データセキュリティ
クラウドプラットフォームにおいて、データセキュリティは重要な要素であり、Zilliz Cloudも例外ではありません。Zilliz Cloudは、データを保護するために、承認と認証、ネットワークの分離、暗号化、バックアップと復元など、様々な側面で堅牢な対策を提供しています。
このトピックでは、Zilliz Cloudが各段階でデータを保護する方法の概要を説明します。
プライバシー保護付きのアカウントを登録する
Zilliz Cloudは、アカウント登録の瞬間からデータセキュリティを優先します。
ウェブコンソールでアカウントを登録する際、Zilliz Cloudはユーザーデータを保護するために暗号化技術を組み合わせて使用します。SHA-256やbcryptなどの堅牢な暗号化アルゴリズムを使用してアカウント情報を暗号化します。
さらに、Zilliz Cloudは、システム内にユーザー名とパスワードを保存しないという厳格なポリシーに従っています。このアプローチにより、万が一セキュリティ侵害が発生した場合でも、機密アカウント情報は安全に保たれます。
セキュリティを使用したクラスタの起動
アカウントが準備できたら、Zilliz Cloudコンソールにログインして、セキュリティを有効にしたクラスタを作成して実行できます。
Zilliz Cloudプラットフォームは、コントロールプレーンとカーネルプレーンの2つのプレーンで構成されています。これらのプレーンは、分離されたネットワークを持つ別々のセキュリティグループに存在しています。このような設計により、データセキュリティが強化されます。
補足として、Zilliz Cloudは、ホワイトリスト、プライベートリンク、アクセス制御、クラスタとの内部および外部通信の保護などのセキュリティ設定をサポートしています。
認証プロセス
Zilliz CloudはOAuth 2プロトコルを使用して認証を実装しており、ユーザーがクラスターリソースにアクセスまたは実行する前に、クラスター資格情報(トークン)を提供して身元を証明する必要があります。クラスター資格情報は通常、ユーザー名とパスワードのペアまたはAPIキーで構成されています。
詳細については、クラスタの認証情報(コンソール)およびAPIキーを参照してください。
アクセス制御
多くの場合、ユーザーの認証だけでは十分ではありません。また、どのユーザーがアクセス可能で、どの範囲の操作を実行できるかを制御する方法も必要です。
これらのニーズを満たすために、Zilliz Cloudはアクセス制御を可能にし、ユーザーの権限を制限し、特定のリソースにのみアクセスを許可することができます。このメカニズムにより、ユーザーはクラスターリソースと操作の権限範囲を決定する1つ以上の役割を付与されることができます。これにより、定義された権限範囲を超えた不正アクセスを防止できます。
詳しくはアクセス制御をご覧ください。
ホワイトリスト
インターネット接続の場合、Zilliz CloudはHTTPSプロトコルを使用し、IPフィルタリングを有効にするホワイトリスト機能を提供します。
クラスタのホワイトリストに特定のCIDRブロックを追加すると、指定された範囲のIPアドレスのみがクラスタにアクセスできます。インターネットへのアクセスを完全に防止するには、クラスタのホワイトリストに127.0.0.1/32を追加します。
詳しくは、ホワイトリストの設定参照してください。
プライベートリンク
インターネットを介したクラスタトラフィックを望まない場合、Zilliz Cloudはクラスタにプライベートリンクを追加することもサポートしています。このプライベートリンクは、信頼できる仮想プライベートクラウド(VPC)内のリソースのみがクラスタと通信を確立できるようにすることで、追加の保護レイヤーとして機能します。
詳細については、プライベートエンドポイントを設定する参照してください。
暗号化によるデータの保存と送信
クラスタが起動し、セキュリティ設定が適用されると、Zilliz Cloudはデータの保存と送信を安全にするためのさまざまな対策を実施します。
Zilliz Cloudでは、ベクトルデータがオブジェクトストレージ(AWSS 3またはGCS)に保存され、サーバーサイドの暗号化が有効になっています。異なるユーザーに属するデータはバケットに分離されています。さらに、Zilliz CloudはJumpServerを使用して、ログイン、クエリ、変更などのすべてのクラスターアクセス操作に対して記録を保持し、監査を実行します。これらの監査ログは、潜在的なセキュリティインシデントやデータ漏洩リスクを追跡および調査するために使用できます。
バックアップと復元
データの整合性を保護するために、Zilliz Cloudは信頼性の高いバックアップおよび復元メカニズムを提供しています。
プラットフォームは、最大保持期間が30日のごみ箱機能を備えており、誤って削除したデータを回復することができます。さらに、定期的かつ安全なデータバックアップを確保するために、自動バックアップをスケジュールすることができます。
詳細については、「バックアップと復元」を参照してください。
要約する
要約すると、Zilliz Cloudは、暗号化技術、認証プロトコル、アクセス制御、ホワイトリスト、プライベートリンク、サーバーサイド暗号化、監査ログ、バックアップおよび復元メカニズムを使用して、データの機密性、完全性、可用性を確保するために、すべての段階でデータセキュリティを優先します。