はじめに
本記事では、Verticaで利用できるセキュリティ機能の有無の一覧をご紹介します。アクセス制御
| 大項目 | 中項目 | 説明 | 有無 |
|---|---|---|---|
| ID管理 | 特権ID管理 | 複数管理者により、共用されていた特権IDを管理作業ごとに担当管理者に割り当て、利用者の特定を可能とする | × |
| データベース認証 | DBのユーザ/パスワードで認証 | ○ | |
| OS認証(DBA) | サーバにログインしたOSユーザで認証し、DBで認証しない - OSユーザとDB管理ユーザの認証を一元化する場合 | ○ | |
| パスワードファイル認証(DBA) | パスワードファイルを使用した認証 - OSユーザとDB管理ユーザの認証を別々にする場合 - リモートでDB起動/停止などを行う場合 | × | |
| 外部認証(ディレクトリサーバ等) | RADIUSやkerberos認証と連携 | ○ | |
| パスワードポリシー | パスワードの大文字/小文字、有効期限などを制限 | ○ | |
| 権限 | オブジェクト権限 | オブジェクト単位で参照、更新などの権限を付与 | ○ |
| システム権限 | データベースに対する権限を付与(ログイン権限、表作成権限etc) | ○ | |
| ロール | オブジェクト権限とシステム権限をまとめて管理を容易にする | ○ | |
| 権限分析 | 権限の利用頻度を確認する機能 | × | |
| マスキング | マスキング | 特定列のデータを全く見せない、特定列の一部のデータを見せない、などを制御(正規アクセスに対する制御) | ○ |
| ブロック | SQLインジェクション対策 | Web画面でテキスト入力欄のセキュリティホールを探し、DBデータを抜き取る手法への対策 | × |
| DB接続元の制御 | クライアント側からDBへ直接接続できるマシンを制御 (SSH経由でOSログインしてDB接続は対象外) | ○ | |
| 特権ユーザ制御 | DB内に別途セキュリティ管理者ユーザを作成し、特権ユーザの実行範囲を制御(職務分掌を実現) | × |
監査(モニタリング)
| 大項目 | 中項目 | 説明 | 有無 |
|---|---|---|---|
| 一般ユーザ監査 | アクセスログ取得 | DBに対する一般ユーザ(特権以外)のアクセスログを取得 | ○ |
| 蓄積 | 上記アクセスログを貯める仕組み | × | |
| 保全 | 貯めたアクセスログを改竄されない仕組み | × | |
| 検知・分析 | ・蓄積・保全したアクセスログを参照する仕組み ・蓄積・保全したアクセスログの中から不正とみなすアクセスを検知したり、レポーティングする仕組み | × | |
| 特権ユーザ監査 | アクセスログ取得 | DBに対する特権ユーザのアクセスログを取得 | ○ |
| 蓄積 | 上記アクセスログを貯める仕組み | × | |
| 保全 | 貯めたアクセスログを改竄されない仕組み | × | |
| 検知・分析 | ・蓄積・保全したアクセスログを参照する仕組み ・蓄積・保全したアクセスログの中から不正とみなすアクセスを検知したり、レポーティングする仕組み | × |
サーバ・データ保護
※Voltage Securityと連携することで可能| 大項目 | 中項目 | 説明 | 有無 |
|---|---|---|---|
| 通信データ暗号化 | 通信データ暗号化 | DBと送受信される通信データの暗号化 | ○ |
| 格納データ暗号化 | データファイル暗号化 | DBを構成するデータファイル群の暗号化 | × |
| バックアップ暗号化 | DB機能でバックアップしたバックアップ・ファイルの暗号化 | × | |
| パスワード暗号化 | ユーザパスワード暗号化 | DB内で管理されるパスワードの暗号化 | ○ |
その他
| 項目 | 説明 | 有無 |
|---|---|---|
| 個別セキュリティパッチ | 環境に依存しないDBソフトウェアレベルのセキュリティホール対策 | × |
※個別セキュリティパッチのリリースは無いが、バグ等の修正を含む累積パッチが定期的にリリースされます
参考情報
Verticaで利用可能なオブジェクトについてhttp://vertica-tech.ashisuto.co.jp/objects/
データベースの操作に必要な権限
http://vertica-tech.ashisuto.co.jp/authority/
Verticaの監査機能について
http://vertica-tech.ashisuto.co.jp/audit_function/
