第13章. セキュリティ

情報化時代において、データは世界で最も価値のある商品のひとつである。それは、強化された演算子によって競争上の優位性をもたらすことができ、しばしば最も厳しいプライバシー規制の対象となる。データベースは、データ盗難、ランサムウェア攻撃、データ改ざんの標的となることが多い。

CockroachDBは、悪意のある攻撃からデータベースを保護し、ヒューマンエラーやアプリケーションのバグからもある程度保護する、産業用の強力なセキュリティ機能をサポートしている。

十分に保護されたCockroachDBのデプロイは、データベースを保護するために多層防御を使用する：侵入や不正な活動から保護する複数のセキュリティレベル。これらには以下が含まれる：

• クラスタの接続を、既知の信頼できるネットワークアドレスに制限するファイアウォール規則。

• トランスポート・レイヤー・セキュリティ（TLS）暗号化 は、飛行中のデータへのアクセスを防ぐ。TLS認証は、中間者攻撃（man-in-the-middle attack）を撃退し、クライアント認証のレベルを提供するためにも使用できる。

• Encryption at rest（静止時の暗号化）：エンタープライズ、ディスク上のデータファイルを暗号化できる機能。

• 、ユーザ名、パスワード、キーファイル、Kerberos、OAuthなど、さまざまな認証メカニズムがユーザのアイデンティティを決定する。

• データおよびシステムコマンドへのアクセスを制御する役割ベースの認可システム。

• ユーザ・アクセスの追跡を可能にするロギング・オプション。標準ロギングでは、認証イベントとSQL実行の追跡が可能であり、監査ロギングでは、機密データへのアクセスのきめ細かい追跡が可能である。

この章では、それぞれの詳細について説明する。

ファイアウォールの設定

CockroachDBデータベースにアクセスしようとするほとんどの試みは、SQLポート（デフォルトではポート26257でリッスンしている）を介して発生する。このポートへのアクセスを許可されたIPアドレスに制限することは、クラスタを保護するための明らかな第一歩である。

CockroachDB専用IP許可リスト

CockroachDB Dedicatedは、 、クラスタのグローバル・ファイアウォールとして機能するIP allowlist関数を提供する。allowlistを使用すると、クラスレス・ドメイン間ルーティング（CIDR）形式で個々のIPアドレスまたはIPアドレス範囲のクラスタへの接続を許可できる。図13-1は、CockroachDB Dedicatedクラスタに新しいCIDR範囲を追加する様子を示している。

図 13-1. CockroachDB Dedicatedでallowlistをセットアップする。