Accéder au contenu principal Skip to complementary content

Chiffrement du client

Lors de la création d'un client, Qlik Cloud utilise plusieurs couches de sécurité pour protéger vos données. Par défaut, chaque client est séparé des autres clients par un ensemble de clés de chiffrement générées de manière unique, gérées par le service de chiffrement Qlik pour chiffrer le contenu du client. Les clés de chaque client sont séparées des clés utilisées par Qlik pour sécuriser la communication entre services.

Qlik Cloud utilise les normes de chiffrement suivantes :

  • En transit—chiffrement TLS 1.2

  • Au repos—chiffrement AES-256-GCM

  • Au sein de la plate-forme (après authentification via un IdP désigné)—Jetons Web JSON (JWT) signés pour garantir l'intégrité, l'authenticité et la non-répudiation

Clés gérées par le client (CMK)

Certaines industries fortement régulées telles que les soins de santé doivent respecter des règles rigoureuses en matière de sécurité et de conformité. De plus, de nombreux clients commerciaux s'appuient sur des approches de classification des données pour leurs données sensibles sur le marché afin de déterminer si des techniques de sécurité supplémentaires sont nécessaires pour certains ensembles de données. Ces conditions de sécurité plus strictes peuvent inclure l'obligation de contrôler les clés de chiffrement utilisées pour chiffrer et déchiffrer les données cloud sensibles. Qlik Cloud vous permet d'utiliser Clés gérées par le client pour apporter votre propre clé (BYOK) comme option de chiffrement afin de sécuriser les données au repos de votre client dans le cloud Qlik.

Le chiffrement avec CMK est appliqué au niveau du client. Les administrateurs de clients peuvent configurer le chiffrement de client de sorte à utiliser une CMK. Qlik Cloud prend en charge les fournisseurs de Services de gestion de clés (KMS) suivants :

  • KMS interne Qlik (par défaut)

  • Amazon Web Services (AWS) KMS

Note InformationsQlik Forts, Qlik Sense Mobile SaaS et Passerelle de données - Accès direct ne prennent pas en charge et n'utilisent pas le chiffrement avec CMK. CMK prend en charge le chiffrement uniquement au niveau du client pour les données de client stockées au repos. CMK n'est pas utilisé avec le chiffrement de données en déplacement ou avec les données au repos sur un appareil mobile, un fort ou une passerelle de données.
Note InformationsCMK n'est pas disponible avec Qlik Sense Business.

Clés gérées par le client et HIPAA

Qlik Cloud peut héberger des renseignements médicaux personnels (Personal Health Information ou PHI) soumis à la réglementation de l'Loi des États-Unis sur la transférabilité et la responsabilité de l'assurance maladie américain, datant de 1996 (HIPAA), à condition que les utilisateurs aient recours à Clés gérées par le client et signent un HIPAA Business Associate Agreement (BAA - accord de partenariat). Même si Qlik Cloud peut aider les clients à respecter les exigences réglementaires de l'HIPAA, les clients qui utilisent Qlik Cloud sont responsables de leur propre conformité à l'HIPAA. L'utilisation de Clés gérées par le client est obligatoire, pour placer des renseignements PHI dans Qlik Cloud. Pour plus d'informations, voir Fiabilité et sécurité chez Qlik.

Vue d'ensemble de l'architecture de chiffrement Qlik Cloud

Le diagramme suivant fournit une vue d'ensemble du service de chiffrement Qlik Cloud qui chiffre les données dans le client. Si votre client est configuré pour CMK via AWS KMS, chaque fois qu'un service de Qlik Cloud doit chiffrer ou déchiffrer des données, le service de chiffrement appelle AWS KMS et utilise votre clé AWS KMS. Sinon, par défaut, les données du client sont chiffrées via les clés de données générées avec KMS interne Qlik.

Architecture de chiffrement Qlik Cloud avec CMK

Architecture de chiffrement de client avec Bring your own key (Apportez votre propre clé)

Responsabilités de l'utilisateur avec Clés gérées par le client

Avec CMK, les utilisateurs contrôlent totalement leurs clés. L'entreprise de l'utilisateur est chargée de créer, d'actualiser et de gérer tous les aspects du cycle de vie des clés, y compris les domaines suivants :

Configuration de clés dans AWS KMS.

  • Création d'un compte AWS et utilisation de KMS.

  • Création de clés et établissement de stratégies de gestion des clés AWS KMS définissant les rôles et les autorisations IAM ainsi que les personnes chargées de remplir des fonctions telles que la création, la désactivation et la suppression de clés.

