Control Mapping
VeloDB Cloud BYOCデプロイメントを管理するコントロールをSOC 2基準にマッピングし、セキュリティ評価者がVeloDBが所有するコントロールと顧客が所有するコントロールを確認できるようにします。
BYOC(Bring Your Own Cloud)は、ウェアハウスコンピュートと顧客ウェアハウスストレージを顧客のクラウドアカウント内にデプロイします。そのデータプレーンの配置は、関連するすべてのレコードが顧客VPCや選択されたリージョンに残るという包括的な声明として読み取られるべきではありません。コントロールプレーンメタデータ、運用テレメトリー、ログ、サポートレコード、診断、クエリ関連レコード、アクセス証跡、およびその他の運用レコードは、適用されるDPA、Security Addendum、BYOC Addendum、ログ記録とテレメトリー、保持、サポート、およびサブプロセッサー資料の下で処理されます。
このページでは、6つのコントロールドメインについて説明します:アクセス管理、変更管理、インシデント対応、ログ記録と監視、インフラストラクチャプロビジョニング、およびベンダー管理。各コントロールについて、責任者、マッピング先のSOC 2 Trust Services Criteria(TSC)、およびVeloDBコントロールIDを記載しています。
VeloDB Cloudは、コントロールプレーンとウェアハウスサービスを対象としたSOC 2 Type IIレポートを保持しています。レポートおよびその他の監査成果物をリクエストするには、VeloDB Trust Centerをご利用ください。完全なフレームワークリストについては、Compliance and Trustを参照してください。
このマッピングの読み方
このマッピングは、共有責任モデルとBYOC Security境界に従って、3つの責任階層を使用しています。
| 階層 | BYOCでの所有範囲 |
|---|---|
| クラウドプロバイダー | 物理データセンター、ハードウェア、およびハイパーバイザー。 |
| VeloDB Cloud | ウェアハウスソフトウェアとその運用、コントロールプレーン、オーケストレーションエージェント、およびウェアハウスリソースのプロビジョニングと実行に使用されるスコープ付きクロスアカウントロール。 |
| 顧客(お客様) | クラウドアカウント、VPC、すべてのプロビジョニングされたリソース、アイデンティティとキーマテリアル、ネットワーク露出、およびインフラストラクチャ層のログ記録。 |
各コントロールにはVeloDBコントロールIDが付けられています:
| プレフィックス | ドメイン |
|---|---|
VDB-AC | アクセス管理 |
VDB-CM | 変更管理 |
VDB-IR | インシデント対応 |
VDB-LM | ログ記録と監視 |
VDB-IP | インフラストラクチャプロビジョニング |
VDB-VM | ベンダー管理 |
補完コントロール(CUEC、VeloDBの設計が動作していると想定している顧客所有のコントロール)は、各テーブルの右列に表示されます。補完コントロールが動作しない場合、ペアとなるVeloDBコントロールがその目的を満たさない可能性があります。
BYOC運用境界
この境界は、各コントロール活動を技術的に実行できる主体を決定します。
- VeloDBトラスト。 顧客は、VeloDBアカウントID
757278738533を信頼し、VeloDBコンソールからの外部IDを必要とするクロスアカウントIAMロールを作成します。Google CloudとAzureでは、同等のものは顧客が作成したサービスアカウントまたはカスタムロールにバインドされた管理アイデンティティです。BYOC on AWS、GCPガイド、およびAzureガイドを参照してください。 - タグスコープ権限。 デプロイメントロールは、コンピュート、ロードバランシング、およびライフサイクルリソースを作成、変更、および終了できます。変更アクションは
resource-created-by: velodbタグに基づいて条件付けられています。VeloDBは、そのタグを持たないリソースに対して操作を実行できません。 - データ認証情報。 別のインスタンスプロファイルロールが、ウェアハウスに顧客のオブジェクトストレージバケットへの読み取りおよび書き込みアクセスを付与し、そのバケットにスコープ設定されています。
- オーケストレーションエージェント。 VeloDB Agent仮想マシンが顧客VPC内で実行されます。これとすべてのVeloDBが作成したリソースは、Cloud Resource Precautionsにリストされているタグを持ちます。
