セキュリティーおよびコンプライアンス
無許可アクセスからの保護
IBM Cloud® Databases for MySQL は、以下の方法を使用して、転送中またはストレージ内のデータを保護します。
- すべての Databases for MySQL 接続で、転送中のデータに対して TLS/SSL 暗号化を使用します。 この暗号化の現在サポートされているバージョンは、TLS 1.2 です。
- アカウント、管理コンソールUI、およびAPIへのアクセスは 、 Identity and Access Management (IAM) によって保護されています。
- データベースへのアクセスは、データベースで提供される標準的なアクセス制御によって保護されます。 このアクセス制御は、データベースへの事前アクセス、あるいは管理コンソール UI または API によってのみ取得できるデータベース・レベルの有効な資格情報を必要とするように構成されています。
- Databases for MySQL のすべてのストレージは、AES-256 を使用する LUKS で暗号化されたストレージ上で提供されます。 デフォルトの鍵は Key Protect によって管理されます。 暗号化のための Bring Your Own Key (BYOK) も、Key Protect 統合によって利用できます。
- IP 許可リスティング - すべてのデプロイメントは、サービスへのアクセスを制限するための IP アドレスの許可リスティングをサポートしています。
- パブリック・ネットワークとプライベート・ネットワーク - Databases for MySQL は、サービス・エンドポイントと統合されています。 パブリック・ネットワークを介した接続を使用するか、IBM Cloud 内部ネットワークを介した接続を使用するか、あるいはその両方を介した接続を使用するかを選択できます。
- 専用コア - デプロイメントに専用コアを割り振ると、ハイパーバイザー・レベルの分離がデータベース・インスタンスに導入されます。これは、分離された仮想マシンを使用して、お客様のデータ処理を他のお客様から切り離しておくことによって実現しています。 また、デプロイに必要な最小限のCPU数も提供します。 同じリソース・グループと IBM Cloud リージョンに含まれる専用コアを使用する複数のデプロイメントが 1 つの仮想マシンを共有することがあります。
- 管理者権限のないユーザーに PROCESS権限 または SUPER権限 を付与しないでください。
mysqldは、SUPER権限を持つユーザーのために予備の接続を確保しています。これにより、通常の接続がすべて使用されている場合でも、 MySQL のrootユーザーがログインしてサーバーの動作を確認することができます。 - SUPER 特権を使用すると、クライアント接続の終了、システム変数の値の変更によるサーバー操作の変更、およびレプリケーション・サーバーの制御を行うことができます。 詳細については、 MySQL's をご覧ください 。 MySQL を攻撃者に対して安全にするための ドキュメント。
データ・レジリエンス
- バックアップは サービスに含まれています。 Databases for MySQL のバックアップは IBM Cloud Object Storage、また 暗号化されています。
- Databases for MySQL のデプロイメントにはレプリケーションが構成されています。 デプロイメントには、3 つのデータ・メンバーを持つクラスターが含まれています。 すべてのメンバーは、 準同期レプリケーションにより、クラスタの状態を維持し、フェイルオーバーを処理する分散合意メカニズムを通じて、あなたのデータのコピーを含んでいます。
- IBM Cloud シングルゾーンリージョン(SZR)にデプロイする場合、各データベースメンバーはデータセンター内の異なるホスト上にあります。
- IBM Cloud マルチゾーン・リージョン (MZR) にデプロイすると、メンバーはリージョンのアベイラビリティー・ゾーンのロケーションに分散されます。