Zu Hauptinhalt springen Skip to complementary content

Mandantenverschlüsselung

Wenn ein Mandant erstellt wird, verwendet Qlik Cloud mehrere Sicherheitsebenen zum Schützen Ihrer Daten. Standardmäßig wird jeder Mandant mittels eines Satzes eindeutig erstellter Verschlüsselungsschlüssel von anderen Mandanten getrennt. Diese Schlüssel werden vom Qlik-Verschlüsselungsdienst verwaltet, um Inhalte im Mandanten zu verschlüsseln. Die Schlüssel der einzelnen Mandanten sind von den Schlüsseln getrennt, die von Qlik zum Sichern der Dienst-zu-Dienst-Kommunikation verwendet werden.

Qlik Cloud verwendet die folgenden Verschlüsselungsstandards:

  • In Übertragung: TLS 1.2-Verschlüsselung

  • Ruhend: AES-256-GCM-Verschlüsselung

  • Innerhalb der Plattform (nach Authentifizierung bei einem designierten IdP): Signierte JSON-Web-Token (JWTs) zum Gewährleisten von Integrität, Authentizität und Unleugbarkeit

Kundenverwaltete Schlüssel (CMK)

Einige stark regulierte Branchen wie der Gesundheitssektor müssen strenge Vorschriften für Sicherheit und Compliance einhalten. Darüber hinaus nutzen viele gewerbliche Kunden Datenklassifizierungen für ihre marktrisikoempfindlichen Daten, um zu prüfen, ob für bestimmte Datensätze weitere Sicherheitstechniken erforderlich sind. Zu diesen strengeren Sicherheitsanforderungen kann die Anforderung zählen, die Verschlüsselungsschlüssel zu kontrollieren, die zum Verschlüsseln und Entschlüsseln vertraulicher Cloud-Daten verwendet werden. Qlik Cloud ermöglicht Ihnen die Nutzung von Kundenverwaltete Schlüssel und das Mitbringen Ihrer eigenen Schlüssel (BYOK) als Verschlüsselungsoptionen für die Sicherung der ruhenden Daten Ihres Mandanten innerhalb der Qlik Cloud.

Verschlüsselung mit CMK wird auf Mandantenebene angewendet. Mandantenadministratoren können die Mandantenverschlüsselung für die Verwendung eines CMK konfigurieren. Qlik Cloud unterstützt die folgenden Schlüsselmanagement-Dienstanbieter (KMS-Anbieter):

  • Interner Qlik-KMS (Standard)

  • Amazon Web Services (AWS) KMS

InformationshinweisQlik Forts, Qlik Sense Mobile SaaS und Daten-Gateway – direkter Zugriff unterstützen oder verwenden keine Verschlüsselung mit CMK. CMK unterstützt Verschlüsselung nur auf Mandantenebene für gespeicherte, ruhende Mandantendaten. CMK wird nicht für die Verschlüsselung von Daten in Übertragung oder für ruhende Daten auf einem Mobilgerät, Fort oder Daten-Gateway verwendet.
InformationshinweisCMK ist in Qlik Sense Business nicht verfügbar.

Kundenverwaltete Schlüssel und HIPAA

Qlik Cloud kann persönliche Gesundheitsinformationen hosten, die den Vorschriften des US Health Insurance Portability and Accountability Act (USA) aus dem Jahr 1996 (HIPAA) unterliegen, vorausgesetzt, die Kunden verwenden Kundenverwaltete Schlüssel und unterzeichnen einen HIPAA-Geschäftspartnervertrag. Qlik Cloud kann Kunden bei ihren Anforderungen bezüglich der HIPAA-Vorschriften unterstützen; die Kunden, die Qlik Cloud nützen, sind aber selbst für die HIPAA-Konformität verantwortlich. Die Verwendung von Kundenverwaltete Schlüssel ist obligatorisch, um persönliche Gesundheitsinformationen in Qlik Cloud zu speichern. Weitere Informationen finden Sie unter Vertrauen und Sicherheit bei Qlik.

Übersicht über die Qlik Cloud-Verschlüsselungsarchitektur

Das folgende Diagramm bietet eine Übersicht über den Qlik Cloud-Verschlüsselungsdienst, mit dem Daten im Mandanten verschlüsselt werden. Wenn Ihr Mandant für CMK mit AWS KMS konfiguriert ist, ruft der Verschlüsselungsdienst jedes Mal, wenn ein Dienst in Qlik Cloud Daten verschlüsseln oder entschlüsseln muss, AWS KMS auf und verwendet Ihren AWS KMS-Schlüssel. Andernfalls werden Mandantendaten standardmäßig mit den von Interner Qlik-KMS generierten Datenschlüsseln verschlüsselt.

Qlik Cloud-Verschlüsselungsarchitektur mit CMK

Mandantenverschlüsselung mit „Bring your own key“

Kundenverantwortlichkeit mit Kundenverwaltete Schlüssel

Mit CMK haben die Kunden vollständige Kontrolle über ihre Schlüssel. Die Organisation des Kunden ist für das Erstellen, Pflegen und Verwalten aller Aspekte des Schlüssel-Lebenszyklus verantwortlich. Dazu gehören die folgenden Bereiche:

Schlüsseleinrichtung in AWS KMS

  • Erstellen eines AWS-Kontos und Verwenden von KMS.

  • Erstellen von Schlüsseln und Festlegen von AWS KMS-Schlüsselverwaltungsrichtlinien im Zusammenhang mit IAM-Berechtigungen und -Rollen sowie Definieren, wer Funktionen wie das Erstellen, Deaktivieren und Löschen von Schlüsseln durchführen kann.

