Chiffrement du client
Lors de la création d'un client, Qlik Cloud utilise plusieurs couches de sécurité pour protéger vos données. Par défaut, chaque client est séparé des autres clients par un ensemble de clés de chiffrement générées de manière unique, gérées par le service de chiffrement Qlik pour chiffrer le contenu du client. Les clés de chaque client sont séparées des clés utilisées par Qlik pour sécuriser la communication entre services.
Qlik Cloud utilise les normes de chiffrement suivantes :
-
En transit—chiffrement TLS 1.2
-
Au repos—chiffrement AES-256-GCM
-
Au sein de la plateforme (après authentification via un IdP désigné)—Jetons Web JSON (JWT) signés pour garantir l'intégrité, l'authenticité et la non-répudiation
Clés gérées par le client (CMK)
Certaines industries fortement régulées telles que les soins de santé doivent respecter des règles rigoureuses en matière de sécurité et de conformité. De plus, de nombreux clients commerciaux s'appuient sur des approches de classification des données pour leurs données sensibles sur le marché afin de déterminer si des techniques de sécurité supplémentaires sont nécessaires pour certains ensembles de données. Ces conditions de sécurité plus strictes peuvent inclure l'obligation de contrôler les clés de chiffrement utilisées pour chiffrer et déchiffrer les données cloud sensibles. Qlik Cloud vous permet d'utiliser Clés gérées par le client pour apporter votre propre clé (BYOK) comme option de chiffrement afin de sécuriser les données au repos de votre client dans le cloud Qlik.
Le chiffrement avec CMK est appliqué au niveau du client. Les administrateurs de clients peuvent configurer le chiffrement de client de sorte à utiliser une CMK. Qlik Cloud prend en charge les fournisseurs de Services de gestion de clés (KMS) suivants :
-
KMS interne Qlik (par défaut)
-
Amazon Web Services (AWS) KMS
Clés gérées par le client et HIPAA
Qlik Cloud peut héberger des renseignements médicaux personnels (Personal Health Information ou PHI) soumis à la réglementation de l'Loi des États-Unis sur la transférabilité et la responsabilité de l'assurance maladie américain, datant de 1996 (HIPAA), à condition que les utilisateurs aient recours à Clés gérées par le client et signent un HIPAA Business Associate Agreement (BAA - accord de partenariat). Même si Qlik Cloud peut aider les clients à respecter les exigences réglementaires de l'HIPAA, les clients qui utilisent Qlik Cloud sont responsables de leur propre conformité à l'HIPAA. L'utilisation de Clés gérées par le client est obligatoire, pour placer des renseignements PHI dans Qlik Cloud. Pour plus d'informations, consultez Fiabilité et sécurité chez Qlik.
Vue d'ensemble de l'architecture de chiffrement Qlik Cloud
Le diagramme suivant fournit une vue d'ensemble du service de chiffrement Qlik Cloud qui chiffre les données dans le client. Si votre client est configuré pour CMK via AWS KMS, chaque fois qu'un service de Qlik Cloud doit chiffrer ou déchiffrer des données, le service de chiffrement appelle AWS KMS et utilise votre clé AWS KMS. Sinon, par défaut, les données du client sont chiffrées via les clés de données générées avec KMS interne Qlik.
Responsabilités de l'utilisateur avec Clés gérées par le client
Avec CMK, les utilisateurs contrôlent totalement leurs clés. L'entreprise de l'utilisateur est chargée de créer, d'actualiser et de gérer tous les aspects du cycle de vie des clés, y compris les domaines suivants :
Configuration de clés dans AWS KMS.
-
Création d'un compte AWS et utilisation de KMS.
-
Création de clés et établissement de stratégies de gestion des clés AWS KMS définissant les rôles et les autorisations IAM (Identity and Access Management - Gestion des identités et de l'accès) ainsi que les personnes chargées de remplir des fonctions telles que la création, la désactivation et la suppression de clés.
Gestion des clés dans AWS KMS
Une fois que vous avez configuré votre client de sorte à utiliser une clé AWS KMS pour chiffrer les données au repos, vous êtes chargé de la gestion de la clé. Il est important de protéger votre clé AWS KMS de toute suppression ou désactivation accidentelle. Qlik recommande d'établir une procédure couvrant les fonctions de gestion de ces clés et d'autres fonctions associées. Étant donné que ces clés sont gérées par l'utilisateur, Qlik Cloud ne peut pas vous empêcher de désactiver ou de supprimer votre CMK.