- プライベート接続。 コントロールプレーントラフィックは、PrivateLink(AWS)、Private Service Connect(GCP)、またはPrivate Link(Azure)を使用し、ウェアハウストラフィックがクラウドプロバイダーのバックボーン上に留まるようにします。
顧客は、いつでもクロスアカウントロールを取り消すことができます。
ドメイン別コントロールマッピング
各行には、VeloDBコントロール、その主要なSOC 2基準、VeloDB所有の活動、および顧客が運用する必要がある補完コントロールがリストされています。
アクセス管理
| コントロールID | SOC 2 TSC | VeloDB所有コントロール | 顧客補完コントロール(CUEC) |
|---|---|---|---|
| VDB-AC-01 | CC6.1, CC6.3 | 最小権限ロールでコンソールとウェアハウスアクセスを運用します。スコープ付きクロスアカウントロールとインスタンスプロファイルロールを通じてのみデータプレーンに到達します。 | 発行された外部IDでクロスアカウントロールを作成し、文書化されたポリシーのみをアタッチし、そのロールを編集できる人を制限します。 |
| VDB-AC-02 | CC6.2, CC6.3 | コントロールプレーンとウェアハウスサービスへのVeloDB職員アクセスの登録、変更、削除を管理します。 | 自身のコンソールユーザー、データベースユーザー、およびロールを管理し、適時削除を含めます。Identity and Accessを参照してください。 |
| VDB-AC-03 | CC6.1 | resource-created-by: velodbタグに基づいて変更クラウドアクションを条件付けし、VeloDBがタグなしリソースを変更できないようにします。 | クラウドアカウントルートとIAM境界を所有します。文書化されたスコープを超えてロールポリシーを拡張しないでください。 |
| VDB-AC-04 | CC6.6, CC6.7 | ウェアハウスエンドポイントのプライベート接続とIP許可リストコントロールを提供します。 | ネットワーク露出、セキュリティグループ、および許可リストを設定します。エンドポイントを公開するかどうかを決定します。Network Securityを参照してください。 |
| VDB-AC-05 | CC6.7 | プライベートパス上でクラウドプロバイダーのハードウェア層を使用してデータを転送中に暗号化し、サポートされている場合はプロトコルレベル暗号化も使用します。Encryption in Transitを参照してください。 | 接続プロトコルとプライベート対パブリックパスを選択します。クライアント側TLS設定を所有します。 |
変更管理
| コントロールID | SOC 2 TSC | VeloDB所有コントロール | 顧客補完コントロール(CUEC) |
|---|---|---|---|
| VDB-CM-01 | CC8.1 | セキュアな開発およびリリースプロセスを通じて、ウェアハウスとコントロールプレーンの変更を開発、テスト、レビュー、およびリリースします。Security Programを参照してください。 | お客様の変更ウィンドウに適した時期にコンソールを通じてウェアハウスアップグレードと設定変更をスケジュールし、受け入れます。 |
| VDB-CM-02 | CC8.1 | BYOCプロビジョニングテンプレートとクロスアカウントポリシーをバージョン管理し、作成ウィザードで現在のポリシーを表示します。 | 適用前にテンプレートとポリシーの変更をレビューします。VeloDB作成リソースを編集するのではなく、文書化されたワークフローを通じて更新を適用します。 |
| VDB-CM-03 | CC8.1 | 通常の運用中はプロビジョニングされたインフラストラクチャに対する直接的なコンソール変更を必要としません。変更してはならないリソースを文書化します。 | VeloDBが作成したIAM権限、仮想マシン、ストレージバケット、セキュリティグループ、またはプライベートエンドポイントを変更または削除しないでください。そのような変更により、ウェアハウスが回復不可能になる可能性があります。Cloud Resource Precautionsを参照してください。 |
インシデント対応
| コントロールID | SOC 2 TSC | VeloDB所有コントロール | 顧客補完コントロール(CUEC) |
|---|---|---|---|
