Vai al contenuto principale Skip to complementary content

Crittografia tenant

Quando viene creato un tenant, Qlik Cloud utilizza diversi livelli di sicurezza per proteggere i dati. Per impostazione predefinita, ogni tenant è separato dagli altri tenant da una serie di chiavi di crittografia generate in modo univoco e gestite dal servizio di crittografia Qlik per crittografare il contenuto del tenant. Le chiavi di ogni tenant sono separate da quelle utilizzate da Qlik per proteggere la comunicazione tra servizi.

Qlik Cloud utilizza i seguenti standard di crittografia:

  • In transito: crittografia TLS 1.2

  • A riposo: crittografia AES-256-GCM

  • All'interno della piattaforma (dopo l'autenticazione con un IdP designato) - Token Web JSON firmati (JWT) per garantire integrità, autenticità e non ripudio

Chiavi gestite dai clienti (CMK)

Alcuni settori altamente regolamentati, come quello sanitario, devono rispettare rigide norme di sicurezza e conformità. Inoltre, molti clienti commerciali utilizzano approcci di classificazione dei dati sensibili al mercato per determinare se sono necessarie tecniche di sicurezza aggiuntive per specifici set di dati. Questi requisiti di sicurezza più severi potrebbero includere l'obbligo di controllare le chiavi di crittografia utilizzate per criptare e decriptare i dati sensibili del cloud. Qlik Cloud consente di utilizzare Chiavi gestite dai clienti per usare la chiave personale (bring your own key) (BYOK) come opzione di crittografia per proteggere i dati del tenant a riposo nel Qlik Cloud.

La crittografia con CMK è applicata a livello di tenant. Gli amministratori tenant possono configurare la crittografia dei tenant per utilizzare un CMK. Qlik Cloud supporta i seguenti provider Key Management Service (KMS):

  • Qlik Internal KMS (Predefinito)

  • Amazon Web Services (AWS) KMS

Nota informaticaQlik Forts, Qlik Sense Mobile SaaS e Data Gateway - Accesso diretto non supportano né utilizzano la crittografia con CMK. CMK supporta la crittografia solo a livello di tenant per i dati del tenant archiviati a riposo. CMK non viene utilizzato per la crittografia dei dati in movimento o dei dati a riposo su un dispositivo mobile, un fort o un gateway di dati.
Nota informaticaCMK non è disponibile con Qlik Sense Business.

Chiavi gestite dai clienti e HIPAA

Qlik Cloud può ospitare informazioni sanitarie personali (PHI) soggette alle normative degli Stati Uniti Health Insurance Portability and Accountability Act del 1996 (HIPAA), a condizione che i clienti utilizzino Chiavi gestite dai clienti e sottoscrivano un accordo di associazione d'impresa (BAA) HIPAA. Anche se Qlik Cloud può supportare i clienti nell'adempimento dei loro requisiti normativi HIPAA, i clienti che utilizzano Qlik Cloud sono responsabili della propria conformità HIPAA. L'utilizzo di Chiavi gestite dai clienti è obbligatorio per inserire PHI in Qlik Cloud. Per ulteriori informazioni, vedere Attendibilità e sicurezza in Qlik.

Panoramica dell'architettura di crittografia Qlik Cloud

Lo schema seguente fornisce una panoramica del servizio di crittografia Qlik Cloud che codifica i dati nel tenant. Se il tenant è configurato per l'uso di CMK mediante KMS AWS, ogni volta che in Qlik Cloud è richiesto un servizio di crittografia o decrittografia dei dati, il servizio di crittografia chiama KMS AWS e utilizza la chiave KMS AWS dell'utente. Altrimenti, per impostazione predefinita, i dati del tenant vengono crittografati utilizzando i datakey generati con Qlik Internal KMS.

Architettura di crittografia Qlik Cloud con CMK

Architettura di crittografia tenant con chiave personale (Bring your own key)

Responsabilità dei clienti con Chiavi gestite dai clienti

Con CMK, i clienti hanno il pieno controllo delle loro chiavi. L'organizzazione del cliente è responsabile della creazione, della manutenzione e della gestione di tutti gli aspetti del ciclo di vita della chiave, comprese le seguenti aree:

Configurazione chiave in KMS AWS

  • Creazione di un account AWS e utilizzo di KMS.

  • Creazione di chiavi e definizione di criteri di gestione delle chiavi KMS AWS in base alle autorizzazioni e ai ruoli IAM e a chi può eseguire funzioni quali la creazione, la disattivazione e l'eliminazione di chiavi.

