データ暗号化 - ClickHouse Documentation

ストレージレベルの暗号化

ClickHouse Cloud では、クラウドプロバイダー管理の AES-256 鍵を使用する保存データの暗号化がデフォルトで有効になっています。詳しくは、以下を参照してください。

データベースレベルの暗号化

保存データは、クラウドプロバイダーが管理する AES 256 鍵によってデフォルトで暗号化されています。お客様は、サービスデータをさらに保護するために透過的データ暗号化 (TDE) を有効にするか、独自の秘密鍵を提供して、サービスに顧客管理暗号化キー (CMEK) を実装できます。強化された暗号化は現在、AWS と GCP のサービスで利用できます。Azure にも近日対応予定です。

透過的データ暗号化 (TDE)

TDE はサービス作成時に有効にする必要があります。既存のサービスを作成後に暗号化することはできません。いったん TDE を有効にすると、無効化できません。サービス内のすべてのデータは暗号化された状態のまま保持されます。TDE を有効にした後で無効にしたい場合は、新しいサービスを作成し、そちらにデータを移行する必要があります。

Create new service を選択します
サービス名を入力します
クラウドプロバイダーとして AWS または GCP を選択し、ドロップダウンから目的のリージョンを選択します
Enterprise 機能のドロップダウンをクリックし、[Enable Transparent Data Encryption (TDE)] を有効にします
[Create service] をクリックします

顧客管理暗号化キー (CMEK)

ClickHouse Cloud サービスの暗号化に使用している KMS キーを削除すると、ClickHouse サービスは停止し、既存のバックアップを含むデータを復旧できなくなります。キーのローテーション時に意図しないデータ損失を防ぐため、削除する前に古い KMS キーを一定期間保持しておくことを推奨します。

サービスが TDE で暗号化されると、キーを更新して CMEK を有効化できます。TDE 設定を更新すると、サービスは自動的に再起動します。この処理では、古い KMS キーで data encrypting key (DEK) を復号し、新しい KMS キーで DEK を再暗号化します。これにより、再起動後のサービスでは以降の暗号化処理に新しい KMS キーが使用されます。この処理には数分かかる場合があります。

AWS KMS で CMEK を有効化する

ClickHouse Cloud で、暗号化されたサービスを選択します
左側の Settings をクリックします
画面下部で Network security information を展開します
Encryption role ID (AWS) または Encryption Service Account (GCP) をコピーします。これは後続の手順で必要になります
AWS 用の KMS キーを作成します
そのキーをクリックします

AWS のキーポリシーを次のように更新します:

{
    "Sid": "Allow ClickHouse Access",
    "Effect": "Allow",
    "Principal": {
        "AWS": [ "Encryption role ID " ]
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}

キーポリシーを保存します
Key ARN をコピーします
ClickHouse Cloud に戻り、Service Settings の透過的データ暗号化セクションに Key ARN を貼り付けます
変更を保存します

GCP KMS で CMEK を有効化する

ClickHouse Cloud で、暗号化されたサービスを選択します
左側の Settings をクリックします
画面下部で Network security information を展開します
Encryption Service Account (GCP) をコピーします。これは後続の手順で必要になります
GCP 用の KMS キーを作成します
そのキーをクリックします
上記の手順 4 でコピーした GCP Encryption Service Account に、次の権限を付与します。
- Cloud KMS CryptoKey Encrypter/Decrypter
- Cloud KMS Viewer
キー権限を保存します
Key Resource Path をコピーします
ClickHouse Cloud に戻り、Service Settings の透過的データ暗号化セクションに Key Resource Path を貼り付けます
変更を保存します

Azure KMS で CMEK を有効化する

ClickHouse Cloud で、暗号化されたサービスを選択します
左側の Settings をクリックします
画面下部で Network security information を展開します
Cross Tenant App Client ID をコピーします。これは次の手順で使用します
Azure サブスクリプションにサインインし、Azure CLI で次のコマンドを実行して新しいサービスプリンシパルを作成します。{azure_cross_tenant_app_client_id} は、前の手順でコピーした値に置き換えてください az ad sp create --id {azure_cross_tenant_app_client_id}
作成された新しいサービスプリンシパルの Name をコピーします。これは後続の手順で使用します
Azure Key Vault を作成します
Azure で Key Vault キーを作成します
Key Vault キーの画面で、左側の Access control (IAM) を選択します
上部メニューから Role assignments を選択します
上部メニューで Add をクリックし、次に Add role assignment をクリックします
Key Vault Crypto User ロールを選択し、Next をクリックします
Add role assignment 画面では既定の選択のまま、+Select members をクリックします
手順 6 でコピーしたサービスプリンシパル名 (CH-TDE で始まります) を貼り付け、該当するサービスプリンシパルを選択して Select をクリックします
Next をクリックし、次に Review + assign をクリックします
Azure Key Vault に戻り、次の値をコピーします:
- Overview ページで Vault URI をコピーします
- Overview ページで Directory ID をコピーします
- Keys ページでキーの Name をコピーします
ClickHouse Cloud のサービス設定に戻り、手順 16 の値を次のフィールドに貼り付けます:
- Key ID > キーの Name を貼り付けます
- Key Vault URI > Vault URI を貼り付けます
- Key Tenant ID > Directory ID を貼り付けます
Rotate KMS をクリックし、ローリング再起動が行われるため数分待ってから、サービスが実行中であることを確認します

キーのローテーション

CMEK を設定したら、上記の手順に従って新しい KMS キーを作成し、必要な権限を付与してキーをローテーションします。続いてサービスの設定に戻り、新しい ARN (AWS) 、Key Resource Path (GCP) 、または Key Name (Azure) を貼り付けて保存します。新しいキーを適用するため、サービスは再起動します。

KMS キーポーラー

CMEK を使用している場合、指定された KMS キーが有効かどうかは 10 分ごとに確認されます。KMS キーにアクセスできなくなると、ClickHouse サービスは停止します。サービスを再開するには、このガイドの手順に従って KMS キーへのアクセスを復旧し、その後サービスを再起動してください。

バックアップと復元

バックアップは、対応するサービスと同じキーで暗号化されます。暗号化されたバックアップを復元すると、元のインスタンスと同じ KMS キーを使用する暗号化済みのインスタンスが作成されます。必要に応じて、復元後に KMS キーをローテーションできます。詳しくは、キーのローテーションを参照してください。

パフォーマンス

データベース暗号化では、ClickHouse に組み込まれているデータ暗号化向け仮想ファイルシステム機能を利用して、データを暗号化し保護します。この機能で使用されるアルゴリズムは AES_256_CTR で、ワークロードに応じて 5～15% の性能低下が見込まれます。

​ストレージレベルの暗号化

​データベースレベルの暗号化

​透過的データ暗号化 (TDE)

​顧客管理暗号化キー (CMEK)

​キーのローテーション

​KMS キーポーラー

​バックアップと復元

​パフォーマンス

ストレージレベルの暗号化

データベースレベルの暗号化

透過的データ暗号化 (TDE)

顧客管理暗号化キー (CMEK)

キーのローテーション

KMS キーポーラー

バックアップと復元

パフォーマンス