación SSH. Obtén más información sobre la autenticación SSH.

Control de acceso

Control de acceso basado en roles (RBAC) en Consola

ClickHouse Cloud admite la asignación de roles para permisos a nivel de organización, servicio y base de datos. Los permisos de base de datos que utilizan este método solo se admiten en SQL Consola. Más información sobre el RBAC de Consola.

Privilegios de usuarios de base de datos

Las bases de datos de ClickHouse admiten una gestión granular de permisos y control de acceso basado en roles mediante privilegios de usuario. Obtenga más información sobre los privilegios de usuarios de base de datos.

Seguridad de la red

Filtros IP

Configure los filtros IP para limitar las conexiones entrantes a su servicio de ClickHouse. Obtenga más información sobre los filtros IP.

Conectividad privada

Conéctese a sus clústeres de ClickHouse desde AWS, GCP o Azure mediante conectividad privada. Obtenga más información sobre la conectividad privada.

Cifrado

Cifrado a nivel de almacenamiento

ClickHouse Cloud cifra los datos en reposo de forma predeterminada con claves AES 256 gestionadas por el proveedor de servicios en la nube. Obtenga más información sobre el cifrado del almacenamiento.

Cifrado transparente de datos

Además del cifrado del almacenamiento, los clientes de ClickHouse Cloud Enterprise pueden habilitar el cifrado transparente de datos a nivel de base de datos para una protección adicional. Obtenga más información sobre el cifrado transparente de datos.

Claves de cifrado gestionadas por el cliente

Los clientes Enterprise de ClickHouse Cloud pueden usar su propia clave para el cifrado a nivel de base de datos. Más información sobre las claves de cifrado gestionadas por el cliente.

Auditoría y registro

Registro de auditoría de la consola

Las actividades en la consola quedan registradas. Los registros pueden revisarse y exportarse. Obtén más información sobre los registros de auditoría de la consola.

Registros de auditoría de la base de datos

Se registran las actividades de la base de datos. Los registros pueden consultarse y exportarse. Más información sobre los registros de auditoría de la base de datos.

Manual de seguridad de BYOC

Consultas de detección de ejemplo para equipos de seguridad que gestionan instancias BYOC de ClickHouse. Más información sobre el manual de seguridad de BYOC.

Cumplimiento

Informes de seguridad y cumplimiento normativo

ClickHouse mantiene un sólido programa de seguridad y cumplimiento normativo. Vuelva a consultar esta página periódicamente para ver nuevos informes de auditorías de terceros. Obtenga más información sobre los informes de seguridad y cumplimiento normativo.

Servicios conformes con HIPAA

Los clientes de ClickHouse Cloud Enterprise pueden implementar servicios que alojen información médica protegida (PHI) en regiones conformes con HIPAA tras firmar un Business Associate Agreement (BAA). Obtenga más información sobre el cumplimiento de HIPAA.

Servicios compatibles con PCI

Los clientes de ClickHouse Cloud Enterprise pueden implementar servicios que almacenan información de tarjetas de crédito en regiones compatibles con PCI. Obtenga más información sobre el cumplimiento de PCI.

​Autenticación en Cloud Console

​Autenticación con contraseña

​Inicio de sesión único social (SSO)

​Autenticación multifactor

​Autenticación con Security Assertion Markup Language (SAML)

​Autenticación de la API

​Autenticación de la base de datos

​Autenticación con contraseña de la base de datos

​Autenticación de base de datos mediante Secure Shell (SSH)

​Control de acceso

​Control de acceso basado en roles (RBAC) en Consola

​Privilegios de usuarios de base de datos

​Seguridad de la red

​Filtros IP

​Conectividad privada

​Cifrado

​Cifrado a nivel de almacenamiento

​Cifrado transparente de datos

​Claves de cifrado gestionadas por el cliente

​Auditoría y registro

​Registro de auditoría de la consola

​Registros de auditoría de la base de datos

​Manual de seguridad de BYOC

​Cumplimiento

​Informes de seguridad y cumplimiento normativo

​Servicios conformes con HIPAA

​Servicios compatibles con PCI