セキュリティ 共有責任モデル
サービスの種類
ClickHouse Cloud は、基本、スケール、エンタープライズの 3 つのサービスタイプを提供しています。詳細については、サービスの種類 ページをご覧ください。
クラウドアーキテクチャ
クラウドアーキテクチャは、制御プレーンとデータプレーンで構成されています。制御プレーンは、組織の作成、制御プレーン内のユーザー管理、サービス管理、API キー管理、および請求を担当します。データプレーンは、オーケストレーションと管理のツールを実行し、顧客サービスを収容します。詳細については、ClickHouse Cloud アーキテクチャ ダイアグラムをご覧ください。
BYOC アーキテクチャ
自分のクラウドを持つ (BYOC) では、顧客が自分のクラウドアカウントでデータプレーンを実行できるようになります。詳細については、(BYOC) Bring Your Own Cloud ページをご覧ください。
ClickHouse Cloud 共有責任モデル
以下のモデルは、ClickHouse の責任を一般的に示し、ClickHouse Cloud と ClickHouse BYOC の顧客がそれぞれ対応すべき責任を示しています。私たちの PCI 共有責任モデルに関する詳細については、Trust Center で提供されている概要のコピーをダウンロードしてください。
| 制御 | ClickHouse | クラウド顧客 | BYOC 顧客 |
|---|---|---|---|
| 環境の分離を維持 | ✅ | ✅ | |
| ネットワーク設定を管理 | ✅ | ✅ | ✅ |
| ClickHouse システムへのアクセスを安全に管理 | ✅ | ||
| 制御プレーンとデータベース内の組織ユーザーを安全に管理 | ✅ | ✅ | |
| ユーザー管理と監査 | ✅ | ✅ | ✅ |
| 転送中および静止中のデータを暗号化 | ✅ | ||
| 顧客が管理する暗号化キーを安全に扱う | ✅ | ✅ | |
| 冗長インフラストラクチャを提供 | ✅ | ✅ | |
| データのバックアップ | ✅ | ✅ | ✅ |
| バックアップ回復能力を検証 | ✅ | ✅ | ✅ |
| データ保持設定を実装 | ✅ | ✅ | |
| セキュリティ構成管理 | ✅ | ✅ | |
| ソフトウェアとインフラストラクチャの脆弱性修正 | ✅ | ||
| ペネトレーションテストを実施 | ✅ | ||
| 脅威検出と対応 | ✅ | ✅ | |
| セキュリティインシデント対応 | ✅ | ✅ |
ClickHouse Cloud の設定可能なセキュリティ機能
ネットワーク接続
アクセス管理
| 設定 | ステータス | クラウド | サービスレベル |
|---|---|---|---|
| 標準のロールベースアクセスが制御プレーンで利用可能 | 利用可能 | AWS, GCP, Azure | 全て |
| 多要素認証 (MFA)が利用可能 | 利用可能 | AWS, GCP, Azure | 全て |
| SAML シングルサインオンが制御プレーンに利用可能 | プレビュー | AWS, GCP, Azure | エンタープライズ |
| データベース内の細かいロールベースアクセス制御が利用可能 | 利用可能 | AWS, GCP, Azure | 全て |
データセキュリティ
| 設定 | ステータス | クラウド | サービスレベル |
|---|---|---|---|
| クラウドプロバイダーおよびリージョンの選択 | 利用可能 | AWS, GCP, Azure | 全て |
| 限定された無料の毎日のバックアップ | 利用可能 | AWS, GCP, Azure | 全て |
| カスタムバックアップ設定が利用可能 | 利用可能 | GCP, AWS, Azure | スケールまたはエンタープライズ |
| 透明な データ暗号化のための顧客が管理する暗号化キー (CMEK)が利用可能 | 利用可能 | AWS | スケールまたはエンタープライズ |
| フィールドレベルの暗号化が手動キー管理で細かく暗号化 | 利用可能 | GCP, AWS, Azure | 全て |
データ保持
| 設定 | ステータス | クラウド | サービスレベル |
|---|---|---|---|
| 有効期限 (TTL)の設定で保持を管理 | 利用可能 | AWS, GCP, Azure | 全て |
| ALTER TABLE DELETEを使用した重い削除作業 | 利用可能 | AWS, GCP, Azure | 全て |
| 軽量 DELETEを使用した計画的削除作業 | 利用可能 | AWS, GCP, Azure | 全て |
監査およびロギング
ClickHouse Cloud コンプライアンス
| フレームワーク | ステータス | クラウド | サービスレベル |
|---|---|---|---|
| ISO 27001 コンプライアンス | 利用可能 | AWS, GCP, Azure | 全て |
| SOC 2 タイプ II コンプライアンス | 利用可能 | AWS, GCP, Azure | 全て |
| GDPR および CCPA コンプライアンス | 利用可能 | AWS, GCP, Azure | 全て |
| HIPAA コンプライアンス | 利用可能 | AWS, GCP | エンタープライズ |
サポートされているコンプライアンスフレームワークの詳細については、セキュリティとコンプライアンス ページをご覧ください。