Cifrado del espacio empresarial inquilino
Cuando se crea un espacio empresarial inquilino, Qlik Cloud utiliza varias capas de seguridad para proteger sus datos. De forma predeterminada, cada espacio empresarial inquilino está separado de los demás espacios empresariales inquilinos por un conjunto de claves de cifrado generado de forma exclusiva, que es administrado por el servicio de cifrado de Qlik para encriptar el contenido del espacio empresarial inquilino. Las claves de cada espacio empresarial inquilino están separadas de las claves que Qlik utiliza para proteger la comunicación de servicio a servicio.
Qlik Cloud utiliza los siguientes estándares de cifrado:
-
En tránsito: cifrado TLS 1.2
-
En reposo: cifrado AES-256-GCM
-
Dentro de la plataforma (después de la autenticación con un IdP designado): tokens web JSON (JWT) firmados para garantizar la integridad, la autenticidad y el no repudio
Claves administradas por el cliente (CMK)
Algunos sectores muy regulados, como el de la sanidad, deben cumplir estrictas normativas de seguridad y conformidad. Además, muchos clientes comerciales aprovechan los enfoques de clasificación de datos para sus datos sensibles al mercado para determinar si se requieren técnicas de seguridad adicionales para conjuntos de datos específicos. Estos requisitos de seguridad más estrictos podrían incluir la exigencia de controlar las claves de cifrado que se utilizan para cifrar y descifrar los datos sensibles de la nube. Qlik Cloud le permite utilizar Claves administradas por el cliente para traer su propia clave (BYOK) como opción de encriptación para asegurar los datos de su espacio empresarial inquilino en la nube de Qlik.
El cifrado con CMK se aplica a nivel del espacio empresarial inquilino. Los administradores de los espacios empresariales inquilinos pueden configurar el cifrado de los inquilinos para utilizar un CMK. Qlik Cloud admite los siguientes proveedores de servicios de gestión de claves (KMS):
-
KMS interno de Qlik (Predeterminado)
-
Amazon Web Services (AWS) KMS
Claves administradas por el cliente y HIPAA
Qlik Cloud puede alojar información de salud personal (PHI) que está sujeta a la normativa de EE. UU. HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros de Salud) de 1996 (HIPAA), siempre que los clientes utilicen Claves administradas por el cliente y firmen un acuerdo HIPAA Business Associate Agreement (BAA). Si bien Qlik Cloud puede ayudar a los clientes con sus requisitos de cumplimiento normativo de HIPAA , los clientes que utilizan Qlik Cloud son responsables de su propio cumplimiento de HIPAA. El uso de Claves administradas por el cliente requiere obligatoriamente insertar PHI en Qlik Cloud. Para más información, vea Confianza y seguridad en Qlik.
Descripción general de la arquitectura de cifrado de Qlik Cloud
El siguiente diagrama proporciona una descripción general del servicio de cifrado de Qlik Cloud que encripta los datos en el espacio empresarial inquilino. Si su espacio empresarial inquilino está configurado para que CMK use AWS KMS, cada vez que se requiere un servicio en Qlik Cloud para cifrar o descifrar datos, el servicio de cifrado llama a AWS KMS y utiliza su clave AWS KMS. De lo contrario, de forma predeterminada, los datos del espacio empresarial se cifran mediante las claves de datos generadas con KMS interno de Qlik.
Responsabilidades del cliente con Claves administradas por el cliente
Con CMK, los clientes tienen control total de sus claves. La organización del cliente es responsable de crear, mantener y administrar todos los aspectos del ciclo de vida de la clave, incluidas las siguientes áreas:
Configuración de la clave en AWS KMS
-
Crear una cuenta de AWS y usar KMS.
-
Crear claves y establecer políticas de administración de claves AWS KMS en torno a los permisos y roles de gestión de acceso (IAM), y quién puede realizar funciones, como crear, deshabilitar y eliminar claves.
Gestión de claves en AWS KMS
Una vez que configura su espacio empresarial inquilino para que utilice una clave AWS KMS para cifrar los datos en reposo, usted es responsable de administrar la clave. Es importante proteger su clave AWS KMS para que no se elimine o deshabilite accidentalmente. Qlik recomienda que establezca un proceso en torno a estas funciones de gestión de claves y otras. Como se trata de claves controladas por el cliente, Qlik Cloud no puede evitar que deshabilite o desactive su CMK.
