기본 콘텐츠로 건너뛰기 보완적인 콘텐츠로 건너뛰기
Qlik 리소스
SearchUnify의 검색 로딩 제품에 대한 도움이 필요하면 Qlik 지원 센터에 문의하십시오.
Qlik 고객 포털
SearchUnify의 검색 로딩 제품에 대한 도움이 필요하면 Qlik 지원 센터에 문의하십시오.
Qlik 고객 포털

테넌트 암호화

테넌트가 만들어지면 Qlik Cloud는 여러 보안 계층을 사용하여 데이터를 보호합니다. 기본적으로 각 테넌트는 테넌트의 콘텐츠를 암호화하기 위해 Qlik 암호화 서비스에서 관리하는 고유하게 생성된 암호화 키 집합에 의해 다른 테넌트와 분리됩니다. 각 테넌트의 키는 Qlik에서 서비스 간 통신을 보호하는 데 사용하는 키와 별개입니다.

Qlik Cloud는 다음 암호화 표준을 사용합니다.

  • 전송 중—TLS 1.2 암호화

  • 미사용—AES-256-GCM 암호화

  • 플랫폼 내(지정된 IdP로 인증 후)—무결성, 신뢰성 및 부인 방지를 보장하기 위한 서명된 JWT(JSON Web Token)

정보 메모귀하의 조직에 Qlik Talend Cloud Premium 또는 Enterprise 구독이 있는 경우, 암호화 설정은 귀하의 Qlik CloudTalend Cloud 테넌트 모두에 적용됩니다.

고객이 관리하는 키(CMK)

의료와 같이 규제가 엄격한 일부 산업은 보안 및 규정 준수에 대한 엄격한 규제 규칙을 충족해야 합니다. 또한 많은 상용 고객은 시장에 중요한 데이터에 대한 데이터 분류 접근 방식을 활용하여 특정 데이터 집합에 추가 보안 기술이 필요한지 여부를 확인합니다. 이러한 더 엄격한 보안 요구 사항에는 중요한 클라우드 데이터를 암호화하고 해독하는 데 사용되는 암호화 키를 제어하기 위한 요구 사항이 포함될 수 있습니다. Qlik Cloud를 통해 고객이 관리하는 키를 사용하여 Qlik 클라우드 내 미사용 테넌트 데이터를 보호하기 위한 암호화 옵션으로 자신의 키(BYOK)를 가져올 수 있습니다.

CMK를 사용한 암호화는 테넌트 수준에서 적용됩니다. 테넌트 관리자는 CMK를 사용하도록 테넌트 암호화를 구성할 수 있습니다. Qlik Cloud는 다음 KMS(키 관리 서비스) 공급자를 지원합니다.

  • Qlik 내부 KMS(기본값)

  • Amazon 웹 서비스(AWS) KMS

정보 메모Qlik 분석 모바일 앱, 데이터 게이트웨이 - 직접 액세스데이터 게이트웨이 - 데이터 이동CMK를 사용하여 암호화를 지원하거나 사용하지 않습니다. CMK는 미사용 상태로 저장된 테넌트 데이터에 대해 테넌트 수준에서만 암호화를 지원합니다. CMK는 이동 중인 데이터의 암호화 또는 모바일 장치 또는 데이터 게이트웨이의 미사용 데이터와 함께 사용되지 않습니다.
정보 메모CMK은(는) Qlik Sense Business과(와) 함께 사용할 수 없습니다.

고객이 관리하는 키HIPAA

Qlik Cloud는 고객이 고객이 관리하는 키를 사용하고 HIPAA BAA(비즈니스제휴 계약)를 서명하는 경우 1996년 US Health Insurance Portability and Accountability Act(HIPAA)의 규정이 적용되는 PHI(개인 건강 정보)를 호스팅할 수 있습니다. Qlik CloudHIPAA 규정 요구 사항을 통해 고객을 지원할 수 있지만 Qlik Cloud를 사용하는 고객은 자신의 HIPAA 준수에 대한 책임이 있습니다. PHI 워크로드를 운영하는 Qlik Cloud.테넌트에서 고객이 관리하는 키 사용은 필수입니다. 자세한 내용은 Qlik의 신뢰 및 보안을 참조하십시오.