| VDB-IR-01 | CC7.3, CC7.4 | VeloDB Cloudサービスとウェアハウスソフトウェアに影響するセキュリティおよび可用性インシデントを検出、トリアージ、および対応します。 | お客様のプロバイダーログにのみ表示されるイベントを含めて、お客様のクラウドアカウント用の独自のインシデント対応プロセスを実行します。 |
| VDB-IR-02 | CC7.4, CC7.5 | ウェアハウスサービスの復旧を調整し、影響を受けた顧客に通知します。 | 連絡先を指定し、通知を監視し、アカウント所有者のみが実行できるアカウント側の復旧アクションを実行します。 |
| VDB-IR-03 | CC7.4 | インシデント時に、文書化されたスコープ内で、クロスアカウントロールを通じてVeloDBタグ付きリソースに対して操作を実行します。 | 顧客所有キーのローテーション、アカウントガードレールの調整、または直接変更されたリソースの復元など、そのスコープ外のアクションを処理します。 |
ログ記録と監視
| コントロールID | SOC 2 TSC | VeloDB所有コントロール | 顧客補完コントロール(CUEC) |
|---|---|---|---|
| VDB-LM-01 | CC7.2, CC4.1 | メンバー、ロール、請求、およびウェアハウスライフサイクルアクションを含むコントロールプレーン組織活動をActivity Logsとして記録します。 | 組織活動ログをレビューし、お客様のプログラムが必要とする証跡をエクスポートします。Audit Loggingを参照してください。 |
| VDB-LM-02 | CC7.2 | SQLおよびクエリ活動を__internal_schema.audit_logシステムテーブルに記録し、SQLまたはコンソールでクエリ可能にします。 | 監査保持ウィンドウをお客様のコンプライアンス要件に合わせて設定します。保持する必要があるレコードを収集または転送します。 |
| VDB-LM-03 | CC7.1, CC7.2 | 実行するウェアハウスサービスの健全性と運用を監視します。 | インフラストラクチャ層のログ記録を所有します。BYOCでは、プロバイダーイベントはAWS CloudTrailやGoogle Cloud Audit Logsなどの独自のログサービスから取得されます。VeloDBはこれらのログを所有しません。 |
インフラストラクチャプロビジョニング
| コントロールID | SOC 2 TSC | VeloDB所有コントロール | 顧客補完コントロール(CUEC) |
|---|---|---|---|
| VDB-IP-01 | CC6.1, CC8.1 | バージョン管理されたテンプレートとスコープ付きロールを通じて、ウェアハウスコンピュート、ロードバランシング、ストレージライフサイクル、およびネットワーキングをプロビジョニングします。作成されたすべてのリソースにタグを付けます。 | VPCまたはVNetとサブネットを準備します。アカウントクォータとガードレールを所有します。ロールを作成し、テンプレートを実行してプロビジョニングを承認します。 |
| VDB-IP-02 | A1.1, A1.2 | お客様のオブジェクトストレージバケット上でウェアハウスストレージを設定し、バケットバージョニングを推奨します。サービス層でウェアハウスデータ保護を管理します。 | オブジェクトストレージ設定およびデータ保護に必要な同一リージョンバックアップを含めて、お客様のアカウントの耐久性姿勢を所有します。 |
| VDB-IP-03 | A1.2 | BYOCウェアハウスは現在シングルAZでプロビジョニングされ、マルチAZは開発中です。 | 高可用性および災害復旧トポロジーを所有します。マルチAZは高可用性を提供し、同一リージョンバックアップはデータ保護を提供し、クロスリージョンエクスポートは災害復旧を提供します。Reliabilityを参照してください。 |
| VDB-IP-04 | CC6.1, CC8.1 | 廃止時にウェアハウスを削除します。VPC内の最後のウェアハウスを削除すると、BYOCインフラストラクチャも破棄されます。 | VeloDBはお客様のリソースを削除できません。クロスアカウントロールと信頼を取り消し、プライベート接続リソースを削除し、ストレージ、キー、およびネットワーキングを削除します。Offboarding Guideを参照してください。 |
ベンダー管理
| コントロールID | SOC 2 TSC | VeloDB所有コントロール | 顧客補完コントロール(CUEC) |
|---|---|---|---|
