Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

Mandantenverschlüsselung

Wenn ein Mandant erstellt wird, verwendet Qlik Cloud mehrere Sicherheitsebenen zum Schützen Ihrer Daten. Standardmäßig wird jeder Mandant mittels eines Satzes eindeutig erstellter Verschlüsselungsschlüssel von anderen Mandanten getrennt. Diese Schlüssel werden vom Qlik-Verschlüsselungsdienst verwaltet, um Inhalte im Mandanten zu verschlüsseln. Die Schlüssel der einzelnen Mandanten sind von den Schlüsseln getrennt, die von Qlik zum Sichern der Dienst-zu-Dienst-Kommunikation verwendet werden.

Qlik Cloud verwendet die folgenden Verschlüsselungsstandards:

  • In Übertragung: TLS 1.2-Verschlüsselung

  • Ruhend: AES-256-GCM-Verschlüsselung

  • Innerhalb der Plattform (nach Authentifizierung bei einem designierten IdP): Signierte JSON-Web-Token (JWTs) zum Gewährleisten von Integrität, Authentizität und Unleugbarkeit

Kundenverwaltete Schlüssel (CMK)

Einige stark regulierte Branchen wie der Gesundheitssektor müssen strenge Vorschriften für Sicherheit und Compliance einhalten. Darüber hinaus nutzen viele gewerbliche Kunden Datenklassifizierungen für ihre marktrisikoempfindlichen Daten, um zu prüfen, ob für bestimmte Datensätze weitere Sicherheitstechniken erforderlich sind. Zu diesen strengeren Sicherheitsanforderungen kann die Anforderung zählen, die Verschlüsselungsschlüssel zu kontrollieren, die zum Verschlüsseln und Entschlüsseln vertraulicher Cloud-Daten verwendet werden. Qlik Cloud ermöglicht Ihnen die Nutzung von Kundenverwaltete Schlüssel und das Mitbringen Ihrer eigenen Schlüssel (BYOK) als Verschlüsselungsoptionen für die Sicherung der ruhenden Daten Ihres Mandanten innerhalb der Qlik Cloud.

Verschlüsselung mit CMK wird auf Mandantenebene angewendet. Mandantenadministratoren können die Mandantenverschlüsselung für die Verwendung eines CMK konfigurieren. Qlik Cloud unterstützt die folgenden Schlüsselmanagement-Dienstanbieter (KMS-Anbieter):

  • Interner Qlik KMS (Standard)

  • Amazon Web Services (AWS) KMS

InformationshinweisQlik Sense Mobile SaaS, Data Gateway - Direct Access und Data Gateway - Data Movement unterstützen oder verwenden keine Verschlüsselung mit CMK. CMK unterstützt Verschlüsselung nur auf Mandantenebene für gespeicherte, ruhende Mandantendaten. CMK wird nicht für die Verschlüsselung von Daten in Übertragung oder für ruhende Daten auf einem Mobilgerät oder Daten-Gateway verwendet.
InformationshinweisCMK ist in Qlik Sense Business nicht verfügbar.

Kundenverwaltete Schlüssel und HIPAA

Qlik Cloud kann persönliche Gesundheitsinformationen hosten, die den Vorschriften des US Health Insurance Portability and Accountability Act (USA) aus dem Jahr 1996 (HIPAA) unterliegen, vorausgesetzt, die Kunden verwenden Kundenverwaltete Schlüssel und unterzeichnen einen HIPAA-Geschäftspartnervertrag. Qlik Cloud kann Kunden bei ihren Anforderungen bezüglich der HIPAA-Vorschriften unterstützen; die Kunden, die Qlik Cloud nützen, sind aber selbst für die HIPAA-Konformität verantwortlich. Die Verwendung von Kundenverwaltete Schlüssel ist obligatorisch, um persönliche Gesundheitsinformationen in Qlik Cloud zu speichern. Weitere Informationen finden Sie unter Vertrauen und Sicherheit bei Qlik.

