Безопасность ClickHouse Cloud

В этом документе подробно рассматриваются варианты обеспечения безопасности и рекомендуемые практики для защиты организации и сервисов ClickHouse. ClickHouse уделяет особое внимание предоставлению защищённых решений на основе аналитической базы данных, поэтому защита данных и обеспечение целостности сервиса являются приоритетом. Представленная здесь информация охватывает различные методы, призванные помочь пользователям в обеспечении безопасности их сред ClickHouse.

Аутентификация в облачной консоли

Аутентификация по паролю

Пароли для консоли ClickHouse Cloud настроены в соответствии со стандартом NIST 800-63B: длина не менее 12 символов и как минимум 3 из 4 требований к сложности — заглавные буквы, строчные буквы, цифры и/или специальные символы.

Подробнее об аутентификации по паролю.

ClickHouse Cloud поддерживает социальную аутентификацию Google или Microsoft для единого входа (SSO).

Подробнее о социальном SSO.

Многофакторная аутентификация

Пользователи, использующие вход по электронной почте и паролю или социальный SSO, также могут настроить многофакторную аутентификацию с использованием приложения-аутентификатора, такого как Authy или Google Authenticator.

Подробнее о многофакторной аутентификации.

Аутентификация с помощью Security Assertion Markup Language (SAML)

Корпоративные клиенты могут настроить аутентификацию с помощью SAML.

Подробнее об аутентификации SAML.

Аутентификация API

Клиенты могут настроить API-ключи для использования с OpenAPI, Terraform и конечными точками Query API.

Подробнее об аутентификации API.

Аутентификация в базе данных

Аутентификация по паролю базы данных

Пароли пользователей базы данных ClickHouse задаются в соответствии со стандартом NIST 800-63B, с минимальной длиной в 12 символов и требованиями к сложности: заглавные буквы, строчные буквы, цифры и/или специальные символы.

Узнайте больше об аутентификации по паролю базы данных.

Аутентификация в базе данных через Secure Shell (SSH)

Пользователи базы данных ClickHouse могут быть настроены на использование аутентификации через SSH.

Узнайте больше об аутентификации через SSH.

Контроль доступа

Ролевое управление доступом в консоли (RBAC)

ClickHouse Cloud поддерживает назначение ролей для управления правами доступа на уровне организации, сервиса и базы данных. Права доступа к базе данных, заданные этим методом, работают только в SQL-консоли.

Узнайте больше о ролевом управлении доступом в консоли.

Гранты пользователям базы данных

Базы данных ClickHouse поддерживают детализированное управление правами доступа и ролевую модель доступа через гранты пользователям.

Узнайте больше о грантах пользователям базы данных.

Сетевая безопасность

IP-фильтры

Настройте IP-фильтры, чтобы ограничить входящие подключения к вашему сервису ClickHouse.

Подробнее об IP-фильтрах.

Приватное подключение

Подключайтесь к своим кластерам ClickHouse в AWS, GCP или Azure, используя приватное сетевое подключение.

Подробнее о приватном подключении.

Шифрование

Шифрование на уровне хранилища

ClickHouse Cloud по умолчанию шифрует данные в состоянии покоя с использованием ключей AES‑256, управляемых облачным провайдером.

Узнайте подробнее о шифровании хранилища.

Прозрачное шифрование данных

В дополнение к шифрованию на уровне хранилища клиенты ClickHouse Cloud Enterprise могут включить прозрачное шифрование данных на уровне базы данных для дополнительной защиты.

Узнайте подробнее о прозрачном шифровании данных.

Ключи шифрования, управляемые клиентом

Клиенты ClickHouse Cloud Enterprise могут использовать собственные ключи для шифрования на уровне базы данных.

Узнайте подробнее о ключах шифрования, управляемых клиентом.

Аудит и ведение журналов

Журнал аудита консоли

Действия в консоли протоколируются. Журналы доступны для просмотра и экспорта.

Подробнее о журналах аудита консоли.

Журналы аудита базы данных

Действия в базе данных протоколируются. Журналы доступны для просмотра и экспорта.

Подробнее о журналах аудита базы данных.

BYOC Security Playbook

Примеры запросов для обнаружения инцидентов для команд безопасности, управляющих экземплярами ClickHouse BYOC.

Подробнее о руководстве по безопасности BYOC (BYOC Security Playbook).

Соответствие требованиям

Отчёты по безопасности и соответствию требованиям

ClickHouse поддерживает комплексную программу безопасности и соответствия требованиям. Периодически проверяйте наличие новых отчётов сторонних аудиторов.

Подробнее об отчётах по безопасности и соответствию требованиям.

Сервисы, соответствующие требованиям HIPAA

Клиенты ClickHouse Cloud Enterprise могут развёртывать сервисы, обрабатывающие защищаемую медицинскую информацию (PHI), в регионах, соответствующих требованиям HIPAA, после подписания Соглашения с бизнес-партнёром (BAA).

Подробнее о соответствии требованиям HIPAA.

Сервисы, соответствующие требованиям PCI

Клиенты ClickHouse Cloud Enterprise могут развёртывать сервисы, обрабатывающие данные банковских карт, в регионах, соответствующих требованиям PCI.

Подробнее о соответствии требованиям PCI.

Аутентификация в облачной консоли​

Аутентификация по паролю​

Социальный Single Sign-On (SSO)​

Многофакторная аутентификация​

Аутентификация с помощью Security Assertion Markup Language (SAML)​

Аутентификация API​

Аутентификация в базе данных​

Аутентификация по паролю базы данных​

Аутентификация в базе данных через Secure Shell (SSH)​

Контроль доступа​

Ролевое управление доступом в консоли (RBAC)​

Гранты пользователям базы данных​

Сетевая безопасность​

IP-фильтры​

Приватное подключение​

Шифрование​

Шифрование на уровне хранилища​

Прозрачное шифрование данных​

Ключи шифрования, управляемые клиентом​

Аудит и ведение журналов​

Журнал аудита консоли​

Журналы аудита базы данных​

BYOC Security Playbook​

Соответствие требованиям​

Отчёты по безопасности и соответствию требованиям​

Сервисы, соответствующие требованиям HIPAA​

Сервисы, соответствующие требованиям PCI​