-
Désactivation d'une clé AWS KMS. Cette action empêche temporairement Qlik Cloud de lancer des appels d'API auprès de AWS KMS pour générer des clés de données (utilisées pour le chiffrement) et effectuer des opérations de déchiffrement. Par exemple, une tâche ou un chargement planifié exécuté en arrière-plan dans Qlik Cloud et nécessitant le chiffrement ou le déchiffrement de données échouera si la clé (ou l'accès à la clé) est désactivé(e). La réactivation de la clé rétablit l'accès au client.
-
Suppression d'une clé AWS KMS. Cette action désactivera définitivement le client Qlik Cloud. Si vous planifiez la suppression d'une clé, le client passe immédiatement en mode désactivé. Cela empêche l'accès aux clés et verrouille le client. AWS KMS dispose d'une procédure de contrôle complète concernant la suppression de clés, que vous pouvez personnaliser en fonction de vos besoins. Par exemple, vous pouvez définir une période d'attente avant la suppression de la clé et utiliser des alertes, et vous pouvez annuler la suppression pendant la période d'attente.
-
Rotation d'une clé dans AWS KMS. Lors de la définition de votre clé, vous pouvez sélectionner l'option AWS KMSRotation de clé automatique. Cela génèrera un nouvel élément de chiffrement pour la clé KMS une fois par an. AWS KMS enregistre l'ensemble des précédentes versions de l'élément de chiffrement afin de vous permettre de déchiffrer toute donnée chiffrée à l'aide de cette clé KMS. AWS KMS ne supprime aucun élément de clé objet de la rotation tant que la clé KMS n'est pas supprimée. Étant donné que AWS KMS déchiffre en toute transparence via l'élément de clé approprié, vous pouvez utiliser en toute sécurité une clé KMS en rotation, et cela n'aura pas d'impact sur votre intégration Qlik CloudClés gérées par le client. Notez que cette opération est différente de la création d'une clé AWS entièrement nouvelle et du remplacement d'un fournisseur de clé CMK Qlik par cette nouvelle clé, qui oblige à un rechiffrement complet du client. Voir Configuration du chiffrement d'un client.
-
Audit d'usage des clés—Pensez à utiliser des outils de surveillance de clés KMS tels que AWS CloudTrail pour surveiller les opérations de chiffrement.
-
Contrôle de l'accès des clés—Sécurisez la stratégie de clés pour éviter tout accès ou changement non souhaité.
-
Garantie de la disponibilité des clés—Gérez la clé et assurez-vous qu'elle reste active. Empêchez les actions susceptibles d'entraîner une perte d'accès. Tout comme avec d'autres services AWS, les données du client ne seront pas disponibles si l'accès à AWS KMS est interrompu. AWS KMS inclut une résilience intégrée via des régions et des zones de haute disponibilité pour créer des redondances dans leur architecture. Pour plus d'informations sur la sécurité AWS KMS, voir Résilience dans AWS Key Management Service.
Pour plus d'informations, consultez la documentation AWS KMS :
Transition d'une clé de région unique vers une clé multi-région
Clés gérées par le client prend en charge les clés multi-région pour faciliter les processus de récupération d'urgence. Si vous utilisez actuellement une clé de région unique, nous vous recommandons de créer une clé multi-région pour pouvoir utiliser facilement votre client dans une région de secours en cas de panne de votre région principale.
Pour savoir comment créer une clé multi-région, voir Clé multi-région AWS KMS Multi-Region pour récupération d'urgence (DR).
Restrictions et considérations générales CMK
La section suivante décrit les restrictions et considérations générales avec CMK dans Qlik Cloud :
-
Une fois le client configuré de sorte à utiliser votre propre CMK, vous ne pouvez pas revenir en arrière et utiliser le chiffrement KMS interne Qlik ni remplacer la clé par une autre clé CMK.
-
CMK prend en charge uniquement AWS KMS comme fournisseur de clé externe.
-
CMK prend en charge uniquement les clés de chiffrement symétriques.
-
CMK est passé de l'utilisation de clés de région unique à celle de clés multi-région pour faciliter les processus de récupération d'urgence.
-
Clés gérées par le client n'est pas disponible avec Qlik Mobile Client, Passerelle de données - Accès direct ou Qlik Sense Business.