転送時の暗号化
VeloDB Cloudは転送時のデータを2つの層で保護します:クラウドインフラストラクチャがインスタンス間のトラフィックを暗号化し、個々のプロトコルが独自の暗号化を追加します。適用される層は、ネットワークパスとプロトコルによって決まります。
インフラストラクチャ層の暗号化
AWSでは、Nitro Systemがインスタンス間のトラフィックを設定なしで自動的に暗号化します。これには以下が含まれます:
- ウェアハウスを実行するコンピューティングインスタンス間の内部トラフィック。
- PrivateLink経由でウェアハウスに到達するクライアントおよびアプリケーショントラフィック、およびBYOCデプロイメント内のプライベートネットワークトラフィック。
AWS上でプライベートパス経由で接続する場合、独自のTLSをまだ提供していないプロトコルを含め、プロトコルに関係なく、トラフィックはインフラストラクチャ層で転送時に暗号化されます。パブリックネットワーク(パブリックアクセス)接続はこの層を通過しません。
プロトコル層の暗号化
プロトコルレベルの暗号化はチャネルによって異なります。オブジェクトストレージの読み込みとエクスポートはデフォルトでHTTPSを使用します。外部ソースへのLakehouseアクセス、Kafka取り込み、PostgreSQLとMySQLからのCDCは、有効にした場合にSSLをサポートします。MySQLプロトコル、JDBC、Stream LoadのSSLは近日提供予定です。
| チャネル | 目的 | プロトコルレベル暗号化 |
|---|---|---|
| MySQL protocol | ユーザーとアプリケーションがウェアハウスに接続してクエリを実行する方法。 | TLS、近日提供予定。 |
| JDBC | ユーザーとアプリケーションがJDBC経由でウェアハウスに接続する方法。 | SSL、近日提供予定。 |
| Lakehouse sources | JDBC互換データベースやIcebergなどの外部ソースへのフェデレーテッドアクセス。 | SSL、データソースによって異なる。 |
| Load from object storage | Amazon S3、Azure Blob Storage、Google Cloud Storageなどのオブジェクトストアからの取り込み。 | HTTPS、デフォルト。 |
| Load from Kafka | Routine Load経由のストリーミング取り込み。 | SSL、有効にした場合。 |
| Load via CDC | VeloDBが継続的読み込み経由でPostgreSQLとMySQLソースデータベースから変更データを取得。 | SSL、有効にした場合。 |
| Stream Load | HTTPベースの取り込み。 | SSL、近日提供予定。 |
| Export to object storage | Amazon S3、Azure Blob Storage、Google Cloud Storageなどのオブジェクトストアへのエクスポート。 | HTTPS、デフォルト。 |
MySQLプロトコル、JDBC、Stream Loadはまだプロトコルレベルの暗号化を提供していません(近日提供予定)。それまでは、プライベートパスを優先してください:AWS上のPrivateLink経由またはBYOC内では、ウェアハウスへの接続はNitro Systemによって暗号化され、パブリックネットワークではIP許可リストでアクセスを制限する必要があります。Network Securityを参照してください。
接続パス
転送暗号化は、ウェアハウスに到達するために使用されるネットワークパスと合わせて考慮する必要があります:
| 接続パス | セキュリティドキュメント |
|---|---|
| Public Link | Connection、Network Security |
| PrivateLink | Connection、Network Security |
| BYOC | BYOC Security、Create BYOC Warehouse |