Übersicht über die Qlik Cloud-Verschlüsselungsarchitektur

Das folgende Diagramm bietet eine Übersicht über den Qlik Cloud-Verschlüsselungsdienst, mit dem Daten im Mandanten verschlüsselt werden. Wenn Ihr Mandant für CMK mit AWS KMS konfiguriert ist, ruft der Verschlüsselungsdienst jedes Mal, wenn ein Dienst in Qlik Cloud Daten verschlüsseln oder entschlüsseln muss, AWS KMS auf und verwendet Ihren AWS KMS-Schlüssel. Andernfalls werden Mandantendaten standardmäßig mit den von Interner Qlik KMS generierten Datenschlüsseln verschlüsselt.

Qlik Cloud-Verschlüsselungsarchitektur mit CMK

Mandantenverschlüsselung mit „Bring your own key“

Kundenverantwortlichkeit mit Kundenverwaltete Schlüssel

Mit CMK haben die Kunden vollständige Kontrolle über ihre Schlüssel. Die Organisation des Kunden ist für das Erstellen, Pflegen und Verwalten aller Aspekte des Schlüssel-Lebenszyklus verantwortlich. Dazu gehören die folgenden Bereiche:

Schlüsseleinrichtung in AWS KMS

  • Erstellen eines AWS-Kontos und Verwenden von KMS.

  • Erstellen von Schlüsseln und Festlegen von AWS KMS-Schlüsselverwaltungsrichtlinien im Zusammenhang mit IAM-Berechtigungen und -Rollen (Identity and Access Management) sowie Definieren, wer Funktionen wie das Erstellen, Deaktivieren und Löschen von Schlüsseln durchführen kann.

Schlüsselverwaltung in AWS KMS

Nachdem Sie Ihren Mandanten für die Verwendung eines AWS KMS-Schlüssels zum Verschlüsseln von ruhenden Daten konfiguriert haben, sind Sie für die Verwaltung des Schlüssels verantwortlich. Achten Sie unbedingt darauf, Ihren AWS KMS-Schlüssel vor versehentlichem Löschen oder Deaktivieren zu schützen. Qlik empfiehlt, einen Prozess für diese und andere Schlüsselverwaltungsfunktionen einzurichten. Da es sich um vom Kunden kontrollierte Schlüssel handelt, kann Qlik Cloud nicht verhindern, dass Sie Ihren CMK deaktivieren.

  • Deaktivieren eines AWS KMS-Schlüssels. Mit dieser Aktion wird vorübergehend verhindert, dass Qlik Cloud API-Aufrufe an AWS KMS vornimmt, um Datenschlüssel (für die Verschlüsselung) zu generieren und Vorgänge zu entschlüsseln. Wenn beispielsweise ein geplanter Ladevorgang oder eine Aufgabe, die im Hintergrund in Qlik Cloud ausgeführt wird, eine Datenverschlüsselung oder -entschlüsselung benötigt, schlägt dieser Vorgang fehl, solange der Schlüssel (bzw. der Zugriff auf den Schlüssel) deaktiviert ist. Wenn der Schlüssel wieder aktiviert wird, wird auch der Zugriff auf den Mandanten wieder aktiviert.

  • Löschen eines AWS KMS-Schlüssels. Dadurch wird der Qlik Cloud- Mandant dauerhaft deaktiviert. Wenn Sie die Löschung eines Schlüssels planen, wird der Mandant sofort in den deaktivierten Modus versetzt. Dadurch wird der Zugriff auf die Schlüssel verhindert und der Mandant gesperrt. AWS KMS verfügt über einen umfassenden Kontrollprozess für das Löschen von Schlüsseln, den Sie an Ihre Erfordernisse anpassen können. Sie können z. B. einen Wartezeitraum festlegen, bevor der Schlüssel gelöscht wird, und Alarme nutzen, oder Sie können das Löschen während des Wartezeitraums abbrechen.

