セキュリティー
大規模な Web アプリやモバイル・アプリのアプリケーション・データの保護は、特に分散データベースおよび NoSQL データベースの場合、複雑である可能性があります。
データベースの保守の労力を削減しながら、データベースの稼働を維持し、データベースを停止せずに成長させることができます。 また、 IBM® Cloudant® for IBM Cloud® は、データの安全性と保護を確保します。
Tier 1 の物理プラットフォーム
IBM Cloudant DBaaS は、以下のような Tier-1 クラウド・インフラストラクチャー・プロバイダーで物理的にホストされます。 IBM Cloud® および Amazon。 そのため、そうしたプロバイダーによって使用される、以下を含むネットワーク・セキュリティーおよび物理的セキュリティーの手段 (これに限られません) でデータが保護されます。
- 証明書 - SSAE16、SOC2 Type 1、ISAE 3402、ISO 27001、CSA、その他の規格の準拠。
- アクセスおよび ID 管理。
- データ・センターおよびネットワーク運用センターのモニタリングによる一般の物理的セキュリティー。
- サーバー強化。
- IBM Cloudant では、SLA やコスト要件の変化に伴って、 異なるプロバイダーの間で柔軟に選択や切り替えができます。
証明書に関する詳細は、準拠情報にあります。
セキュアなアクセス制御
IBM Cloudant には、データへのアクセスを制御するための多数のセキュリティー機能が組み込まれています。
機能 | 説明 |
---|---|
認証 | IBM Cloudant には、HTTPS API を使用してアクセスします。 API エンドポイントが必要とする場合、 IBM Cloudant が受信する HTTPS 要求ごとにユーザーが認証されます。 IBM Cloudant は、レガシー・アクセス制御と IAM アクセス制御の両方をサポートします。 詳しくは、『IAM ガイド』またはレガシー『 認証 API 文書』を参照してください。 |
許可 | IBM Cloudant は、レガシーと IAM の両方のアクセス制御をサポートしています。 IBM Cloudant チームでは、可能な場合は認証に IAM アクセス制御を使用することをお勧めしています。 もしIBM Cloudantレガシー認証を使用している場合、IBM Cloudantチームはプログラムアクセスやレプリケーションジョブにアカウントレベルの認証情報ではなく APIキーを使用することを推奨しています。 詳しくは、IAM ガイドまたはレガシー認証の資料およびレガシー許可の資料を参照してください。 |
保存時の暗号化 | IBM Cloudant インスタンスに保管されているすべてのデータは、 LUKS1 で 256 ビット Advanced Encryption Standard (AES-256) を使用して、保存時に暗号化されます。 デフォルトでは、IBM Cloudant はすべての環境用の暗号鍵を管理します。 保存時の暗号化に Bring Your Own Key (BYOK) 暗号化が必要な場合、 IBM Cloud Key Protect インスタンスに保管されている暗号鍵を使用して BYOK が有効になります。 IBM Cloudant は、すべてのリージョンにデプロイされる新しい IBM Cloudant 専用ハードウェア・プラン・インスタンスの BYOK 機能をサポートします。 プロビジョン時に BYOK を選択する方法について詳しくは、『IBM Cloudant 専用ハードウェア・プラン・インスタンスの作成』チュートリアルを参照してください。 |
イン・フライトの暗号化 | IBM Cloudant へのすべてのアクセスは HTTPS を使用して暗号化されます。 |
クライアント・サイド暗号化 | お客様は、クライアント・サイド暗号化を使用して、データ保護がデータ所有者によって制御され、データがサービス・プロバイダーに対して決して可視にならないようにすることができます。 |
TLS | IBM Cloudant では、TLS 1.2 以上を使用する必要があります。IBM Cloudant では、ご使用のアプリケーションで証明書をピン留めしないことを強くお勧めします。 証明書は少なくとも毎年定期的に更新され、中間証明書とルート証明書は更新時に変更される可能性があります。IBM Cloudantは証明書の更新前に通知を送信しません。 証明書トラストストアを最新のルート証明書に更新しておくことをお勧めします。IBM Cloudantは DigiCertから証明書を取得しています。 そのルート証明書は、DigiCertTrusted Root Authority Certificatesページで見つけることができます。IBM Cloudantは、異なる認証局に移動した場合に通知を送信します。 |
パブリック・エンドポイント | すべての IBM Cloudant インスタンスは、パブリックにアクセス可能な外部エンドポイントで提供されます。 |
プライベート・エンドポイント | 専用ハードウェア・プランの環境にデプロイしたすべてのインスタンスにも、プライベート (内部) のエンドポイントがあります。 プライベート・エンドポイントを使用すると、お客様は内部 IBM Cloudant ネットワークを介して IBM Cloud® インスタンスに接続できるため、アップストリーム・アプリケーション・トラフィックがパブリック・ネットワークを通過して帯域幅コストが発生することを回避できます。 詳細については、サービス・エンドポイントのドキュメントを参照してください。また、あなたのIBM Cloud®アカウントの サービス・エンドポイントの有効化 に関する文書も参照してください。 IP アドレスのサブセットのみがアプリケーションにアクセスできるようにする場合は、次の行の「IP 許可リスティング」を参照してください。 |
IP 許可リスト | IBM Cloudant customers, who have an IBM Cloudant Dedicated Hardware plan environment, can allowlist IP addresses to restrict access to only specified servers and users. IP 許可リストは、マルチテナント環境にデプロイされている IBM Cloud Public のライト・プランまたは標準プランでは使用できません。 サポート・チケットを開いて、特定の IP アドレス・セットまたは IP 範囲の IP 許可リストを要求します。 パブリック・ネットワークとプライベート・ネットワークの許可リストは独立して管理できます。また、すべてのトラフィックをブロックするようにパブリック許可リストを設定して、すべてのトラフィックがプライベート・エンドポイントを経由するようにすることができます。 IP 許可リストは、IBM Cloudant の API およびダッシュボードの両方に適用されるので、IBM Cloudant ダッシュボードに直接アクセスする必要がある管理者の IP アドレスを含めるときには注意してください。 |
CORS | IBM Cloudant ダッシュボードまたは API を使用して、特定ドメインの CORS サポートを有効にします。 詳細については、CORS APIドキュメントを参照のこと。 |
データ損失または破壊に対する保護
IBM Cloudant には、データの品質と可用性を維持するために、以下のように多くの機能があります。
機能 | 説明 |
---|---|
冗長の永続的データ・ストレージ | デフォルトで、 IBM Cloudant は、全文書をクラスター内の 3 つの異なるノードにコピーしてディスクに保存します。 これらのコピーを保存することで、障害が発生しても、データの有効なフェイルオーバー・コピーが常に使用可能になります。 |
データ複製とエクスポート | 異なるデータ・センターや Apache CouchDB のクラスター間で、データベースを継続的に複製することができます。 もう 1 つのオプションとして、データの冗長性を向上させるために、 |
IBM Cloudant (JSON 形式)
からその他のロケーションまたはソース (お客様独自のデータ・センターなど)
にデータをエクスポートすることができます。 |