Tablestore は、サーバー側暗号化とクライアント側暗号化を提供し、クラウド上のデータをセキュリティリスクから保護します。Tablestore は、ゾーン冗長ストレージ (ZRS) をサポートしており、高可用性とディザスタリカバリを保証します。Cloud Backup を使用して重要なデータをバックアップすることで、誤削除や悪意のある改ざんを防ぐことができます。さらに、Tablestore は V4 署名アルゴリズムを使用してアクセスキーペアを保護し、漏洩のリスクを低減します。
データ暗号化
保管時の暗号化
Tablestore は、保管時の暗号化をサポートしており、攻撃者によるデータベースのバイパスを防ぎます。詳細については、「データ暗号化」をご参照ください。
デフォルトでは、保管時の暗号化は無効になっています。この機能を有効にするには、[テーブルの作成] ダイアログボックスで [暗号化] スイッチをオンにし、暗号化タイプを選択します。
一度有効にすると、保管時の暗号化は無効にできません。操作には十分ご注意ください。
Tablestore は、Key Management Service (KMS) キーに基づく暗号化と、Bring Your Own Key (BYOK) に基づく暗号化の 2 つの暗号化メソッドを提供します。どちらのメソッドでも、KMS から暗号鍵を取得する必要があります。
暗号化メソッド | 利用方法 | 説明 |
KMS サービスキーを使用した暗号化 |
| Tablestore は、KMS のデフォルトのサービスマネージドキーを使用してデータを暗号化し、データへのアクセス時に自動的に復号します。このメソッドを初めて使用すると、Tablestore は KMS にサービスマネージドキーを作成します。この機能は、別途 KMS インスタンスを購入しなくても利用できます。 |
カスタムキーを使用した暗号化 (Bring Your Own Key) |
| KMS コンソールで独自のキーマテリアルを使用してキーを作成すると、Tablestore はそのカスタムキーを使用してデータを暗号化します。これにより、暗号鍵を完全に制御できます。 |
転送時の暗号化
Tablestore は、Transport Layer Security (TLS) をサポートし、転送中のデータを暗号化します。Tablestore クライアントとサーバー間のすべての通信は、TLS を使用して暗号化されます。詳細については、「インスタンスアクセスのための TLS バージョンの制限」をご参照ください。
Tablestore では、カスタム RAM ポリシー、コントロールポリシー、およびその他のメソッドを使用して、アクセスに使用される TLS バージョンを制限できます。新しいバージョンの TLS ほど、より安全な暗号化アルゴリズムが使用されます。TLS 1.2 以降の使用を推奨します。詳細については、「カスタム RAM ポリシー」、「コントロールポリシーの例」、および「インスタンスポリシーの例」をご参照ください。
ディザスタリカバリ
Tablestore は、ローカル冗長ストレージ (LRS) とゾーン冗長ストレージ (ZRS) の 2 つのデータ冗長タイプを提供します。高可用性を実現するには、ZRS をサポートするリージョンを選択してください。詳細については、「ゾーン冗長ストレージ」をご参照ください。
LRS
LRS は、シングルゾーン冗長モデルを使用し、同一ゾーン内のデバイス間でデータを複製します。LRS は、ゾーン内のハードウェアデバイスに障害が発生した場合でも、データの耐久性とサービス可用性を確保するように設計されています。
LRS は、単一のアベイラビリティゾーン内にデータを格納します。そのゾーンが利用できなくなったり、ゾーン内のすべてのハードウェアが同時に故障したりすると、データにアクセスできなくなります。
ZRS
ZRS は、マルチゾーン冗長モデルを使用し、同一リージョン内の複数のゾーン間でデータを複製します。あるゾーンが利用できなくなった場合でも、ZRS はデータへのアクセスを維持します。
ZRS は、データセンターレベルのディザスタリカバリを提供します。リージョン内のゾーンで障害が発生した場合、Tablestore は強整合性を維持します。フェールオーバープロセスはユーザーに対して透過的であり、サービスの中断やデータ損失は発生しません。これにより、目標復旧時間 (RTO) 0 と目標復旧時点 (RPO) 0 を達成し、ミッションクリティカルなシステムの厳しい要件を満たします。
データのバックアップと復元
Tablestore では、Cloud Backup を使用してデータのバックアップと復元ができます。データバックアップは、ディザスタリカバリ、誤削除や悪意のある改ざん後のデータ復元、データバージョニング、法的要件およびコンプライアンス要件、データ移行などに使用できます。詳細については、「バックアップと復元」をご参照ください。
Cloud Backup は、Alibaba Cloud の統合ディザスタリカバリプラットフォームです。安全で信頼性の高いクラウドデータ管理サービスであり、ECS インスタンス、ECS データベース、ファイルシステム、NAS、OSS、Tablestore、およびオンプレミスのデータセンターにデプロイされたファイル、データベース、仮想マシン、大規模 NAS に対して、バックアップ、ディザスタリカバリ保護、ポリシーベースのアーカイブを提供します。詳細については、「Cloud Backup とは」をご参照ください。
誤削除や悪意のある改ざんなどの問題により重要なデータが利用できなくなるのを防ぐため、Tablestore のデータバックアップ機能を使用してインスタンス内のワイドカラムデータをバックアップし、データが失われたり破損したりした場合に迅速に復元できます。詳細については、「データバックアップ」、「データ復元」、および「バックアップ異常アラーム」をご参照ください。
アクセスキーペアのセキュリティ
Tablestore クライアントは、V4 署名アルゴリズムをサポートしており、アクセスキーペアから派生キーを生成します。クライアントは、この派生キーを使用してリクエストを開始します。Tablestore サーバーがリクエストを受信すると、派生キーを使用してユーザーを認証します。これにより、認証中にアクセスキーペアが送信されるのを防ぎ、キー漏洩のリスクを低減します。詳細については、「アクセスキーペアのセキュリティ」をご参照ください。