보안 및 규제 준수
무단 액세스로부터 보호
IBM Cloud® Databases for MySQL는 다음 방법을 사용하여 전송 중이거나 저장 중인 데이터를 보호합니다.
- 모든 Databases for MySQL 연결에서는 전송 중인 데이터에 대해 TLS/SSL 암호화를 사용합니다. 이 암호화의 현재 지원되는 버전은 TLS 1.2입니다.
- 계정, 관리 콘솔 UI, API에 대한 액세스는 IAM(Identity and Access Management) 을 통해 보호됩니다.
- 데이터베이스에 대한 액세스는 데이터베이스에서 제공하는 표준 액세스 제어를 통해 보호됩니다. 이러한 액세스 제어는 데이터베이스에 대한 사전 액세스나 관리 콘솔 UI 또는 API를 통해서만 얻을 수 있는 유효한 데이터베이스 레벨 인증 정보를 요구하도록 구성됩니다.
- 모든 Databases for MySQL 스토리지는 AES-256을 사용하여 LUKS로 암호화된 스토리지에 제공됩니다. 기본 키는 Key Protect에서 관리합니다. 암호화를 위한 BYOK(Bring-Your-Own-Key)도 Key Protect 통합을 통해 사용할 수 있습니다.
- IP 허용 목록 - 모든 배치는 서비스에 대한 액세스를 제한하기 위해 IP 주소 허용 목록을 지원합니다.
- 공용 및 사설 네트워킹 - Databases for MySQL는 서비스 엔드포인트와 통합됩니다. 공용 네트워크, IBM Cloud 내부 네트워크 또는 둘 다를 통해 연결을 사용할지 여부를 선택할 수 있습니다.
- 전용 코어 - 배치에 전용 코어를 할당하면 격리된 가상 머신을 사용하여 데이터 처리가 다른 고객과 분리되도록 보장함으로써 데이터베이스 인스턴스에 하이퍼바이저 레벨의 격리가 적용됩니다. 또한 배포에 필요한 최소 CPU 수를 제공합니다. 동일한 리소스 그룹 및 IBM Cloud 지역에 전용 코어가 있는 배치는 가상 머신을 공유할 수 있습니다.
- 관리자가 아닌 사용자에게 PROCESS 또는 SUPER 권한을 부여하지 마세요.
mysqld
SUPER 권한이 있는 사용자를 위한 추가 연결을 예약해 두면 모든 일반 연결이 사용 중이더라도 MySQL 루트 사용자가 로그인하여 서버 활동을 확인할 수 있습니다. - SUPER 권한은 클라이언트 연결을 종료하고 시스템 변수 값을 변경하여 서버 조작을 변경하고 복제 서버를 제어하는 데 사용할 수 있습니다. 더 자세한 정보는 MySQL's 를 참고하세요. MySQL 를 공격자로부터 안전하게 보호하는 방법 문서를 참고하세요.
데이터 복원력
- 백업은 서비스에 포함되어 있습니다. Databases for MySQL 백업은 IBM Cloud Object Storage 또한 암호화되어 있습니다.
- Databases for MySQL 배치는 복제로 구성됩니다. 배치에는 세 개의 데이터 멤버가 있는 클러스터가 포함되어 있습니다. 모든 멤버는 반동기식 복제를 통해 데이터의 사본을 포함하고 있으며, 클러스터 상태를 유지하고 장애 조치를 처리하는 분산 합의 메커니즘을 갖추고 있습니다.
- IBM Cloud 의 단일 존 지역(SZR)에 배포하는 경우, 각 데이터베이스 구성원은 데이터 센터의 다른 호스트에 있습니다.
- IBM Cloud MZR(Multi-Zone Region)에 배치하는 경우 멤버가 지역의 가용성 구역 위치에 분산됩니다.