доступ ClickHouse к данным (BYOC)

По умолчанию сотрудники ClickHouse не имеют доступа к вашим данным. Ваши данные в ClickHouse, включая все пользовательские таблицы и результаты запросов, остаются внутри вашего VPC. Ниже описаны единственные каналы, через которые ClickHouse взаимодействует с вашим развертыванием, — ни один из них не дает доступа к данным в клиентских таблицах.

Регламентные операции

Плоскость управления ClickHouse Cloud обеспечивает работу вашего BYOC-развертывания, не читая данные клиентов. Компоненты, которые отправляют данные за пределы вашей VPC, передают только служебные метаданные:

Компонент	Что покидает вашу VPC
State exporter	Состояние сервиса (работоспособность, статус) в очередь `SQS`, принадлежащую ClickHouse Cloud.
Billing scraper	Метрики CPU и памяти в S3 бакет, принадлежащий ClickHouse Cloud.
AlertManager	Оповещения о состоянии кластера в ClickHouse Cloud.

Трафик запросов, содержимое таблиц и схемы данных никогда не проходят через эти каналы. Журналы и метрики остаются внутри вашей BYOC VPC.

Доступ для устранения неполадок

Когда инженерам ClickHouse требуется диагностировать проблему в вашем развертывании, они запрашивают временный доступ через внутренний процесс эскалации и согласования. Одобренный доступ предоставляется с помощью сертификата с ограниченным сроком действия и осуществляется через Tailscale — никогда через общедоступный интернет.

Что инженеры могут видеть

При наличии утверждённого доступа для устранения неполадок инженеры могут читать только системные таблицы ClickHouse. Это включает:

system.query_log — текст запроса и метаданные выполнения запросов к вашему сервису
system.tables, system.columns и аналогичные системные таблицы — схема и метаданные
Другие таблицы system.*, используемые для диагностики (например, части, мутации, реплики)

Что инженеры не могут видеть

Инженеры не могут просматривать пользовательские таблицы клиентов. Доступ ограничен только системными таблицами.

Как контролируется доступ

Требуется одобрение: каждый запрос на доступ проходит через внутреннюю систему согласования с назначенными согласующими. Инженеры не могут самостоятельно предоставлять себе доступ.
Ограниченные по времени сертификаты: для каждого одобренного сеанса генерируется временный сертификат с ограниченным сроком действия. Доступ прекращается автоматически.
Аутентификация по сертификатам: сертификаты заменяют пароль для любого доступа сотрудников к экземплярам BYOC.
Системные таблицы доступны только для чтения: удостоверение сертификата ограничено чтением системных таблиц.
Данные не экспортируются: журналы и результаты запросов, полученные во время сеансов устранения неполадок, никогда не экспортируются обратно в инфраструктуру ClickHouse.

Аудит

Действия инженеров видны вам и проходят аудит со стороны ClickHouse:

Видно клиенту: каждый запрос, который инженер ClickHouse выполняет в вашем инстансе, отображается в вашем system.query_log, включая текст запроса и идентификатор сертификата. Вы можете проверить это напрямую в своем сервисе ClickHouse.
Со стороны ClickHouse: команда безопасности ClickHouse внутренне регистрирует и проверяет все запросы на доступ, согласования и подключения Tailscale.

Будущие механизмы контроля

Одобрение, контролируемое клиентом, — когда вы подтверждаете каждый запрос инженера на доступ до того, как он вступит в силу, — запланировано. Сейчас одобрение проходит через внутренний процесс эскалации ClickHouse.

Сетевая безопасность BYOC — как работают Tailscale и сетевые границы
Привилегия BYOC — роли IAM, создаваемые при настройке BYOC

​Регламентные операции

​Доступ для устранения неполадок

​Что инженеры могут видеть

​Что инженеры не могут видеть

​Как контролируется доступ

​Аудит

​Будущие механизмы контроля

​См. также