Accéder au contenu principal Passer au contenu complémentaire
Ressources Qlik
Chargement de la recherche avec SearchUnify Si vous avez besoin d'aide avec votre produit, contactez le Support Qlik.
Qlik Customer Portal
Chargement de la recherche avec SearchUnify Si vous avez besoin d'aide avec votre produit, contactez le Support Qlik.
Qlik Customer Portal

Chiffrement du client

Lors de la création d'un client, Qlik Cloud utilise plusieurs couches de sécurité pour protéger vos données. Par défaut, chaque client est séparé des autres clients par un ensemble de clés de chiffrement générées de manière unique, gérées par le service de chiffrement Qlik pour chiffrer le contenu du client. Les clés de chaque client sont séparées des clés utilisées par Qlik pour sécuriser la communication entre services.

Qlik Cloud utilise les normes de chiffrement suivantes :

  • En transit—chiffrement TLS 1.2

  • Au repos—chiffrement AES-256-GCM

  • Au sein de la plateforme (après authentification via un IdP désigné)—Jetons Web JSON (JWT) signés pour garantir l'intégrité, l'authenticité et la non-répudiation

Note InformationsSi votre entreprise dispose d'un abonnement Qlik Talend Cloud Premium ou Enterprise, les paramètres de chiffrement s'appliquent à la fois à vos clients Qlik Cloud et Talend Cloud.

Clés gérées par le client (CMK)

Certaines industries fortement régulées telles que les soins de santé doivent respecter des règles rigoureuses en matière de sécurité et de conformité. De plus, de nombreux clients commerciaux s'appuient sur des approches de classification des données pour leurs données sensibles sur le marché afin de déterminer si des techniques de sécurité supplémentaires sont nécessaires pour certains jeux de données. Ces conditions de sécurité plus strictes peuvent inclure l'obligation de contrôler les clés de chiffrement utilisées pour chiffrer et déchiffrer les données cloud sensibles. Qlik Cloud vous permet d'utiliser Clés gérées par le client pour apporter votre propre clé (BYOK) comme option de chiffrement afin de sécuriser les données au repos de votre client dans le cloud Qlik.

Le chiffrement avec CMK est appliqué au niveau du client. Les administrateurs de clients peuvent configurer le chiffrement de client de sorte à utiliser une CMK. Qlik Cloud supporte les fournisseurs de Services de gestion de clés (KMS) suivants :

  • KMS interne Qlik (par défaut)

  • Amazon Web Services (AWS) KMS

Note InformationsL'application mobile Qlik Analytics, Passerelle de données - Accès direct et Passerelle de données - Déplacement des données ne supportent et n'utilisent pas le chiffrement avec CMK. CMK supporte le chiffrement uniquement au niveau du client pour les données de client stockées au repos. CMK n'est pas utilisé avec le chiffrement de données en déplacement ou avec les données au repos sur un appareil mobile ou une passerelle de données.
Note InformationsCMK n'est pas disponible avec Qlik Sense Business.

Clés gérées par le client et HIPAA

Qlik Cloud peut héberger des renseignements médicaux personnels (Personal Health Information ou PHI) soumis à la réglementation de l'Loi des États-Unis sur la transférabilité et la responsabilité de l'assurance maladie américain, datant de 1996 (HIPAA), à condition que les utilisateurs aient recours à Clés gérées par le client et signent un HIPAA Business Associate Agreement (BAA - accord de partenariat). Même si Qlik Cloud peut aider les clients à respecter les exigences réglementaires de l'HIPAA, les clients qui utilisent Qlik Cloud sont responsables de leur propre conformité à l'HIPAA. L'utilisation de Clés gérées par le client est obligatoire dans les clients Qlik Cloud qui gèrent des charges de travail PHI. Pour plus d'informations, consultez Fiabilité et sécurité chez Qlik.

Vue d'ensemble de l'architecture de chiffrement Qlik Cloud

Le diagramme suivant fournit une vue d'ensemble du service de chiffrement Qlik Cloud qui chiffre les données dans le client. Par défaut, les clients Qlik Cloud chiffrent et déchiffrent les données à l'aide de clés de chiffrement générées par le KMS de Qlik Cloud. Avec Clés gérées par le client, AWS KMS génère les clés de chiffrement utilisées par le client. Chaque fois qu'un service de Qlik Cloud chiffre ou déchiffre des données, le service de chiffrement appelle AWS KMS et utilise la clé gérée par l'utilisateur.

Architecture de chiffrement Qlik Cloud avec CMK

Architecture de chiffrement de client avec Bring your own key (Apportez votre propre clé)

Responsabilités de l'utilisateur avec Clés gérées par le client

Avec CMK, les utilisateurs contrôlent totalement leurs clés. L'entreprise de l'utilisateur est chargée de créer, d'actualiser et de gérer tous les aspects du cycle de vie des clés, y compris les domaines suivants :

Configuration de clés dans AWS KMS.

  • Création d'un compte AWS et utilisation de KMS.

  • Création de clés et établissement de stratégies de gestion des clés AWS KMS définissant les rôles et les autorisations IAM (Identity and Access Management - Gestion des identités et de l'accès) ainsi que les personnes chargées de remplir des fonctions telles que la création, la désactivation et la suppression de clés.

Gestion des clés dans AWS KMS

Une fois que vous avez configuré votre client de sorte à utiliser une clé AWS KMS pour chiffrer les données au repos, vous êtes chargé de la gestion de la clé. Il est important de protéger votre clé AWS KMS de toute suppression ou désactivation accidentelle. Qlik recommande d'établir une procédure couvrant les fonctions de gestion de ces clés et d'autres fonctions associées. Étant donné que ces clés sont gérées par l'utilisateur, Qlik Cloud ne peut pas vous empêcher de désactiver ou de supprimer votre CMK.

