AWS と Azure のセキュリティ

Qlik Sense を AWS または Azure に展開する前に、基本的なセキュリティ関連事項の概要を知る必要があります。AWS と Azure には、設定中に権限を構成し、セキュリティ オプションを設定するための特定のツールがあります。選択したクラウド環境に Qlik Sense を展開したら、オンプレミスの Qlik Sense 展開の場合と同様に、Qlik Management Console を使ってセキュリティを構成します。

Qlik Sense

Qlik Sense のセキュリティ考慮事項の概要:

  • Qlik Sense では、セキュリティと認証の設定をすべて Qlik Management Console から管理します。
  • Qlik Sense Proxy Service のモジュールは、Microsoft Windows ユーザーの認証を処理します。
  • 認証は、リバース プロキシまたはユーザーを認証するためのフィルタリングを提供するシングル サインオン (SSO) システムと併用して、頻繁に使用されます。
  • 別の認証方法を使用したり、さまざまな認証シナリオに応じて独自にカスタマイズしたソリューションを実装したりすることができます。

QMC から直接管理されるリソース:

  • 各種セクションへの QMC ユーザー管理者レベルのアクセス権を付与する管理者ロール
  • Web ブラウザーとプロキシ コンポーネント間の通信のプロキシ証明書
  • URI に基づくさまざまなモジュールを使用して Qlik Sense にアクセスできるようにする仮想プロキシ
  • セキュリティ ルールで独自の値を使用できるカスタム プロパティ
  • Qlik Sense リソースにユーザーアクセス権を与えるアクセス制御およびセキュリティ ルール

Qlik Sense によって使用される認証方法:

  • NTLM/Kerberos
  • Security Assertion Markup Language (SAML) 
  • 匿名の認証
  • セッション/チケット API

Qlik Sense のセキュリティの詳細については、「セキュリティ 」を参照してください。

AWS

AWS 展開にセキュリティを構成するには、AWS セキュリティ グループ、キー ペア、および Qlik Sense セキュリティ グループの設定方法について基本を理解する必要があります。Amazon Management Console を使って AWS セキュリティを構成し、Qlik Management Console を使って Qlik Sense ですべてのセキュリティ設定と認証設定を構成します。プロキシ サービス (QPS) のモジュールは、Microsoft Windows ユーザーの認証を処理します。必要な場合は、独自のカスタム認証ソリューションも実装できます。

Amazon Management Console を使って以下を構成します。

  • AWS セキュリティ グループ - EC2 インスタンスの初期 Qlik Sense セキュリティ グループ用のアクセス ルールを構成します。
  • キー ペア - AWS コンソールで Qlik Sense キー ペアを作成します。Qlik Sense.pem キー ペア ファイルは後でインスタンスへのアクセスに必要になるので、ローカルに保存します。

AWS Directory Services を使って、Qlik Sense サーバー側でセキュリティと認証を設定できます。このサービスによって、AWS クラウド内で Microsoft Active Directory (AD) を容易に設定、実行したり、既存のオンプレミス Microsoft Active Directory に AWS リソースを簡単に接続したりすることができます。

AWS Directory Service は、次の 3 種類のディレクトリを提供します。

  • Microsoft AD とも呼ばれる Microsoft Active Directory (Enterprise Edition) 用の AWS Directory Service
  • Simple AD
  • AD Connector

AWS Directory Services により、同じ企業資格情報を使って AWS リソースをオンプレミスのディレクトリに接続できるようになります。このオプションは Microsoft Security Support Provider Interface (SSPI) を使って、Windows のユーザー名とパスワードを読み取り、シングル サインオンと同様に機能します。Qlik Sense Server 環境内に複数のノードがある場合は、全てのノードを同じドメインの一部にする必要があります。

詳細については、「AWS security」 (AWS のセキュリティ) を参照してください。

Azure

Resource Manager を使って Azure のセキュリティと QMC を構成することで、Qlik Sense ですべてのセキュリティ設定と認証設定を構成します。Azure でセキュリティを構成するには、最初にサブネット、仮想ネットワーク、インスタンスの IP アドレス、およびネットワーク セキュリティ ルールを設定します。これは、ファイアウォール内でポートを構成する場合と同様です。次に、インスタンスが使用できるネットワーク インスタンスを設定し、すでに設定されているネットワークとサブネットにバインドします。Qlik Sense Proxy Service のモジュール (QPS) は、Microsoft Windows ユーザーの認証を処理します。必要な場合は、独自のカスタム認証ソリューションも実装できます。

Azure Resource Manager を使って以下を構成します。

  • Azure セキュリティ グループ
  • Azure Active Directory と Identity Management

Azure Active Directory (Azure AD) は Microsoft のマルチテナント クラウドベースのディレクトリおよび ID 管理サービスです。Azure AD は、Office365、Salesforce.com、Concur などの他のクラウド SaaS アプリケーションへのシングル サインオン (SSO) アクセス権をユーザーに付与するための、使いやすいソリューションを IT 管理者に提供します。Azure AD には、多要素認証、デバイス登録、セルフサービス パスワード管理、セルフサービス グループ管理、特権アカウント管理、ロールベースのアクセス制御、アプリケーション使用状況の監視、豊富な監査、セキュリティの監視とアラートなど、包括的な ID 管理機能一式も含まれています。

詳細については、「Azure security」 (Azure のセキュリティ) を参照してください。