第13章. セキュリティ

情報化時代において、データは世界で最も価値のある商品のひとつである。それは、強化されたオペレーション・インテリジェンスを通じて競争上の優位性をもたらすことができ、しばしば最も厳しいプライバシー規制の対象となる。データベースは、データ盗難、ランサムウェア攻撃、データ改ざんの標的となることが多い。

CockroachDBは、悪意のある攻撃からデータベースを保護し、ヒューマンエラーやアプリケーションのバグからもある程度保護する、産業用の強力なセキュリティ機能をサポートしている。

十分に保護されたCockroachDBのデプロイは、データベースを保護するために多層防御を使用する：侵入や不正な活動から保護する複数のセキュリティレベル。これらには以下が含まれる：

• クラスタの接続を、既知の信頼できるネットワークアドレスに制限するファイアウォール規則。

• トランスポート・レイヤー・セキュリティ（TLS）暗号化 は、飛行中のデータへのアクセスを防ぐ。TLS認証は、中間者攻撃（man-in-the-middle attack）を撃退し、クライアント認証のレベルを提供するためにも使用できる。

• Encryption at rest：、ディスク上のデータファイルを暗号化できる機能。

• 、ユーザ名、パスワード、キーファイル、Kerberos、OAuthなど、さまざまな認証メカニズムがユーザのアイデンティティを決定する。

• 、データやシステムコマンドへのアクセスを制御する役割ベースの認可システム。

• ユーザ・アクセスの追跡を可能にするロギング・オプション。標準ロギングでは認証イベントとSQL実行の追跡が可能であり、監査ロギングでは機密データへのアクセスをきめ細かく追跡できる。

この章では、それぞれの詳細について説明する。

ファイアウォールの設定

CockroachDBデータベースにアクセスしようとするほとんどの試みは、SQLポート（デフォルトではポート26257でリッスンしている）を介して発生する。このポートへのアクセスを許可されたIPアドレスに制限することは、クラスタを保護するための明らかな第一歩である。

CockroachDBクラウドによるIP Allowlist

CockroachDB Cloudの各階層は、 クラスタのグローバル・ファイアウォールとして機能するIP allowlist関数を提供する。allowlistを使用すると、クラスレス・ドメイン間ルーティング（CIDR）形式で個々のIPアドレスまたはIPアドレス範囲のクラスタへの接続を許可できる。図13-1は、CockroachDB Cloud Advancedクラスタに新しいCIDR範囲を追加する様子を示している。

図 13-1. CockroachDB Advancedでallowlistをセットアップする。