| VDB-VM-01 | CC9.2 | ベンダーおよびサブプロセッサープログラムを維持し、サブプロセッサーリストを公開します。BYOCでは、インフラストラクチャはお客様自身のクラウドアカウントで実行されます。Subprocessorsを参照してください。 | VeloDBをお客様のベンダーとして評価します。デプロイメントをホストするアカウントのクラウドプロバイダーとの独自の契約を維持します。 |
| VDB-VM-02 | CC9.2, CC2.3 | 認証、監査レポート、および信頼資料を公開し、Trust Centerを通じてデューデリジェンスをサポートします。 | SOC 2レポート、このコントロールマッピング、およびその他の信頼成果物を使用して定期的なベンダーレビューを実行します。 |
顧客補完コントロール
VeloDBのコントロールは、顧客が以下の補完コントロールを運用することを前提としています。それぞれはBYOCデプロイメントで常に必要です。
- 発行された外部IDでスコープ設定され、文書化されたポリシーに制限されたクロスアカウントロール、サービスアカウント、または管理アイデンティティを作成し、保護します。
- アクセスの適時削除を含めて、コンソールユーザー、データベースユーザー、およびロールを管理します。
- クラウドアカウント境界を所有し、文書化されたワークフロー外でVeloDB作成リソースを変更または削除しないでください。
- ネットワーク露出、セキュリティグループ、許可リスト、およびプライベート対パブリック接続を設定します。
- インフラストラクチャ層のログ記録を所有し、プロバイダー監査ログをレビューします。
- 監査保持を設定し、お客様のプログラムが必要とする証跡を収集します。
- キーマテリアルおよびアカウントのデータ保護、高可用性、災害復旧姿勢を所有します。
- ウェアハウス削除後にアクセスを取り消し、リソースを削除するためのアカウント側オフボーディングを実行します。
BYOC除外事項と前提条件
以下の項目は、BYOCデプロイメントにおけるVeloDBの直接制御の範囲外にあります。
- クラウドアカウント所有権。 顧客がアカウント、ルート認証情報、およびすべてのアカウントレベルガードレールを所有します。VeloDBは、スコープ付きで取り消し可能なロールを通じてのみ操作を実行します。
- インフラストラクチャ層ログ。 CloudTrailやCloud Audit Logsなどのプロバイダー監査ログは、顧客によって生成および保持されます。VeloDBコントロールレポートは、顧客のプロバイダー側ログ記録をカバーしません。
- タグスコープリーチ。 VeloDBの変更アクションは
resource-created-by: velodbタグに基づいて条件付けられています。そのタグ外のリソースは、VeloDBの運用制御外にあります。 - キー管理。 顧客管理キーのキー所有権とローテーションは顧客にあります。VeloDBは保存時データを暗号化し、顧客自身のキーでウェアハウスレベル層をサポートします。Encryption at Restを参照してください。
- 可用性トポロジー。 BYOCウェアハウスは現在シングルAZで、マルチAZは開発中です。可用性目標は、顧客のレジリエンス設計のための計画ガイダンスであり、コミットメントではなく、トポロジーは顧客の責任です。
- 直接コンソール操作。 クラウドプロバイダーコンソールからVeloDB作成リソースを変更または削除することは、サポートされたモデルの範囲外であり、回復不可能なウェアハウス状態を引き起こす可能性があります。
- 廃止。 VeloDBは顧客アカウント内のリソースを削除できません。ストレージ、キー、ネットワーキング、およびIAMの最終クリーンアップは顧客の責任です。
証跡
| 証跡 | ソース |
|---|---|
| SOC 2 Type IIレポート、ISO 27001証明書、DPAまたはセキュリティ付属書 | VeloDB Trust CenterまたはVeloDB Cloudアカウントチーム |
| クロスアカウントおよびデータ認証情報権限スコープ | BYOC on AWS、GCP、Azure |
| コントロールプレーンおよびSQL監査証跡 | Audit Logging |
| BYOCにおけるインフラストラクチャイベント | 顧客クラウドプロバイダー監査ログ |
| 共有責任境界 | BYOC Security、Security Overview |
| オフボーディングおよびリソース削除 | Offboarding Guide |
特定の評価アンケートにマッピングされたウォークスルーについては、VeloDB Cloudアカウントチームにお問い合わせいただくか、VeloDB Trust Centerをご利用ください。