Qlik Cloud 암호화 아키텍처 개요

다음 다이어그램은 테넌트의 데이터를 암호화하는 Qlik Cloud 암호화 서비스의 개요를 제공합니다. 기본적으로 Qlik Cloud 테넌트는 Qlik Cloud의 KMS에서 생성된 암호화 키를 사용하여 데이터를 암호화하고 해독합니다. 고객이 관리하는 키를 사용하면 AWS KMS가 테넌트에서 사용하는 암호화 키를 생성합니다. Qlik Cloud의 서비스가 데이터를 암호화하거나 해독할 때마다 암호화 서비스는 AWS KMS를 호출하고 고객 관리 키를 사용합니다.

CMK를 사용한 Qlik Cloud 암호화 아키텍처

자체 키 가져오기가 포함된 테넌트 암호화 아키텍처

고객이 관리하는 키를 사용할 때의 고객 책임

CMK를 사용하면 고객이 키를 완전히 제어할 수 있습니다. 고객의 조직은 다음 영역을 포함하여 주요 수명 주기의 모든 측면을 만들기, 유지 및 관리할 책임이 있습니다.

AWS KMS에서의 키 설정

  • AWS 계정 만들기 및 KMS 사용.

  • 키를 만들고 ID 및 액세스 관리(IAM) 권한 및 역할, 그리고 키 만들기, 비활성화 및 삭제와 같은 함수를 수행할 수 있는 사용자에 대한 AWS KMS 키 관리 정책을 설정합니다.

AWS KMS에서의 키 관리

AWS KMS 키를 사용하여 미사용 데이터를 암호화하도록 테넌트를 구성한 후에는 키를 관리해야 합니다. AWS KMS 키가 실수로 삭제되거나 비활성화되지 않도록 보호해야 합니다. 이러한 주요 관리 함수 및 기타 함수를 중심으로 프로세스를 설정할 것이 좋습니다. 고객이 제어하는 키이므로 Qlik CloudCMK를 비활성화하는 것을 방지할 수 없습니다.

  • AWS KMS 키 비활성화. 이 작업은 Qlik Cloud가 데이터 키 생성(암호화에 사용) 및 암호 해독 작업을 위해 AWS KMS에 대한 API 호출을 일시적으로 방지합니다. 예를 들어, 예약된 다시 로드 또는 작업은 Qlik Cloud에서 백그라운드로 실행되고 데이터 암호화 또는 암호 해독이 필요한 경우 키(또는 키에 대한 액세스)가 비활성화된 동안에는 실패합니다. 키를 다시 활성화하면 테넌트에 대한 액세스가 다시 설정됩니다.

  • AWS KMS 키 삭제. 이 작업은 Qlik Cloud 테넌트를 영구적으로 비활성화합니다. 키 삭제를 예약하면 테넌트가 즉시 비활성화 모드로 전환됩니다. 이렇게 하면 키에 대한 액세스가 방지되고 테넌트가 잠깁니다. AWS KMS에는 필요에 맞게 사용자 지정할 수 있는 키 삭제에 대한 광범위한 제어 프로세스가 있습니다. 예를 들어, 키가 삭제되기 전의 대기 기간을 설정하고 알림을 사용할 수 있으며, 대기 기간 동안 삭제를 취소할 수 있습니다.

  • AWS KMS에서 키 회전. 키를 정의할 때 AWS KMS 자동 키 회전 옵션을 선택할 수 있습니다. 이렇게 하면 1년에 한 번 KMS 키에 대한 새 암호화 자료가 생성됩니다. AWS KMS는 암호화 자료의 모든 이전 버전을 저장하므로 해당 KMS 키로 암호화된 모든 데이터의 암호를 해독할 수 있습니다. AWS KMSKMS 키가 삭제될 때까지 회전된 키 자료는 삭제되지 않습니다. AWS KMS는 적절한 키 자료를 사용하여 투명하게 암호를 해독하므로 회전된 KMS 키를 안전하게 사용할 수 있으며 Qlik Cloud고객이 관리하는 키 통합에 영향을 미치지 않습니다. 이는 완전히 새로운 AWS 키와는 다르며 Qlik CMK 키 공급자를 해당 새 키로 변경하여 테넌트를 완전히 다시 암호화하는 것과는 다릅니다. 테넌트 암호화 구성을 참조하십시오.

