セキュリティ - ClickHouse Documentation

このドキュメントでは、ClickHouse の組織とサービスを保護するために利用できるセキュリティオプションとベストプラクティスについて詳しく説明します。 ClickHouse は安全な分析データベースソリューションの提供に注力しており、データとサービスの整合性を保護することを重要な優先事項としています。本書では、ユーザーが ClickHouse 環境を安全に保つために役立つさまざまな方法を紹介します。

Cloud コンソールの認証

パスワード認証

ClickHouse Cloudコンソールのパスワードは、NIST 800-63B 標準に準拠しており、12文字以上で、4つの複雑性要件 (大文字、小文字、数字、特殊文字) のうち3つ以上を満たす必要があります。パスワード認証の詳細をご覧ください。 ClickHouse Cloud は、Google または Microsoft のソーシャル認証によるシングルサインオン (SSO) をサポートしています。詳細については、ソーシャル SSO をご覧ください。

多要素認証

メールアドレスとパスワード、またはソーシャル SSO を使用しているユーザーは、Authy や Google Authenticator などの認証アプリを使って、多要素認証を設定することもできます。詳しくは、多要素認証をご覧ください。

Security Assertion Markup Language (SAML) 認証

Enterprise をご利用のお客様は、SAML 認証を設定できます。詳しくは、SAML 認証をご覧ください。

API 認証

お客様は、OpenAPI、Terraform、クエリ API エンドポイントで使用する API キーを設定できます。詳しくは、API 認証をご覧ください。

データベース認証

データベースのパスワード認証

ClickHouseのdatabase userパスワードは、NIST 800-63B標準に準拠して設定されており、12文字以上で、大文字、小文字、数字、特殊文字のうち必要な複雑さの要件を満たす必要があります。データベースのパスワード認証の詳細をご覧ください。

Secure Shell (SSH) データベース認証

ClickHouseのデータベースユーザーは、SSH認証を使用するよう設定できます。詳しくは、SSH認証をご覧ください。

アクセス制御

コンソールのロールベースアクセス制御 (RBAC)

ClickHouse Cloud では、organization、service、database の権限に対してロールを割り当てることができます。この方法による database 権限は、SQL コンソールでのみサポートされています。コンソール RBAC の詳細をご覧ください。

データベースユーザーへの権限付与

ClickHouse のデータベースは、きめ細かな権限管理と、ユーザーへの権限付与によるロールベースのアクセス制御に対応しています。詳細は、データベースユーザーへの権限付与をご覧ください。

ネットワークセキュリティ

IP フィルタ

ClickHouse service への受信接続を制限するには、IP フィルタを設定します。詳しくは、IP フィルタをご覧ください。

プライベート接続

プライベート接続を利用して、AWS、GCP、または Azure から ClickHouse クラスターに接続できます。詳しくは、プライベート接続をご覧ください。

暗号化

ストレージレベルの暗号化

ClickHouse Cloud では、クラウドプロバイダーが管理する AES 256 鍵を使用して、保存データがデフォルトで暗号化されます。詳しくは、ストレージ暗号化を参照してください。

透過的データ暗号化

ストレージ暗号化に加えて、ClickHouse Cloud Enterprise のお客様は、保護をさらに強化するために、データベースレベルの透過的データ暗号化を有効にできます。透過的データ暗号化の詳細については、こちらをご覧ください。

顧客管理暗号化キー

ClickHouse Cloud Enterprise をご利用のお客様は、データベースレベルの暗号化に独自のキーを使用できます。詳しくは、顧客管理暗号化キーをご覧ください。

監査とロギング

コンソール監査ログ

コンソール内でのアクティビティは記録されます。ログは確認およびエクスポートが可能です。コンソール監査ログの詳細をご覧ください。

データベース監査ログ

データベース内でのアクティビティは記録されます。ログは確認およびエクスポートが可能です。詳しくは、データベース監査ログをご覧ください。

BYOC Security Playbook

ClickHouse BYOC インスタンスを管理するセキュリティチーム向けの検知クエリ例です。詳しくは、BYOC Security Playbookをご覧ください。

コンプライアンス

セキュリティとコンプライアンスに関するレポート

ClickHouse は、堅牢なセキュリティおよびコンプライアンス体制を維持しています。新しい第三者監査レポートについては、定期的にご確認ください。セキュリティとコンプライアンスに関するレポートをご覧ください。

HIPAA準拠サービス

ClickHouse Cloud Enterprise のお客様は、Business Associate Agreement (BAA) に署名した後、保護対象保健情報 (PHI) を含むサービスを HIPAA 準拠リージョンにデプロイできます。 HIPAA コンプライアンスの詳細については、こちらをご覧ください。

PCI準拠サービス

ClickHouse Cloud Enterprise のお客様は、クレジットカード情報を扱うサービスを PCI 準拠リージョンにデプロイできます。詳しくは、PCI コンプライアンスをご覧ください。

​Cloud コンソール の認証

​パスワード認証

​ソーシャルシングルサインオン (SSO)

​多要素認証

​Security Assertion Markup Language (SAML) 認証

​API 認証

​データベース認証

​データベースのパスワード認証

​Secure Shell (SSH) データベース認証

​アクセス制御

​コンソール のロールベースアクセス制御 (RBAC)

​データベースユーザーへの権限付与

​ネットワークセキュリティ

​IP フィルタ

​プライベート接続

​暗号化

​ストレージレベルの暗号化

​透過的データ暗号化

​顧客管理暗号化キー

​監査とロギング

​コンソール 監査ログ

​データベース監査ログ

​BYOC Security Playbook

​コンプライアンス

​セキュリティとコンプライアンスに関するレポート

​HIPAA準拠サービス

​PCI準拠サービス