メインコンテンツまでスキップ

セキュリティ機能

VeloDB Cloudは、分離、認証、認可、暗号化、監査など、お客様のデータとサービスのセキュリティを確保するための完全なセキュリティメカニズムを提供します。

セキュリティ機能

VeloDB Cloudは、以下の観点でエンドツーエンドのデータセキュリティを提供します:

  • リソース分離:組織間でストレージとコンピューティングが相互に分離されています。
  • アイデンティティ認証:訪問者(ユーザーまたはアプリケーション)のアイデンティティを証明します。
  • アクセス制御:データに対するユーザーのアクセス権限を設定し、ユーザーが細粒度でデータ権限を制御できることを保証します。
  • データ保護:ストレージと伝送の暗号化により、物理ディスクやネットワーク監視を通じてデータが漏洩しないことを保証します。
  • ネットワークセキュリティ:パブリックネットワーク許可リスト、プライベートネットワークリンク、組織間セキュリティグループ、およびオプションの独立したVPCにより、ネットワーク接続のセキュリティを確保します。
  • セキュリティ監査:コンソールとウェアハウスでの操作の透明で完全な監査。
  • アプリケーションセキュリティ:VeloDB Cloudは攻撃から防御します。

リソース分離

SaaSデプロイメント

VeloDB Cloudは、ストレージとコンピューティングの分離を通じて、異なる組織間のデータの完全な分離を保証します:

データストレージ

  1. 各組織は各リージョンで個別のオブジェクトストレージバケットを使用し、バケットはプライベートアクセスに設定され、STS認証を使用します。
  2. 各ウェアハウスには独自のクラウドIAMロールが割り当てられ、ウェアハウスのデータへのストレージアクセスはそのロールにのみ付与されます。
  3. キャッシュデータはクラスター内のローカルにのみ保存され、異なるウェアハウス間では相互にアクセスできません。 コンピューティングリソース
  4. クラスターはウェアハウス間で使用されることはありません。つまり、クラスターは1つのウェアハウスにのみ属します。
  5. 各組織のクラスターは、セキュリティグループを通じて厳格なファイアウォールルールを設定し、異なる組織間のクラスターが相互に接続できないことを保証します。

BYOCデプロイメント

VeloDB Cloud BYOCデプロイメントでは、ウェアハウスコンピューティングとお客様のウェアハウスストレージは、お客様のクラウド環境にデプロイされます。この配置により、お客様が管理するデータプレーンが保護されますが、これはコントロールプレーンメタデータ、運用テレメトリ、ログ、サポート記録、診断、クエリ関連記録、アクセス証跡、またはその他の運用記録に対する包括的な声明として読み取られるべきではありません。

データストレージ お客様のウェアハウスストレージは、お客様のクラウド環境にデプロイされ、BYOCデプロイメントモデルと適用されるお客様またはクラウドプロバイダー設定によって管理されます。 コンピューティングリソース

  1. ウェアハウスコンピューティングリソースは、お客様自身のクラウドリソースプールにデプロイされ、データウェアハウスサービスを提供します。
  2. ウェアハウスは複数のクラスターを含むことができ、これらは基盤データを共有します。異なるクラスターは統計レポート、インタラクティブ分析など、異なるワークロードを満たすことができ、複数のクラスター間のワークロードは相互に干渉しません。

アイデンティティ認証

VeloDB Cloudコントロールプレーンまたはデータプレーンへのアクセスには、アイデンティティ認証が必要です。コントロールプレーンは多要素認証(MFA)をサポートし、データプレーンはMySQLプロトコル(HTTPアクセスを含む)で認証し、IP許可リストとブロックリストメカニズムをサポートし、弱いパスワードやブルートフォース攻撃に対してパスワードポリシーを強制します。

詳細については、Identity and Accessを参照してください。

アクセス制御

VeloDB Cloudは、コンソールアクセス(組織ロール)、管理APIアクセス(APIキー)、ウェアハウスアクセス(データベースユーザー)を分離します。ウェアハウス内では、アクセスはMySQLスタイルの権限モデルに従い、ロールベースアクセス制御(RBAC)、オブジェクトレベル権限、および細粒度の行レベル、列レベル、マスキング制御を提供します。アクセスモデルとロールの詳細については、Identity and Accessを参照してください。行ポリシー、ビュー、マスキング構文については、Data Access Controlを参照してください。

データ保護

ストレージ暗号化

保存データは2つの層で保護されます:ストレージ層(クラウドプラットフォームがクラウド管理キーで暗号化するクラウドオブジェクトストレージとキャッシュディスク)と、オプションのウェアハウス層(Transparent Data Encryption、お客様管理のKMSキーでバックアップ可能)。詳細については、Encryption at Restを参照してください。

伝送暗号化

AWSでは、Nitro Systemがデフォルトでインスタンス間のトラフィックを暗号化し、内部クラスタートラフィックとPrivateLinkまたはBYOCプライベートネットワーキング経由のインバウンドクライアントトラフィック(パブリックアクセスは対象外)をカバーします。プロトコルレベルでは、オブジェクトストレージのロードとエクスポート(Amazon S3、Azure Blob Storage、Google Cloud Storage)はデフォルトでHTTPSを使用し、レイクハウスアクセス、Kafka、PostgreSQLとMySQLからのCDCは有効時にSSLをサポートします。MySQLプロトコル、JDBC、Stream LoadのSSLは近日対応予定です。詳細については、Encryption in Transitを参照してください。

高可用性、バックアップ、災害復旧については、Reliabilityで別途説明されています。

ネットワークセキュリティ

最小権限の原則の下、VeloDBはVPCネットワークルールを制限します:外部アクセスはゲートウェイ経由、運用アクセスはVPN経由、組織は相互に分離されています。ウェアハウスには、パブリックネットワーク(IP許可リストで制限)またはシングルVPCに限定されたプライベートネットワーク接続経由でアクセスできます。

アクセス方法、IP許可リスト、PrivateLink、BYOCネットワーク配置については、Network Securityを参照してください。

セキュリティ監査

コンソール制御操作とウェアハウスアクセス操作の両方が監査され、お客様はコンソールから監査情報を確認できます。組織アクティビティログ、SQL監査、audit_logテーブルについては、Audit Loggingを参照してください。

アプリケーションセキュリティ

VeloDBは、クラウドファイアウォール、Web Application Firewall(WAF)、データベース監査などのセキュリティ製品を使用して、そのクラウドアプリケーションを保護しています。