Saltar al contenido principal Skip to complementary content

Cifrado del espacio empresarial inquilino

Cuando se crea un espacio empresarial inquilino, Qlik Cloud utiliza varias capas de seguridad para proteger sus datos. De forma predeterminada, cada espacio empresarial inquilino está separado de los demás espacios empresariales inquilinos por un conjunto de claves de cifrado generado de forma exclusiva, que es administrado por el servicio de cifrado de Qlik para encriptar el contenido del espacio empresarial inquilino. Las claves de cada espacio empresarial inquilino están separadas de las claves que Qlik utiliza para proteger la comunicación de servicio a servicio.

Qlik Cloud utiliza los siguientes estándares de cifrado:

  • En tránsito: cifrado TLS 1.2

  • En reposo: cifrado AES-256-GCM

  • Dentro de la plataforma (después de la autenticación con un IdP designado): tokens web JSON (JWT) firmados para garantizar la integridad, la autenticidad y el no repudio

Claves administradas por el cliente (CMK)

Algunos sectores muy regulados, como el de la sanidad, deben cumplir estrictas normativas de seguridad y conformidad. Además, muchos clientes comerciales aprovechan los enfoques de clasificación de datos para sus datos sensibles al mercado para determinar si se requieren técnicas de seguridad adicionales para conjuntos de datos específicos. Estos requisitos de seguridad más estrictos podrían incluir la exigencia de controlar las claves de cifrado que se utilizan para cifrar y descifrar los datos sensibles de la nube. Qlik Cloud le permite utilizar Claves administradas por el cliente para traer su propia clave (BYOK) como opción de encriptación para asegurar los datos de su espacio empresarial inquilino en la nube de Qlik.

El cifrado con CMK se aplica a nivel del espacio empresarial inquilino. Los administradores de los espacios empresariales inquilinos pueden configurar el cifrado de los inquilinos para utilizar un CMK. Qlik Cloud admite los siguientes proveedores de servicios de gestión de claves (KMS):

  • KMS interno de Qlik (Predeterminado)

  • Amazon Web Services (AWS) KMS

Nota informativaQlik Forts, Qlik Sense Mobile SaaS y Pasarela de datos - Acceso directo no admiten ni utilizan cifrado con CMK. CMK admite el cifrado sólo a nivel de espacio empresarial inquilino para los datos del inquilino almacenados en reposo. CMK no se utiliza con el cifrado de datos en movimiento ni con los datos en reposo en un dispositivo móvil, un fort o una pasarela de datos.
Nota informativaCMK no está disponible con Qlik Sense Business.

Claves administradas por el cliente y HIPAA

Qlik Cloud puede alojar información de salud personal (PHI) que está sujeta a la normativa de EE. UU. HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros de Salud) de 1996 (HIPAA), siempre que los clientes utilicen Claves administradas por el cliente y firmen un acuerdo HIPAA Business Associate Agreement (BAA). Si bien Qlik Cloud puede ayudar a los clientes con sus requisitos de cumplimiento normativo de HIPAA , los clientes que utilizan Qlik Cloud son responsables de su propio cumplimiento de HIPAA. El uso de Claves administradas por el cliente requiere obligatoriamente insertar PHI en Qlik Cloud. Para más información, vea Confianza y seguridad en Qlik.

Descripción general de la arquitectura de cifrado de Qlik Cloud

El siguiente diagrama proporciona una descripción general del servicio de cifrado de Qlik Cloud que encripta los datos en el espacio empresarial inquilino. Si su espacio empresarial inquilino está configurado para que CMK use AWS KMS, cada vez que se requiere un servicio en Qlik Cloud para cifrar o descifrar datos, el servicio de cifrado llama a AWS KMS y utiliza su clave AWS KMS. De lo contrario, de forma predeterminada, los datos del espacio empresarial se cifran mediante las claves de datos generadas con KMS interno de Qlik.

Arquitectura de cifrado de Qlik Cloud con CMK

Arquitectura de cifrado de espacios empresariales inquilinos con Bring your own key

Responsabilidades del cliente con Claves administradas por el cliente

Con CMK, los clientes tienen control total de sus claves. La organización del cliente es responsable de crear, mantener y administrar todos los aspectos del ciclo de vida de la clave, incluidas las siguientes áreas:

Configuración de la clave en AWS KMS

  • Crear una cuenta de AWS y usar KMS.

