Vercel Sandbox でホスト型 Postgres データベースへの接続が可能に
Vercel はサンドボックス環境における Postgres データベース接続の TLS ネゴシエーションフローを調整し、SNI フィルタリング下でも安全な接続を可能にする機能を追加した。
キーポイント
Postgres の TLS フローへの対応
従来のサンドボックスファイアウォールは Postgres の特殊な TLS アップグレード順序(TCP 接続後に TLS 化)に対応できず失敗していたが、新しい機能でこのフローを検知・待機できるようになった。
主要ホストドメインのサポート拡大
Neon, Supabase, AWS RDS, Nile, Prisma Postgres など、主要なホスト型 Postgres データベースへの接続が許可されるようになった。
セキュリティ要件と制限事項
ドメインベースのルールには TLS 必須(sslmode=require 以上)であり、GSSAPI 暗号化の一部モードや、TLS 非対応環境へのサイレントフォールバックはサポートされない。
影響分析・編集コメントを表示
影響分析
この更新により、Vercel のサンドボックス環境を利用する開発者は、外部データベースとの連携においてより柔軟かつ安全にネットワークポリシーを適用できるようになります。特に、TLS を必須とする現代のクラウドネイティブな DB サービスとの統合がスムーズになり、セキュリティリスクを低減したままの開発・テストフローが実現されます。
編集コメント
Vercel のサンドボックス機能が、Postgres という特定のデータベースプロトコルの複雑な挙動にまで対応を深めた点は、開発者体験の向上において非常に重要なステップです。セキュリティと利便性のバランスを適切に保ちながら、クラウドネイティブな DB 連携の障壁を取り払っています。
Vercel Sandbox では、Neon、Supabase、AWS RDS、Nile、Prisma Postgres を含むホストされた Postgres データベースへの接続が可能になりました。接続を有効にするには、データベースのホスト名を Sandbox の許可ドメインリストに追加してください。
背景
Vercel Sandbox で SNI に基づくフィルタリングを使用する場合、サンドボックスファイアウォールは接続時の TLS ハンドシェーク中にドメイン名を確認することで、アウトバウンドネットワークアクセスを制限します。これは、接続の開始時にドメインが確認できる HTTPS トラフィックではシームレスに機能します。
しかし、Postgres は TLS のネゴシエーション方法が異なります。Postgres クライアントはまず平文の TCP 接続を開き、その後 TLS へアップグレードします。ドメイン名がファイアウォールが最初に必要とする時点で利用できないため、標準的なドメイン制限付き Sandbox を介した Postgres 接続は失敗します。
変更点
Sandbox ファイアウォールは now、Postgres の TLS ネゴシエーションフローに対応するようになりました。プロトコルの起動シーケンスを検出し、TLS アップグレードを待ってから、ドメインポリシーを適用し、その後データベースへの接続を転送します。コードやデータベース設定に変更を加える必要はありません。
ホストされたデータベースへの接続
以下に完全な例を示します:Sandbox を作成し、Postgres クライアントをインストールし、ネットワークをデータベースのホストのみに対してロックダウンし、クエリを実行します。
知っておくべき重要事項
TLS の使用が必須です:ドメインベースのルールは、TLS ハンドシェーク時にホスト名が表示される必要があるため、クライアントは sslmode=require 以上で接続する必要があります。データベースが TLS をサポートしていない場合は、IP レンジによる許可に切り替えることができます。ほとんどのマネージド Postgres プロバイダではデフォルトで TLS が要求されます。
GSSAPI 暗号化はサポートされていません:gssencmode=prefer を使用するクライアントは自動的に TLS にフォールバックしますが、gssencmode=require の場合は接続できません。
サイレントなダウングレードはありません:クライアントが sslmode=prefer を使用している場合でも、データベースが TLS をサポートしていないと、平文への自動的なフォールバックではなく接続エラーが発生します。
Sandbox ファイアウォールに関する詳細情報はこちら。
さらに詳しく読む
原文を表示
Vercel Sandbox can now connect to hosted Postgres databases, including Neon, Supabase, AWS RDS, Nile, and Prisma Postgres. To enable a connection, add the database host to your Sandbox's allowed domains.
Background
When SNI based filtering is used with Vercel Sandbox, the sandbox firewall restricts outbound network access by checking the domain name during a connection's TLS handshake. This works seamlessly for HTTPS traffic, where the domain is visible at the start of the connection.
Postgres, however, negotiates TLS differently. A Postgres client first opens a plain TCP connection and then upgrades to TLS. Because the domain isn't available when the firewall first needs it, Postgres connections through a standard domain-restricted Sandbox would fail.
What changed
The Sandbox firewall now adjusts for the Postgres TLS negotiation flow. It detects the protocol's startup sequence, waits for the TLS upgrade, and then applies your domain policy before forwarding the connection to the database. No changes are needed to your code or database configuration.
Connecting to hosted database
Here's a full example: create a Sandbox, install a Postgres client, lock down the network to only the database host, and run a query.
Important to know
TLS is required: Domain-based rules rely on the hostname being visible during the TLS handshake, so clients must connect with sslmode=require or higher. If your database doesn't support TLS, you can allow it by IP range instead. Most managed Postgres providers require TLS by default.
GSSAPI encryption is not supported: Clients using gssencmode=prefer will fall back to TLS automatically; gssencmode=require will not connect.
No silent downgrades: If a client uses sslmode=prefer and the database doesn't support TLS, the connection will fail rather than silently falling back to plain-text.
Learn more about the Sandbox firewall.
Read more
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み