Перейти к основному содержанию
Перейти к основному содержанию

Руководство по безопасности BYOC

ClickHouse предоставляет услугу Bring Your Own Cloud (BYOC) в рамках модели совместной ответственности в области безопасности, описание которой можно загрузить из нашего Trust Center по адресу https://trust.clickhouse.com. Приведённая ниже информация предоставляется клиентам BYOC в качестве примеров того, как можно выявлять потенциальные события, связанные с безопасностью. Клиентам следует учитывать эту информацию в контексте собственной программы безопасности, чтобы определить, будут ли полезны дополнительные механизмы обнаружения и оповещения.

Потенциально скомпрометированные учетные данные ClickHouse

См. документацию по журналу аудита базы данных для примеров запросов по обнаружению атак с использованием учетных данных и запросов для расследования вредоносной активности.

Атака отказа в обслуживании на уровне приложения

Существует множество методов проведения атаки отказа в обслуживании (DoS). Если атака нацелена на вывод из строя экземпляра ClickHouse с помощью специальной полезной нагрузки, восстановите систему в рабочее состояние или перезагрузите её и ограничьте доступ, чтобы вернуть контроль. Используйте следующий запрос для просмотра system.crash_log и получения дополнительной информации об атаке.

SELECT * 
FROM clusterAllReplicas('default',system.crash_log)

Скомпрометированные роли AWS, созданные ClickHouse

ClickHouse использует предварительно созданные роли для обеспечения работы системных функций. В этом разделе предполагается, что заказчик использует AWS с CloudTrail и имеет доступ к журналам CloudTrail.

Если инцидент может быть результатом скомпрометированной роли, просмотрите действия в CloudTrail и CloudWatch, связанные с ролями и действиями ClickHouse IAM. Обратитесь к стеку CloudFormation или модулю Terraform, предоставленным в рамках первоначальной настройки, чтобы получить список ролей IAM.

Несанкционированный доступ к кластеру EKS

ClickHouse BYOC работает внутри EKS. В этом разделе предполагается, что клиент использует в AWS сервисы CloudTrail и CloudWatch и имеет доступ к журналам.

Если инцидент может быть связан со скомпрометированным кластером EKS, используйте приведённые ниже запросы в журналах CloudWatch для EKS, чтобы выявить конкретные угрозы.

Получить количество вызовов Kubernetes API по имени пользователя

fields user.username
| stats count(*) as count by user.username

Определите, является ли пользователь инженером ClickHouse

fields @timestamp,user.extra.sessionName.0, requestURI, verb,userAgent, @message, @logStream, @log
| sort @timestamp desc
| filter user.username like /clickhouse.com/
| limit 10000

Проанализируйте пользователей, получающих доступ к секретам Kubernetes, исключая сервисные роли

fields @timestamp,user.extra.sessionName.0, requestURI, verb,userAgent, @message, @logStream, @log
| sort @timestamp desc
| filter requestURI like /secret/
| filter verb="get"
| filter ispresent(user.extra.sessionName.0)
| filter user.username not like /ClickHouseManagementRole/
| filter user.username not like /data-plane-mgmt/