Доступ к данным ClickHouse (BYOC)
По умолчанию сотрудники ClickHouse не имеют доступа к вашим данным. Ваши данные ClickHouse, включая все пользовательские таблицы и результаты запросов, остаются внутри вашего VPC. Ниже описаны единственные способы, которыми ClickHouse взаимодействует с вашим развертыванием, — ни один из них не предоставляет доступа к данным клиентских таблиц.
Регламентные операции
Управляющая плоскость ClickHouse Cloud управляет вашим BYOC-развертыванием, не читая данные клиентов. Компоненты, которые отправляют данные за пределы вашей VPC, передают только служебные метаданные:
| Компонент | Что покидает вашу VPC |
|---|---|
| Экспортер состояния | Состояние сервиса (работоспособность, статус) в очередь SQS, принадлежащую ClickHouse Cloud. |
| Скрапер биллинга | Метрики CPU и памяти в S3 бакет, принадлежащий ClickHouse Cloud. |
| AlertManager | Оповещения о работоспособности кластера в ClickHouse Cloud. |
Трафик запросов, содержимое таблиц и схемы никогда не проходят через эти каналы. Журналы и метрики остаются внутри вашей VPC BYOC.
Доступ для устранения неполадок
Когда инженерам ClickHouse нужно диагностировать проблему в вашем развертывании, они запрашивают временный доступ через внутренний процесс эскалации и согласования. После одобрения доступ предоставляется по сертификату с ограниченным сроком действия и осуществляется через Tailscale — без использования публичного интернета.
Что инженеры могут видеть
При наличии одобренного доступа для устранения неполадок инженеры могут читать только системные таблицы ClickHouse. Это включает:
system.query_log— текст запроса и метаданные выполнения для запросов, выполненных в вашем сервисеsystem.tables,system.columnsи аналогичные системные таблицы — схема и метаданные- Другие таблицы
system.*, используемые для диагностики (например, части, мутации, реплики)
Что недоступно инженерам
У инженеров нет доступа на чтение к пользовательским таблицам клиентов. Доступ предоставляется только к системным таблицам.
Как обеспечивается контроль доступа
- Требуется одобрение: каждый запрос на доступ проходит через внутреннюю систему согласования с назначенными согласующими. Инженеры не могут самостоятельно предоставить себе доступ.
- Сертификаты с ограниченным сроком действия: для каждого одобренного сеанса создаётся временный сертификат с ограниченным сроком действия. Доступ истекает автоматически.
- Аутентификация на основе сертификатов: сертификаты заменяют доступ по паролю для любого доступа пользователей к экземплярам BYOC.
- Только для чтения в системных таблицах: права, связанные с сертификатом, ограничены чтением системных таблиц.
- Данные не экспортируются: журналы и результаты запросов из сеансов устранения неполадок никогда не экспортируются обратно в инфраструктуру ClickHouse.
Аудит
Действия инженеров видны вам и подлежат аудиту со стороны ClickHouse:
- Доступно клиенту: каждый запрос, который инженер ClickHouse выполняет в вашем экземпляре, отображается в вашем собственном
system.query_log, включая текст запроса и идентификатор сертификата. Вы можете проверять это напрямую в своем сервисе ClickHouse. - На стороне ClickHouse: команда безопасности ClickHouse ведет внутренний журнал и проводит аудит всех запросов на доступ, согласований и подключений Tailscale.
Будущие механизмы контроля
Одобрение, контролируемое клиентом, — когда вы подтверждаете каждый запрос инженера на доступ до того, как он вступит в силу, — есть в планах. Сейчас одобрение выполняется через внутренний процесс эскалации ClickHouse.
См. также
- Сетевая безопасность BYOC — как работают Tailscale и границы сети
- Привилегии BYOC — роли IAM, создаваемые при настройке BYOC