  • Wechseln von Schlüsseln in AWS KMS. Beim Definieren Ihres Schlüssels können Sie die AWS KMS-Option für Automatisches Wechseln von Schlüsseln verwenden, wenn Sie Ihren Schlüssel definieren. Damit wird einmal im Jahr neues kryptografisches Material für den KMS-Schlüssel generiert. AWS KMS speichert alle vorherigen Versionen des kryptografischen Materials, sodass Sie alle mit diesem KMS-Schlüssel verschlüsselten Daten entschlüsseln können. AWS KMS löscht gewechseltes Schlüsselmaterial erst dann, wenn der KMS-Schlüssel gelöscht wurde. Da AWS KMS transparent mit dem entsprechenden Schlüsselmaterial entschlüsselt, können Sie einen gewechselten KMS-Schlüssel auf sichere Weise verwenden, und dies wirkt sich nicht auf Ihre Qlik CloudKundenverwaltete Schlüssel-Integration aus. Beachten Sie, dass dies nicht dasselbe wie ein vollständig neuer AWS-Schlüssel und eine Änderung des Qlik CMK-Schlüsselanbieters zu diesem neuen Schlüssel ist, was eine vollständige Neuverschlüsselung des Mandanten erfordert. Weitere Informationen finden Sie unter Konfigurieren der Mandantenverschlüsselung.

  • Überwachen der Schlüsselverwendung: Erwägen Sie die Verwendung von KMS-Schlüsselüberwachungs-Tools wie AWS CloudTrail, um Verschlüsselungsvorgänge zu überwachen.

  • Kontrolle des Schlüsselzugriffs: Sichern Sie die Schlüsselrichtlinie, um unerwünschten Zugriff oder Änderungen zu vermeiden.

  • Gewährleisten der Schlüsselverfügbarkeit: Stellen Sie sicher, dass der Schlüssel aktiv ist. Verhindern Sie Aktionen, die zu Zugriffsverlust führen könnten. Ähnlich wie bei anderen AWS-Diensten werden Mandantendaten nicht verfügbar, wenn der Zugriff auf AWS KMS unterbrochen wird. AWS KMS bietet integrierte Resilienz über Regionen und Hochverfügbarkeitszonen hinweg, um Redundanzen der Infrastruktur zu erzielen. Weitere Informationen über AWS KMS-Sicherheit finden Sie unter Resilienz im AWS Key Management Service.

Weitere Informationen finden Sie in der Dokumentation zu AWS KMS.

Umstellung von Schlüssel für einzelne Regionen auf Schlüssel für mehrere Regionen

Kundenverwaltete Schlüssel unterstützt Schlüssel für mehrere Regionen für Notfallwiederherstellungsprozesse. Wenn Sie derzeit einen Schlüssel für einzelne Regionen verwenden, sollten Sie einen Schlüssel für mehrere Regionen erstellen, um Ihren Mandanten nahtlos in einer Backup-Region verwenden zu können, falls es zu einem Ausfall in Ihrer primären Region kommt.

Weitere Informationen zum Erstellen eines Schlüssels für mehrere Regionen finden Sie unter AWS KMS-Schlüssel für mehrere Regionen zur Notfallwiederherstellung.

InformationshinweisWenn Sie während der Schlüsselrotation einen neuen Schlüssel verwenden, müssen Sie ein Setup für Schlüssel für mehrere Regionen verwenden.

Einschränkungen und Überlegungen zu CMK

Im folgenden Abschnitt werden Einschränkungen und Überlegungen zu CMK in Qlik Cloud beschrieben:

  • Nachdem Sie den Mandanten für die Verwendung Ihres eigenen CMK konfiguriert haben, können Sie nicht mehr zur Verwendung von Interner Qlik KMS-Verschlüsselung zurückwechseln oder den Schlüssel zu einem anderen CMK ändern.

  • CMK unterstützt nur AWS KMS als externen Schlüsselanbieter.

  • CMK unterstützt nur symmetrische Verschlüsselungsschlüssel.

  • CMK hat von Schlüsseln für einzelne Regionen auf Schlüssel für mehrere Regionen umgestellt, um Notfallwiederherstellungsprozesse zu unterstützen.

  • Kundenverwaltete Schlüssel ist für Qlik Mobile Client, Data Gateway - Direct Access oder Qlik Sense Business nicht verfügbar.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!