  • Crear claves y establecer políticas de administración de claves AWS KMS en torno a los permisos y roles de IAM, y quién puede realizar funciones, como crear, deshabilitar y eliminar claves.

Gestión de claves en AWS KMS

Una vez que configura su espacio empresarial inquilino para que utilice una clave AWS KMS para cifrar los datos en reposo, usted es responsable de administrar la clave. Es importante proteger su clave AWS KMS para que no se elimine o deshabilite accidentalmente. Qlik recomienda que establezca un proceso en torno a estas funciones de gestión de claves y otras. Como se trata de claves controladas por el cliente, Qlik Cloud no puede evitar que deshabilite o desactive su CMK.

  • Deshabilitar una clave AWS KMS. Esta acción impide temporalmente a Qlik Cloud realizar llamadas de API a AWS KMS para generar claves de datos (utilizadas para el cifrado) y operaciones de descifrado. Por ejemplo, una recarga programada o una tarea que se ejecuta en segundo plano en Qlik Cloud y requiere el cifrado o descifrado de datos fallará mientras la clave (o el acceso a la clave) esté deshabilitada. Al volver a habilitar la clave, se restablece el acceso al espacio empresarial inquilino.

  • Eliminar una clave AWS KMS. Esto eliminará permanentemente el espacio empresarial inquilino de Qlik Cloud. Cuando programa la eliminación de una clave, el espacio empresarial inquilino pasa inmediatamente al modo deshabilitado. Esto impide el acceso a las llaves y bloquea el espacio empresarial inquilino. AWS KMS tiene un extenso proceso de control sobre la eliminación de claves que puede personalizar para satisfacer sus necesidades. Por ejemplo, puede establecer un período de espera antes de que se elimine la clave y usar alertas, y puede cancelar la eliminación durante el período de espera.

  • Rotar una clave en AWS KMS. Puede seleccionar la opción de Rotación automática de claves AWS KMS cuando define su clave. Esto generará nuevo material criptográfico para la clave KMS una vez al año. AWS KMS guarda todas las versiones anteriores del material criptográfico para que pueda descifrar cualquier dato cifrado con esa clave KMS. AWS KMS no elimina ningún material de clave rotado hasta que se elimina la clave KMS. Dado que AWS KMS se descifra de forma transparente con el material de clave apropiado, puede usar una clave KMS rotada de manera segura y no afectará su integración de la Claves administradas por el cliente de Qlik Cloud.

  • Auditoría del uso de claves: considere usar herramientas de monitorización de claves KMS, como AWS CloudTrail, para supervisar las operaciones de cifrado.

  • Control de acceso a claves: asegure la política de claves para evitar accesos o cambios no deseados.

  • Garantizar la disponibilidad de la clave: mantenga y asegúrese de que la clave esté activa. Prevenga acciones que podrían resultar en la pérdida de acceso. Al igual que con otros servicios de AWS, los datos de los espacios inquilinos no estarán disponibles si se interrumpe el acceso a AWS KMS. AWS KMS incluye resiliencia incorporada a través de regiones y zonas de alta disponibilidad para lograr redundancias en su infraestructura. Para más información acerca de la seguridad de AWS KMS, consulte Resiliencia en AWS Key Management Service.

Vea la documenbtación de AWS KMS para más información:

Limitaciones y consideraciones de CMK

La siguiente sección describe limitaciones y consideraciones de CMK en Qlik Cloud:

  • El espacio empresarial inquilino, ya sea un inquilino nuevo o existente, debe estar vacío de datos cuando configure el cifrado del espacio empresarial inquilino para usar CMK. Recibirá un error durante la configuración si hay datos en el espacio empresarial inquilino. No obstante, puede configurar su IdP antes de configurar el cifrado.
  • Una vez que configure el espacio empresarial inquilino para usar su propia CMK, no podrá volver a usar el cifrado de KMS interno de Qlik.

  • En esta versión no se admite la creación de una nueva clave KMS para su uso con un espacio empresarial inquilino de Qlik que esté configurado para CMK.

  • CMK admite solo AWS KMS como proveedor de claves externo.

  • CMK solo admite claves de cifrado simétricas.

  • CMK admite claves de región única.

  • Claves administradas por el cliente no está disponible con Qlik Forts, Qlik Mobile Client, Pasarela de datos - Acceso directo o Qlik Sense Business.