セキュリティ共有責任モデル
サービスタイプ
ClickHouse Cloud は、Basic、Scale、および Enterprise の 3 つのサービスを提供しています。詳細については、サービスの種類 ページをご覧ください。
クラウドアーキテクチャ
クラウドアーキテクチャは、コントロールプレーンとデータプレーンで構成されています。コントロールプレーンは、組織の作成、コントロールプレーン内のユーザー管理、サービス管理、API キー管理、請求に関連する責任を負います。データプレーンは、オーケストレーションや管理のためのツールを運用し、顧客サービスをホストします。詳細については、ClickHouse Cloud アーキテクチャ 図をご覧ください。
BYOC アーキテクチャ
Bring Your Own Cloud (BYOC) は、顧客が自分のクラウドアカウントでデータプレーンを運用できるようにします。詳細については、BYOC (Bring Your Own Cloud) ページをご覧ください。
ClickHouse Cloud 共有責任モデル
以下のモデルは、一般的に ClickHouse の責任を示し、ClickHouse Cloud および ClickHouse BYOC の顧客がそれぞれ対処すべき責任を示しています。PCI 共有責任モデルの詳細については、Trust Center にある概要コピーをダウンロードしてください。
| コントロール | ClickHouse | クラウド顧客 | BYOC 顧客 |
|---|---|---|---|
| 環境の分離を維持 | ✅ | ✅ | |
| ネットワーク設定を管理 | ✅ | ✅ | ✅ |
| ClickHouse システムへのアクセスを安全に管理 | ✅ | ||
| コントロールプレーンおよびデータベース内の組織ユーザーを安全に管理 | ✅ | ✅ | |
| ユーザー管理および監査 | ✅ | ✅ | ✅ |
| データの転送時および保管時の暗号化 | ✅ | ||
| 顧客が管理する暗号化キーを安全に扱う | ✅ | ✅ | |
| 冗長インフラを提供 | ✅ | ✅ | |
| データのバックアップ | ✅ | ✅ | ✅ |
| バックアップ復旧能力を検証 | ✅ | ✅ | ✅ |
| データ保持設定を実施 | ✅ | ✅ | |
| セキュリティ構成管理 | ✅ | ✅ | |
| ソフトウェアとインフラの脆弱性修正 | ✅ | ||
| ペネトレーションテストを実施 | ✅ | ||
| 脅威検出および対応 | ✅ | ✅ | |
| セキュリティインシデント対応 | ✅ | ✅ |
ClickHouse Cloud 設定可能なセキュリティ機能
ネットワーク接続
アクセス管理
| 設定 | ステータス | クラウド | サービスレベル |
|---|---|---|---|
| 標準のロールベースのアクセス でコントロールプレーン | 利用可能 | AWS, GCP, Azure | すべて |
| 多要素認証 (MFA) 利用可能 | 利用可能 | AWS, GCP, Azure | すべて |
| コントロールプレーンへの SAML シングルサインオン 利用可能 | プレビュー | AWS, GCP, Azure | Enterprise |
| データベース内の詳細な ロールベースアクセス制御 | 利用可能 | AWS, GCP, Azure | すべて |
データセキュリティ
| 設定 | ステータス | クラウド | サービスレベル |
|---|---|---|---|
| クラウドプロバイダーとリージョン の選択 | 利用可能 | AWS, GCP, Azure | すべて |
| 限定された 毎日の無料バックアップ | 利用可能 | AWS, GCP, Azure | すべて |
| 利用可能な カスタムバックアップ構成 | 利用可能 | GCP, AWS, Azure | Scale または Enterprise |
| 顧客管理の暗号化キー (CMEK) で透過的なデータ暗号化 | 利用可能 | AWS, GCP | Enterprise |
| フィールドレベルの暗号化 と手動キー管理 | 利用可能 | GCP, AWS, Azure | すべて |
データ保持
| 設定 | ステータス | クラウド | サービスレベル |
|---|---|---|---|
| 有効期限 (TTL) 設定で保持を管理 | 利用可能 | AWS, GCP, Azure | すべて |
| ALTER TABLE DELETE 重い削除アクション用 | 利用可能 | AWS, GCP, Azure | すべて |
| ライトウェイト DELETE 測定された削除活動用 | 利用可能 | AWS, GCP, Azure | すべて |
監査とログ
ClickHouse Cloud コンプライアンス
| フレームワーク | ステータス | クラウド | サービスレベル |
|---|---|---|---|
| ISO 27001 コンプライアンス | 利用可能 | AWS, GCP, Azure | すべて |
| SOC 2 Type II コンプライアンス | 利用可能 | AWS, GCP, Azure | すべて |
| GDPR および CCPA コンプライアンス | 利用可能 | AWS, GCP, Azure | すべて |
| HIPAA コンプライアンス | 利用可能 | AWS, GCP | Enterprise |
| PCI コンプライアンス | 利用可能 | AWS | Enterprise |
サポートされているコンプライアンスフレームワークの詳細については、セキュリティとコンプライアンス ページをご覧ください。