  • Désactivation d'une clé AWS KMS. Cette action empêche temporairement Qlik Cloud de lancer des appels d'API auprès de AWS KMS pour générer des clés de données (utilisées pour le chiffrement) et effectuer des opérations de déchiffrement. Par exemple, une tâche ou un chargement planifié exécuté en arrière-plan dans Qlik Cloud et nécessitant le chiffrement ou le déchiffrement de données échouera si la clé (ou l'accès à la clé) est désactivé(e). La réactivation de la clé rétablit l'accès au client.

  • Suppression d'une clé AWS KMS. Cette action désactivera définitivement le client Qlik Cloud. Si vous planifiez la suppression d'une clé, le client passe immédiatement en mode désactivé. Cela empêche l'accès aux clés et verrouille le client. AWS KMS dispose d'une procédure de contrôle complète concernant la suppression de clés, que vous pouvez personnaliser en fonction de vos besoins. Par exemple, vous pouvez définir une période d'attente avant la suppression de la clé et utiliser des alertes, et vous pouvez annuler la suppression pendant la période d'attente.

  • Rotation d'une clé dans AWS KMS. Lors de la définition de votre clé, vous pouvez sélectionner l'option AWS KMS Rotation de clé automatique. Cela génèrera un nouvel élément de chiffrement pour la clé KMS une fois par an. AWS KMS enregistre l'ensemble des précédentes versions de l'élément de chiffrement afin de vous permettre de déchiffrer toute donnée chiffrée à l'aide de cette clé KMS. AWS KMS ne supprime aucun élément de clé objet de la rotation tant que la clé KMS n'est pas supprimée. Étant donné que AWS KMS déchiffre en toute transparence via l'élément de clé approprié, vous pouvez utiliser en toute sécurité une clé KMS en rotation, et cela n'aura pas d'impact sur votre intégration Qlik CloudClés gérées par le client. Notez que cette opération est différente de la création d'une clé AWS entièrement nouvelle et du remplacement d'un fournisseur de clé CMK Qlik par cette nouvelle clé, qui oblige à un rechiffrement complet du client. Consultez Configuration du chiffrement d'un client.

  • Audit d'usage des clés—Pensez à utiliser des outils de surveillance de clés KMS tels que AWS CloudTrail pour surveiller les opérations de chiffrement.

  • Contrôle de l'accès des clés—Sécurisez la stratégie de clés pour éviter tout accès ou changement non souhaité.

  • Garantie de la disponibilité des clés—Gérez la clé et assurez-vous qu'elle reste active. Empêchez les actions susceptibles d'entraîner une perte d'accès. Tout comme avec d'autres services AWS, les données du client ne seront pas disponibles si l'accès à AWS KMS est interrompu. AWS KMS inclut une résilience intégrée via des régions et des zones de haute disponibilité pour créer des redondances dans leur architecture. Pour plus d'informations sur la sécurité AWS KMS, voir Résilience dans AWS Key Management Service.

Pour plus d'informations, consultez la documentation AWS KMS :

Options CMK dans les régions Qlik Cloud

AWS KMS propose deux options de clé de chiffrement, l'une monorégion et l'autre multirégion, aux utilisateurs Qlik Cloud en fonction de la région de provisionnement du client. Dans les régions soumises à des conditions spécifiques en matière de souveraineté des données interdisant l'exfiltration de données, même à des fins de récupération d'urgence, Qlik Cloud supporte l'utilisation de CMK avec des clés monorégion ou multirégion de AWS KMS.

Note AvertissementLes régions souveraines Qlik Cloud ne fournissent pas de services de récupération d'urgence. Par conséquent, il n'existe pas d'option de récupération pour les données au sein des clients chiffrées via des clés gérées par l'utilisateur.

Dans les régions sans conditions spécifiques en matière de souveraineté des données, les utilisateurs qui provisionnent des clés de chiffrement depuis AWS KMS doivent générer une clé multirégion correspondant à la région principale et de récupération d'urgence du client. La clé multirégion assure la continuité des activités en cas de sinistre dans la région principale du client et la réussite du basculement vers la région de récupération d'urgence du client.

Transition d'une clé de région unique vers une clé multi-région

Clés gérées par le client supporte les clés multirégions pour faciliter les processus de reprise après sinistre. Si vous utilisez actuellement une clé de région unique, nous vous recommandons de créer une clé multi-région pour pouvoir utiliser facilement votre client dans une région de secours en cas de panne de votre région principale.

Pour savoir comment créer une clé multi-région, voir Clé multi-région AWS KMS pour récupération d'urgence (DR).

Note InformationsSi vous utilisez une nouvelle clé lors de la rotation de clés, vous serez obligé d'utiliser une configuration de clé multi-région.

Limitations et considérations générales CMK

La section suivante décrit les restrictions et considérations générales avec CMK dans Qlik Cloud :

  • Une fois le client configuré de sorte à utiliser votre propre CMK, vous ne pouvez pas revenir en arrière et utiliser le chiffrement KMS interne Qlik ni remplacer la clé par une autre clé CMK.

  • CMK supporte uniquement AWS KMS comme fournisseur de clé externe.

  • CMK supporte uniquement les clés de chiffrement symétriques.

  • CMK supporte les clés monorégion et multirégion en fonction de la région de résidence du client.

  • Clés gérées par le client n'est pas disponible avec Qlik Mobile Client, avec Passerelle de données - Accès direct ni avec Qlik Sense Business.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.

Laissez vos commentaires ici