メインコンテンツまでスキップ
メインコンテンツまでスキップ

ClickHouse 拡張暗号化

Enterprise plan feature

拡張暗号化 is available in the Enterprise plan. Contact support to enable this feature.

静止データはデフォルトでクラウドプロバイダー管理のAES 256キーを使用して暗号化されます。顧客は、サービスデータに対して追加の保護層を提供するために、透過的データ暗号化 (TDE) を有効にすることができます。さらに、顧客は自分のキーを提供してサービスのために顧客管理暗号化キー (CMEK) を実装できます。

拡張暗号化は現在、AWSとGCPサービスで利用可能です。Azureは近日中に登場します。

透過的データ暗号化 (TDE)

TDEはサービス作成時に有効にする必要があります。既存のサービスは作成後に暗号化することはできません。

  1. 新しいサービスを作成を選択
  2. サービスの名前を入力
  3. クラウドプロバイダーとしてAWSを選択し、ドロップダウンから希望するリージョンを選択
  4. エンタープライズ機能のドロップダウンをクリックし、透過的データ暗号化 (TDE) を有効にするを切り替え
  5. サービスを作成をクリック

顧客管理暗号化キー (CMEK)

危険

ClickHouse Cloudサービスを暗号化するために使用されたKMSキーを削除すると、ClickHouseサービスが停止し、そのデータは回復できなくなります。既存のバックアップも同様です。

サービスがTDEで暗号化されると、顧客はキーを更新してCMEKを有効にすることができます。透過的データ暗号化設定を更新した後、サービスは自動的に再起動します。このプロセス中、古いKMSキーがデータ暗号化キー (DEK) を復号化し、新しいKMSキーがDEKを再暗号化します。これにより、再起動時にサービスは今後の暗号化操作に新しいKMSキーを使用します。このプロセスには数分かかる場合があります。

CMEK with AWS KMS

  1. ClickHouse Cloudで暗号化されたサービスを選択

  2. 左側の設定をクリック

  3. 画面の下部でネットワークセキュリティ情報を展開

  4. 暗号化ロールID (AWS) または暗号化サービスアカウント (GCP) をコピー - 後のステップで必要になります

  5. AWSのKMSキーを作成

  6. キーをクリック

  7. AWSキーのポリシーを次のように更新:

  8. キーポリシーを保存

  9. キーARNをコピー

  10. ClickHouse Cloudに戻り、サービス設定の透過的データ暗号化セクションにキーARNを貼り付け

  11. 変更を保存

CMEK with GCP KMS

  1. ClickHouse Cloudで暗号化されたサービスを選択
  2. 左側の設定をクリック
  3. 画面の下部でネットワークセキュリティ情報を展開
  4. 暗号化サービスアカウント (GCP) をコピー - 後のステップで必要になります
  5. GCPのKMSキーを作成
  6. キーをクリック
  7. 上記のステップ4でコピーしたGCP暗号化サービスアカウントに次の権限を付与します。
    • Cloud KMS CryptoKey Encrypter/Decrypter
    • Cloud KMS Viewer
  8. キーの権限を保存
  9. キーリソースパスをコピー
  10. ClickHouse Cloudに戻り、サービス設定の透過的データ暗号化セクションにキーリソースパスを貼り付け
  11. 変更を保存

バックアップと復元

バックアップは関連するサービスと同じキーを使用して暗号化されます。暗号化されたバックアップを復元すると、元のインスタンスと同じKMSキーを使用する暗号化インスタンスが作成されます。必要に応じてKMSキーをローテーションできます。詳細はキーのローテーションを参照してください。

KMSキーのポーラー

CMEKを使用する場合、提供されたKMSキーの有効性は10分ごとに確認されます。KMSキーへのアクセスが無効になると、ClickHouseサービスは停止します。サービスを再開するには、このガイドの手順に従ってKMSキーへのアクセスを復元し、その後サービスを再起動してください。

この機能の特性上、KMSキーが削除された後にClickHouse Cloudサービスを回復することはできません。これを防ぐために、ほとんどのプロバイダーはキーを即座に削除するのではなく、削除のスケジュールを設定します。ご利用のプロバイダーの文書を確認してください。

キーのローテーション

この機能の特性上、KMSキーが削除された場合、ClickHouse Cloudサービスを回復することはできません。偶発的な損失を防ぐために、ほとんどのプロバイダーはキーの削除を即座に行うのではなく、削除のスケジュールを設定します。詳細については、プロバイダーの文書を参照してください。

パフォーマンス

このページに記載されているように、ClickHouseの組み込みデータ暗号化用バーチャルファイルシステム機能を使用してデータを暗号化および保護します。

この機能で使用されるアルゴリズムは AES_256_CTR であり、ワークロードに応じて5〜15%のパフォーマンスペナルティが予想されます:

CMEKパフォーマンスペナルティ