Gestione delle chiavi in KMS AWS

Una volta configurato il tenant per utilizzare una chiave KMS AWS per crittografare i dati a riposo, l'utente è responsabile della gestione della chiave. È importante proteggere la chiave KMS AWS da eliminazioni o disattivazioni accidentali. Qlik consiglia di stabilire un processo attorno a queste e altre funzioni chiave di gestione. Poiché si tratta di chiavi controllate dal cliente, Qlik Cloud non può impedire all'utente di disabilitare o disattivare la propria CMK.

  • Disabilitazione di una chiave KMS AWS. Questa azione impedisce temporaneamente a Qlik Cloud di effettuare chiamate API a KMS AWS per la generazione di chiavi di dati (utilizzate per la crittografia) e per le operazioni di decrittografia. Ad esempio, un ricaricamento pianificato o un'attività che viene eseguita in background in Qlik Cloud e che richiede la crittografia o la decrittografia dei dati non riuscirà se la chiave (o l'accesso alla chiave) è disabilitata. La riabilitazione della chiave ristabilisce l'accesso al tenant.

  • Eliminazione di una chiave KMS AWS. Questa azione disabiliterà permanentemente il tenant Qlik Cloud. Quando si pianifica l'eliminazione di una chiave, il tenant viene immediatamente messo in modalità disabilitata. Questo impedisce l'accesso alle chiavi e blocca il tenant. KMS AWS ha un processo di controllo completo sull'eliminazione delle chiavi che può essere personalizzato in base alle proprie esigenze. Ad esempio, è possibile impostare un periodo di attesa prima che la chiave venga eliminata e utilizzare gli avvisi, nonché annullare l'eliminazione durante il periodo di attesa.

  • Rotazione di una chiave in KMS AWS. È possibile selezionare l'opzione Rotazione automatica della chiave KMS AWS quando si definisce la chiave. Questo genererà nuovo materiale crittografico per la chiave KMS una volta all'anno. KMS AWS salva tutte le versioni precedenti del materiale crittografico, in modo da poter decrittare qualsiasi dato crittografato con tale chiave KMS. KMS AWS non elimina il materiale della chiave ruotata finché la chiave KMS non viene eliminata. Poiché KMS AWS effettua la decodifica in modo trasparente con il materiale chiave appropriato, si può tranquillamente utilizzare una chiave KMS ruotata, senza che ciò abbia alcun impatto sull'integrazione Qlik Cloud Chiavi gestite dai clienti.

  • Verifica dell'utilizzo delle chiavi: considerare l'utilizzo di strumenti di monitoraggio delle chiavi KMS, come AWS CloudTrail, per monitorare le operazioni di crittografia.

  • Controllo dell'accesso alle chiavi: proteggere il criterio delle chiavi per evitare accessi o modifiche indesiderate.

  • Garantire la disponibilità della chiave: mantenere e garantire che la chiave sia attiva. Impedire azioni che potrebbero causare la perdita dell'accesso. Come per altri servizi AWS, i dati del tenant non saranno disponibili se l'accesso a KMS AWS viene interrotto. KMS AWS include la resilienza integrata attraverso regioni e zone ad alta disponibilità per ottenere ridondanze nella loro infrastruttura. Per ulteriori informazioni sulla sicurezza KMS AWS, vedere Resilienza in AWS Key Management Service.

Per ulteriori informazioni, consultare la documentazione KMS AWS:

Limiti e considerazioni su CMK

La sezione seguente descrive le limitazioni e le considerazioni da fare con CMK in Qlik Cloud:

  • Il tenant, sia esso nuovo o esistente, deve essere privo di dati quando si configura la crittografia del tenant per utilizzare CMK. Durante la configurazione si riceverà un errore in presenza di dati nel tenant. Tuttavia, è possibile impostare la propria IdP prima di configurare la crittografia.
  • Una volta configurato il tenant per l'utilizzo della propria CMK, non è possibile tornare indietro per utilizzare la crittografia Qlik Internal KMS.

  • La creazione di una nuova chiave KMS da utilizzare con un tenant Qlik configurato per CMK non è supportata in questa release.

  • CMK supporta solo KMS AWS come provider di chiavi esterno.

  • CMK supporta solo le chiavi di crittografia simmetriche.

  • CMK supporta chiavi per regioni singole.

  • Chiavi gestite dai clienti non è disponibile con Qlik Forts, Qlik Mobile Client, Data Gateway - Accesso diretto o Qlik Sense Business.