-
Deshabilitar una clave AWS KMS. Esta acción impide temporalmente a Qlik Cloud realizar llamadas de API a AWS KMS para generar claves de datos (utilizadas para el cifrado) y operaciones de descifrado. Por ejemplo, una recarga programada o una tarea que se ejecuta en segundo plano en Qlik Cloud y requiere el cifrado o descifrado de datos fallará mientras la clave (o el acceso a la clave) esté deshabilitada. Al volver a habilitar la clave, se restablece el acceso al espacio empresarial inquilino.
-
Eliminar una clave AWS KMS. Esto eliminará permanentemente el espacio empresarial inquilino de Qlik Cloud. Cuando programa la eliminación de una clave, el espacio empresarial inquilino pasa inmediatamente al modo deshabilitado. Esto impide el acceso a las llaves y bloquea el espacio empresarial inquilino. AWS KMS tiene un extenso proceso de control sobre la eliminación de claves que puede personalizar para satisfacer sus necesidades. Por ejemplo, puede establecer un período de espera antes de que se elimine la clave y usar alertas, y puede cancelar la eliminación durante el período de espera.
-
Rotar una clave en AWS KMS. Puede seleccionar la opción de Rotación automática de claves de AWS KMS cuando define su clave. Esto generará nuevo material criptográfico para la clave KMS una vez al año. AWS KMS guarda todas las versiones anteriores del material criptográfico para que pueda descifrar cualquier dato cifrado con esa clave KMS. AWS KMS no elimina ningún material de clave rotado hasta que se elimina la clave KMS. Dado que AWS KMS se descifra de forma transparente con el material de clave apropiado, puede usar una clave rotada de KMS de manera segura y no afectará a su integración de Qlik CloudClaves administradas por el cliente. Tenga en cuenta que esto es diferente a una clave AWS completamente nueva y a realizar un cambio de proveedor de claves Qlik CMK a esa nueva clave, lo que obliga a volver a cifrar completamente el espacio empresarial inquilino. Vea Configurar el cifrado de un espacio empresarial inquilino.
-
Auditoría del uso de claves: considere usar herramientas de monitorización de claves KMS, como AWS CloudTrail, para supervisar las operaciones de cifrado.
-
Control de acceso a claves: asegure la política de claves para evitar accesos o cambios no deseados.
-
Garantizar la disponibilidad de la clave: mantenga y asegúrese de que la clave esté activa. Prevenga acciones que podrían resultar en la pérdida de acceso. Al igual que con otros servicios de AWS, los datos de los espacios inquilinos no estarán disponibles si se interrumpe el acceso a AWS KMS. AWS KMS incluye resiliencia incorporada a través de regiones y zonas de alta disponibilidad para lograr redundancias en su infraestructura. Para más información acerca de la seguridad de AWS KMS, consulte Resiliencia en AWS Key Management Service.
Vea la documenbtación de AWS KMS para más información:
Transición de la clave de región única a la clave multirregión
Claves administradas por el cliente admite claves multirregionales para respaldar los procesos de recuperación ante desastres. Si actualmente utiliza una clave de región única, le recomendamos que cree una clave de varias regiones para usar sin problemas su espacio inquilino en una región de respaldo en caso de una interrupción en su región principal.
Para obtener información sobre cómo crear una clave multiregión, consulte AWS KMS Clave multirregional para recuperación ante desastres (DR).
Limitaciones y consideraciones de CMK
La siguiente sección describe limitaciones y consideraciones de CMK en Qlik Cloud:
-
Tras configurar el espacio empresarial inquilino para que utilice su propia CMK, no podrá volver a usar el cifrado de KMS interno de Qlik ni cambiar la clave a otra CMK diferente.
-
CMK admite solo AWS KMS como proveedor de claves externo.
-
CMK solo admite claves de cifrado simétricas.
-
CMK ha pasado de claves de región única a claves de múltiples regiones para respaldar los procesos de recuperación ante desastres.
-
Claves administradas por el cliente no está disponible con Qlik Mobile Client, Pasarela de datos - Direct Access o Qlik Sense Business.