すべてのプロダクト
Search

このプロダクト

    PolarDB:セキュリティ機能

    ドキュメントセンター

    PolarDB:セキュリティ機能

    最終更新日:Jun 03, 2024

    このトピックでは、PolarDBが提供する次のセキュリティ機能について説明します。アクセス制御、データ送信の暗号化、データの暗号化と復号化、データのマスキング、セキュリティ監査です。

    アクセス制御

    PolarDBのクラスターホワイトリスト機能は、クラスターアクセスセキュリティを実装します。 クラスターホワイトリスト機能を使用すると、IPホワイトリストとセキュリティグループを作成できます。 PolarDB for MySQLクラスターを作成したら、クラスターの [IPホワイトリストの設定] または [セキュリティグループの設定] を実行できます。 ホワイトリストまたはセキュリティグループに追加されたIPアドレスまたはECSインスタンスのみがクラスターにアクセスできます。

    • IPホワイトリスト。

      IPホワイトリストには、PolarDB for MySQLクラスターへのアクセスが許可されているIPアドレスまたはCIDRブロックが含まれています。 IPホワイトリストを設定して、PolarDB for MySQLクラスターのセキュリティを強化できます。 IPホワイトリストを定期的に更新することを推奨します。 ほとんどの場合、次のシナリオでIPホワイトリストを設定する必要があります。

      • ECSインスタンスをPolarDBクラスターに接続します。 ECSインスタンスのIPアドレスは、[インスタンスの詳細] ページの [設定情報] セクションで確認できます。 次に、いずれかのIPアドレスをクラスターのIPホワイトリストに追加します。

        説明

        ECSインスタンスとPolarDBクラスターが中国 (杭州) リージョンなどの同じリージョンにデプロイされている場合、ECSインスタンスのプライベートIPアドレスをIPホワイトリストに追加します。 ECSインスタンスとPolarDBクラスターが異なるリージョンにデプロイされている場合は、ECSインスタンスのパブリックIPアドレスをIPホワイトリストに追加します。 ECSインスタンスをPolarDBクラスターがデプロイされているリージョンに移行し、ECSインスタンスのプライベートIPアドレスを追加することもできます。

      • オンプレミスサーバー、コンピューター、またはその他のクラウドインスタンスをPolarDBクラスターに接続する場合は、関連するIPアドレスをクラスターのIPホワイトリストに追加します。

    • セキュリティグループ。

      Elastic Compute Service (ECS) インスタンスを使用してPolarDBクラスターにアクセスする場合は、ECSインスタンスが関連付けられているセキュリティグループを設定し、そのセキュリティグループをPolarDBクラスターのホワイトリストに追加します。 これにより、セキュリティグループ内のECSインスタンスはPolarDBクラスターにアクセスできます。

    データ伝送暗号化

    PolarDBを使用すると、SSL暗号化を有効にしてデータ送信のセキュリティを向上させます。 SSLは、トランスポート層でネットワーク接続を暗号化するために使用されます。 これにより、送信されるデータのセキュリティと完全性が向上します。

    SSL暗号化を有効にし、データ暗号化を必要とするアプリケーションで証明機関 (CA) によって発行されたSSL証明書をインストールできます。 詳細については、「SSL暗号化の設定」をご参照ください。

    データの暗号化および復号化

    PolarDBは、データファイルに対してリアルタイムのI/O暗号化および復号化を実行するための透過的データ暗号化 (TDE) 機能を提供します。 データがディスクに書き込まれる前に、データは暗号化される。 そして、ディスクからデータを読み出してメモリに書き込む際に、データを復号化する。 これにより、データのセキュリティが確保されます。

    詳細については、「PolarDB For MySQLクラスターのTDEの設定」をご参照ください。

    データマスキング

    レポートの生成、データの分析、開発およびテスト活動の実行、またはその他のデータベース関連の操作を第三者に許可する場合は、本番環境のデータベースから最新の顧客データをリアルタイムで取得する必要があります。 個人情報の開示を避けるために、データは第三者に提供される前にマスクされなければなりません。

    PolarDBは、動的データマスキング機能を提供します。 PolarProxyを使用して、機密データをマスクできます。 アプリケーションがデータクエリリクエストを開始すると、PolarDBはクエリされた機密データをマスクしてから、PolarDBがデータをアプリケーションに返します。 これを実現するには、データを照会する前に、データベースアカウント、データベース名、およびデータマスクが必要なテーブルまたは列を指定する必要があります。 これにより、動的データマスキング機能を使用してマスクされたリアルタイムデータを取得できます。 これにより、安全なデータアクセスが保証されます。

    詳細については、「動的データマスキング」をご参照ください。

    セキュリティ監査

    PolarDBには、SQLエクスプローラーと監査機能があります。 これにより、生のSQLログを収集して分析することで、データベースのセキュリティリスクとパフォーマンスの問題を検出できます。