Tablestoreは、クラウド内のデータの潜在的なセキュリティリスクを防ぐために、サーバー側の暗号化とクライアント側の暗号化をサポートしています。Tablestoreは、ゾーン冗長ストレージ(ZRS)ストレージ冗長タイプをサポートしており、複数のゾーンにデータを保存して高可用性を確保し、ディザスタリカバリ機能を提供できます。Tablestoreでは、Cloud Backupを使用して重要なデータをバックアップし、偶発的な削除や悪意のあるデータ改ざんを防ぐことができます。TablestoreはV4署名アルゴリズムをサポートしており、AccessKeyペアを保護し、AccessKeyペアの漏洩のリスクを軽減します。
データ暗号化
静的データのディスク暗号化
Tablestoreは、攻撃者がデータベースをバイパスするのを防ぐために、ディスク暗号化機能をサポートしています。詳細については、データ暗号化を参照してください。
デフォルトでは、ディスク暗号化機能は無効になっています。ディスク暗号化機能を有効にするには、テーブルの作成ダイアログボックスで暗号化をオンにして、暗号化タイプを選択します。
ディスク暗号化機能を有効にした後、この機能を無効にすることはできません。注意して進めてください。
Tablestoreは、Key Management Service(KMS)キーに基づく暗号化とBring Your Own Key(BYOK)に基づく暗号化の2つの暗号化方法をサポートしています。どちらの方法でも、KMSからキーを取得する必要があります。ビジネス要件に基づいて方法を選択できます。
暗号化方法 | 使用方法 | 説明 |
KMSキーベースの暗号化 |
| Tablestoreは、デフォルトのKMS管理のカスタマーマスターキー(CMK)を使用してデータを暗号化し、データの読み取り時に自動的に復号化します。KMSキーベースの暗号化を初めて使用すると、TablestoreはKMSコンソールにKMS管理のCMKを作成します。KMSインスタンスを購入する必要はありません。 |
BYOKベースの暗号化 |
| BYOKマテリアルを使用してKMSコンソールでカスタムキーを生成した後、Tablestoreはカスタムキーに基づいてデータを暗号化できます。使用する暗号化キーを管理できます。 |
データ転送の暗号化
Tablestoreは、Transport Layer Security(TLS)プロトコルに基づく暗号化をサポートしています。Tablestoreサーバーとクライアント間のデータ転送は、TLSプロトコルに基づいて暗号化されます。詳細については、Tablestoreインスタンスへのアクセスに使用できるTLSバージョンを制限するを参照してください。
Tablestoreでは、カスタムResource Access Management (RAM) ポリシーやアクセス制御ポリシーなどの方法を使用して、Tablestoreへのアクセスに使用できるTLSバージョンを制限できます。新しいTLSバージョンは、より安全な転送暗号化アルゴリズムを提供します。TLS 1.2以降を使用することをお勧めします。詳細については、カスタムポリシーを設定する、カスタムアクセス制御ポリシーを使用する、およびインスタンスポリシーを設定するを参照してください。
ディザスタリカバリ
Tablestoreは、ローカル冗長ストレージ(LRS)とZRSの2つのストレージ冗長タイプを提供します。ビジネスでより高い可用性が必要な場合は、ZRSがサポートされているリージョンにデータを保存することをお勧めします。詳細については、ZRSを参照してください。
LRS
LRS冗長タイプを使用する場合、データは同じゾーン内の複数のデバイスに保存されます。LRS冗長タイプは、ゾーン内の1つ以上のデバイスが無効になった場合のデータの耐久性と可用性を保証します。
LRSデータは1つのゾーンにのみ保存されます。ゾーンが使用できなくなった場合、またはゾーン内のすべてのデバイスが同時に無効になった場合、ゾーン内のデータにアクセスすることはできません。
ZRS
ZRS冗長タイプを使用する場合、データは同じリージョン内の複数のゾーンに保存されます。ZRS冗長タイプは、1つのゾーンが使用できなくなった場合でもデータにアクセスできることを保証します。
ZRSは、データセンターレベルでディザスタリカバリを提供します。リージョン内のゾーンが使用できなくなった場合、Tablestoreは引き続き高整合性データを維持します。フェイルオーバープロセス全体はユーザーに認識されず、ビジネスの中断やデータの損失なしに実行できます。これは、リカバリポイント目標(RPO)0とリカバリ時間目標(RTO)0の主要なビジネスシステムの要件を満たすのに役立ちます。
データのバックアップと復元
Tablestoreでは、Cloud Backupを使用してデータをバックアップおよび復元できます。データバックアップ機能は、ディザスタリカバリ、偶発的な削除または悪意のある改ざん時の復元、データバージョニング、法令遵守、データ移行などのシナリオに適しています。詳細については、データバックアップを参照してください。
Cloud Backupは、Alibaba Cloudがバックアップとディザスタリカバリのために開発した統合プラットフォームです。Cloud Backupは、パブリッククラウドにデプロイされる使いやすいデータ管理サービスであり、高い俊敏性、効率性、セキュリティ、信頼性を提供します。Cloud Backupを使用して、Elastic Compute Service(ECS)インスタンス、ECSデータベース、ファイルシステム、NASクラスタ、OSSバケット、Tablestoreインスタンス、およびファイル、データベース、仮想マシン(VM)、大規模NASファイルシステムを保存するデータセンターからバックアップボールトにデータをバックアップできます。また、上記のすべてのリソースに対して設定したアーカイブポリシーに基づいて、バックアップデータを使用してディザスタリカバリを実行したり、データをアーカイブしたりすることもできます。詳細については、Cloud Backupとはを参照してください。
偶発的な削除や悪意のある改ざんによって重要なデータが使用できなくなるのを防ぐために、Tablestoreコンソールのデータバックアップ機能を使用して、Tablestoreインスタンスのワイドカラムモデルのテーブル内のデータを定期的にバックアップし、紛失または破損したデータをできるだけ早く復元できます。詳細については、Tablestoreのデータをバックアップする、Tablestoreにデータを復元する、およびバックアッププランのアラート通知方法を指定するを参照してください。
AccessKeyペアのセキュリティ
Tablestoreクライアントは、V4署名アルゴリズムを使用して、Alibaba CloudアカウントまたはRAMユーザーのAccessKeyペアから派生キーを生成します。次に、Tablestoreクライアントは派生キーを使用してリクエストを開始します。Tablestoreサーバーがリクエストを受信すると、サーバーは派生キーを使用してユーザーを認証します。これにより、認証プロセス中にAccessKeyペアが転送されるのを防ぎ、AccessKeyペアの漏洩のリスクを軽減します。詳細については、AccessKeyペアのセキュリティを参照してください。