Gestion des clés dans AWS KMS

Une fois que vous avez configuré votre client de sorte à utiliser une clé AWS KMS pour chiffrer les données au repos, vous êtes chargé de la gestion de la clé. Il est important de protéger votre clé AWS KMS de toute suppression ou désactivation accidentelle. Qlik recommande d'établir une procédure couvrant les fonctions de gestion de ces clés et d'autres fonctions associées. Étant donné que ces clés sont gérées par l'utilisateur, Qlik Cloud ne peut pas vous empêcher de désactiver ou de supprimer votre CMK.

  • Désactivation d'une clé AWS KMS. Cette action empêche temporairement Qlik Cloud de lancer des appels d'API auprès de AWS KMS pour générer des clés de données (utilisées pour le chiffrement) et effectuer des opérations de déchiffrement. Par exemple, une tâche ou un chargement planifié exécuté en arrière-plan dans Qlik Cloud et nécessitant le chiffrement ou le déchiffrement de données échouera si la clé (ou l'accès à la clé) est désactivé(e). La réactivation de la clé rétablit l'accès au client.

  • Suppression d'une clé AWS KMS. Cette action désactivera définitivement le client Qlik Cloud. Si vous planifiez la suppression d'une clé, le client passe immédiatement en mode désactivé. Cela empêche l'accès aux clés et verrouille le client. AWS KMS dispose d'une procédure de contrôle complète concernant la suppression de clés, que vous pouvez personnaliser en fonction de vos besoins. Par exemple, vous pouvez définir une période d'attente avant la suppression de la clé et utiliser des alertes, et vous pouvez annuler la suppression pendant la période d'attente.

  • Rotation d'une clé dans AWS KMS. Lors de la définition de votre clé, vous pouvez sélectionner l'option AWS KMS Rotation de clé automatique. Cela génèrera un nouvel élément de chiffrement pour la clé KMS une fois par an. AWS KMS enregistre l'ensemble des précédentes versions de l'élément de chiffrement afin de vous permettre de déchiffrer toute donnée chiffrée à l'aide de cette clé KMS. AWS KMS ne supprime aucun élément de clé objet de la rotation tant que la clé KMS n'est pas supprimée. Étant donné que AWS KMS déchiffre en toute transparence via l'élément de clé approprié, vous pouvez utiliser en toute sécurité une clé KMS en rotation, et cela n'aura pas d'impact sur votre intégration Qlik Cloud Clés gérées par le client.

  • Audit d'usage des clés—Pensez à utiliser des outils de surveillance de clés KMS tels que AWS CloudTrail pour surveiller les opérations de chiffrement.

  • Contrôle de l'accès des clés—Sécurisez la stratégie de clés pour éviter tout accès ou changement non souhaité.

  • Garantie de la disponibilité des clés—Gérez la clé et assurez-vous qu'elle reste active. Empêchez les actions susceptibles d'entraîner une perte d'accès. Tout comme avec d'autres services AWS, les données du client ne seront pas disponibles si l'accès à AWS KMS est interrompu. AWS KMS inclut une résilience intégrée via des régions et des zones de haute disponibilité pour créer des redondances dans leur architecture. Pour plus d'informations sur la sécurité AWS KMS, voir Résilience dans AWS Key Management Service.

Pour plus d'informations, voir la documentation AWS KMS :

Restrictions et considérations générales CMK

La section suivante décrit les restrictions et considérations générales avec CMK dans Qlik Cloud :

  • Le client, qu'il soit nouveau ou existant, doit être vide de toute donnée lors de la configuration du chiffrement du client de sorte à utiliser CMK. Si le client contient des données, vous recevrez un message d'erreur lors de la configuration. Cependant, avant de configurer le chiffrement, vous pouvez configurer votre IdP.
  • Une fois le client configuré de sorte à utiliser votre propre CMK, vous ne pouvez pas revenir en arrière et utiliser le chiffrement KMS interne Qlik.

  • La création d'une nouvelle clé KMS à utiliser avec un client Qlik configuré pour CMK n'est pas prise en charge dans cette version.

  • CMK prend en charge uniquement AWS KMS comme fournisseur de clé externe.

  • CMK prend en charge uniquement les clés de chiffrement symétriques.

  • CMK prend en charge les clés d'une seule région.

  • Clés gérées par le client n'est pas disponible avec Qlik Forts, Qlik Mobile Client, Passerelle de données - Accès direct ni Qlik Sense Business.