データセキュリティ
データセキュリティはZilliz Cloudの核となる要素です。このドキュメントでは、Zilliz Cloudがデータを包括的に保護するために実装する主要な対策とポリシーをまとめています。
アカウントとプライバシーの保護
Zilliz Cloudは、登録時からユーザーのデータを保護するため以下の対策を実施:
-
先進的な暗号アルゴリズム(SHA-256、bcrypt)を使用。
-
ユーザー名とパスワードの内部ストレージに対する厳格なポリシーを遵守。
BYOCにおけるVPC分離
Zillizは、BYOCソリューションにおいてお客様のVPCと当社のVPCの間で分離を実装し、データセキュリティを確保しています。詳細については、BYOC概要のセキュリティ保証を参照してください。
データ分離とレジデンシー
Zilliz Cloudは、クラスターのために堅牢な分離と保護を提供します:
-
複数のデータレジデンスオプション:希望のクラウドプロバイダーおよびリージョンでクラスターを作成できます。
-
専用ネームスペース:各専用クラスターは、カスタマイズされたネットワークポリシーを持つ分離されたネームスペースで動作します。
-
個別のストレージ:データは専用のオブジェクトストレージバケットに個別に保存されます。
-
個別のVPCまたはサブネット:コントロールプレーン(管理タスク)とデータプレーン(運用処理)は、個別に分離されたVPCまたはサブネットに配置されます。
認証
Zilliz Cloudは、安全なユーザー認証のためにOAuth0を使用:
-
シングルサインオン(SSO)をサポート。
-
マルチファクタ認証(MFA)をサポート。
-
APIキーおよびクラスタークレデンシャルを通じてクラスターへのアクセスを提供。
詳細については、認証を参照してください。
アクセス制御
粒度の高いロールベースのアクセス制御:
-
階層的な権限(組織、プロジェクト、クラスター)。
-
権限割り当てを簡略化するための事前定義されたロール。
-
コンソール上での直感的な操作と、アプリからのプログラムによるアクセスの両方を提供。
詳細については、アクセス制御を参照してください。
安全なネットワークアクセス
Zilliz Cloudは、ネットワーク通信を以下の手段で保護:
-
IP許可リスト:アクセスを制限するために許可されたIP範囲(CIDRブロック)を定義。
-
プライベートリンク:お客様のVPCとZilliz Cloudコントロールプレーンとの間に安全でプライベートな接続を確立。
データ暗号化
送信中
-
TLS 1.2以上を使用したHTTPS/gRPC。
-
AES-256暗号化により安全なデータ転送を確保。
保存時
- ディスク/オブジェクトストレージに保存されるデータは、AES-256(256ビット高度暗号化標準)暗号化アルゴリズムを使用して暗号化されます。
監査ログとモニタリング
監査ログを通して可視性と説明責任を維持:
-
コントロールプレーンとデータプレーンの両方にわたるアクティビティを記録。
-
ログを直接お客様のストレージソリューションにストリーミング。
-
ログ分析のためにサードパーティツールを活用。
詳細については、監査を参照してください。
データ整合性とバックアップ
データ可用性と回復を確保:
-
自動および手動のバックアップオプション。
-
データ復元のためのごみ箱機能(定義された保持期間あり)。
詳細については、バックアップとリストアおよびごみ箱の利用を参照してください。
証明書とTLS
Zilliz Cloudは安全な接続を確保:
-
Let's EncryptおよびAWS Certificate ManagerをSSL証明書に使用。
-
有効期限の30日前に証明書を自動更新(有効期間:90日)。
-
TLS 1.2以上のみをサポート。
双方向TLS(mTLS)は現在ご利用いただけません。
まとめ
Zilliz Cloudは常にデータセキュリティを最優先事項としています。包括的な暗号化、厳格な認証、堅牢なアクセス制御、プライベートネットワーキング、および一貫した監査実践を通じてデータセキュリティを重視し、データの機密性、完全性、可用性を維持しています。