  • 키 사용 감사 - AWS CloudTrail과 같은 KMS 키 모니터링 도구를 사용하여 암호화 작업을 모니터링하는 것이 좋습니다.

  • 키 액세스 제어—원치 않는 액세스 또는 변경을 방지하기 위해 키 정책을 보호합니다.

  • 키 가용성 보장—키가 활성 상태인지 유지 관리하고 확인합니다. 액세스 권한을 잃을 수 있는 작업을 방지합니다. 다른 AWS 서비스와 마찬가지로 AWS KMS에 대한 액세스가 중단되면 테넌트 데이터를 사용할 수 없습니다. AWS KMS에 지역 및 고가용성 영역을 통한 기본 제공 복원력이 포함되어 있으므로 인프라에서 중복성을 달성할 수 있습니다. AWS KMS 보안에 대한 자세한 내용은 AWS 키 관리 서비스의 복원력을 참조하십시오.

자세한 내용은 AWS KMS 설명서를 참조하십시오.

Qlik Cloud 지역의 CMK 옵션

AWS KMS는 테넌트가 프로비저닝되는 리전에 따라 Qlik Cloud 고객에게 단일 리전 및 다중 리전의 두 가지 암호화 키 옵션을 제공합니다. 재해 복구 목적으로도 데이터 유출을 금지하는 특정 데이터 주권 요구 사항이 있는 리전에서 Qlik CloudAWS KMS의 단일 리전 또는 다중 리전 키와 함께 CMK 사용을 지원합니다.

경고 메모Qlik Cloud 주권 리전은 재해 복구 서비스를 제공하지 않습니다. 결과적으로 고객 관리 키로 암호화된 테넌트 내 데이터에 대한 복구 옵션은 없습니다.

특정 데이터 주권 요구 사항이 없는 리전에서 AWS KMS에서 암호화 키를 프로비저닝하는 고객은 테넌트의 기본 및 재해 복구 리전과 일치하는 다중 리전 키를 생성해야 합니다. 다중 지역 키는 테넌트 기본 지역에서 재해가 발생하고 테넌트 재해 복구 지역으로 성공적으로 장애 조치되는 경우 비즈니스 연속성을 보장합니다.

단일 지역 키에서 다중 지역 키로 전환

고객이 관리하는 키는 재해 복구 프로세스를 지원하기 위해 다중 지역 키를 지원합니다. 현재 단일 지역 키를 사용하고 있는 경우 기본 지역에서 중단이 발생할 경우 백업 지역에서 테넌트를 원활하게 사용할 수 있도록 다중 지역 키를 만드는 것이 좋습니다.

다중 지역 키를 만드는 방법에 대한 자세한 내용은 재해 복구(DR)를 위한 AWS KMS 다중 지역 키를 참조하십시오.

정보 메모키 순환 중에 새 키를 사용하면 다중 지역 키 설정을 사용해야 합니다.

CMK 제한 사항 및 고려 사항

다음 섹션에서는 Qlik CloudCMK에 대한 제한 사항 및 고려 사항을 설명합니다.

  • 자체 CMK를 사용하도록 테넌트를 구성한 후 다시 Qlik 내부 KMS 암호화를 사용하도록 되돌리거나 키를 다른 CMK로 변경할 수 있습니다.

  • CMK는 외부 키 공급자로 AWS KMS만 지원합니다.

  • CMK는 대칭 암호화 키만 지원합니다.

  • CMK는 테넌트가 상주하는 지역에 따라 단일 지역 또는 다중 지역 키를 지원합니다.

  • 고객이 관리하는 키Qlik Mobile Client, 데이터 게이트웨이 - 직접 액세스 또는 Qlik Sense Business와 함께 사용할 수 없습니다.

이 페이지가 도움이 되었습니까?

이 페이지 또는 해당 콘텐츠에서 오타, 누락된 단계 또는 기술적 오류와 같은 문제를 발견하면 알려 주십시오!

여기에 피드백을 남겨주십시오.