Schlüsselverwaltung in AWS KMS

Nachdem Sie Ihren Mandanten für die Verwendung eines AWS KMS-Schlüssels zum Verschlüsseln von ruhenden Daten konfiguriert haben, sind Sie für die Verwaltung des Schlüssels verantwortlich. Achten Sie unbedingt darauf, Ihren AWS KMS-Schlüssel vor versehentlichem Löschen oder Deaktivieren zu schützen. Qlik empfiehlt, einen Prozess für diese und andere Schlüsselverwaltungsfunktionen einzurichten. Da es sich um vom Kunden kontrollierte Schlüssel handelt, kann Qlik Cloud nicht verhindern, dass Sie Ihren CMK deaktivieren.

  • Deaktivieren eines AWS KMS-Schlüssels. Mit dieser Aktion wird vorübergehend verhindert, dass Qlik Cloud API-Aufrufe an AWS KMS vornimmt, um Datenschlüssel (für die Verschlüsselung) zu generieren und Vorgänge zu entschlüsseln. Wenn beispielsweise ein geplanter Ladevorgang oder eine Aufgabe, die im Hintergrund in Qlik Cloud ausgeführt wird, eine Datenverschlüsselung oder -entschlüsselung benötigt, schlägt dieser Vorgang fehl, solange der Schlüssel (bzw. der Zugriff auf den Schlüssel) deaktiviert ist. Wenn der Schlüssel wieder aktiviert wird, wird auch der Zugriff auf den Mandanten wieder aktiviert.

  • Löschen eines AWS KMS-Schlüssels. Dadurch wird der Qlik Cloud- Mandant dauerhaft deaktiviert. Wenn Sie die Löschung eines Schlüssels planen, wird der Mandant sofort in den deaktivierten Modus versetzt. Dadurch wird der Zugriff auf die Schlüssel verhindert und der Mandant gesperrt. AWS KMS verfügt über einen umfassenden Kontrollprozess für das Löschen von Schlüsseln, den Sie an Ihre Erfordernisse anpassen können. Sie können z. B. einen Wartezeitraum festlegen, bevor der Schlüssel gelöscht wird, und Alarme nutzen, oder Sie können das Löschen während des Wartezeitraums abbrechen.

  • Wechseln von Schlüsseln in AWS KMS. Beim Definieren Ihres Schlüssels können Sie die AWS KMS-Option für Automatisches Wechseln von Schlüsseln verwenden, wenn Sie Ihren Schlüssel definieren. Damit wird einmal im Jahr neues kryptografisches Material für den KMS-Schlüssel generiert. AWS KMS speichert alle vorherigen Versionen des kryptografischen Materials, sodass Sie alle mit diesem KMS-Schlüssel verschlüsselten Daten entschlüsseln können. AWS KMS löscht gewechseltes Schlüsselmaterial erst dann, wenn der KMS-Schlüssel gelöscht wurde. Da AWS KMS transparent mit dem entsprechenden Schlüsselmaterial entschlüsselt, können Sie einen gewechselten KMS-Schlüssel auf sichere Weise verwenden, und dies wirkt sich nicht auf Ihre Qlik Cloud Kundenverwaltete Schlüssel-Integration aus.

  • Überwachen der Schlüsselverwendung: Erwägen Sie die Verwendung von KMS-Schlüsselüberwachungs-Tools wie AWS CloudTrail, um Verschlüsselungsvorgänge zu überwachen.

  • Kontrolle des Schlüsselzugriffs: Sichern Sie die Schlüsselrichtlinie, um unerwünschten Zugriff oder Änderungen zu vermeiden.

  • Gewährleisten der Schlüsselverfügbarkeit: Stellen Sie sicher, dass der Schlüssel aktiv ist. Verhindern Sie Aktionen, die zu Zugriffsverlust führen könnten. Ähnlich wie bei anderen AWS-Diensten werden Mandantendaten nicht verfügbar, wenn der Zugriff auf AWS KMS unterbrochen wird. AWS KMS bietet integrierte Resilienz über Regionen und Hochverfügbarkeitszonen hinweg, um Redundanzen der Infrastruktur zu erzielen. Weitere Informationen über AWS KMS-Sicherheit finden Sie unter Resilienz im AWS Key Management Service.

Weitere Informationen finden Sie in der Dokumentation zu AWS KMS.

Einschränkungen und Überlegungen zu CMK

Im folgenden Abschnitt werden Einschränkungen und Überlegungen zu CMK in Qlik Cloud beschrieben:

  • Der Mandant (neu oder vorhanden) darf keinerlei Daten enthalten, wenn Sie die Mandantenverschlüsselung zum Verwenden von CMK konfigurieren. Sie erhalten beim Konfigurieren einen Fehler, wenn Daten im Mandanten vorhanden sind. Sie können aber Ihren IdP einrichten, bevor Sie die Verschlüsselung konfigurieren.
  • Nachdem Sie den Mandanten für die Verwendung Ihres eigenen CMK konfiguriert haben, können Sie nicht mehr zur Verwendung von Interner Qlik-KMS-Verschlüsselung zurückwechseln.

  • Das Erstellen eines neuen KMS-Schlüssels für die Verwendung in einem Qlik-Mandanten, der für CMK konfiguriert ist, wird in dieser Version nicht unterstützt.

  • CMK unterstützt nur AWS KMS als externen Schlüsselanbieter.

  • CMK unterstützt nur symmetrische Verschlüsselungsschlüssel.

  • CMK unterstützt Schlüssel für einzelne Regionen.

  • Kundenverwaltete Schlüssel ist für Qlik Forts, Qlik Mobile Client, Daten-Gateway – direkter Zugriff oder Qlik Sense Business nicht verfügbar.