Ga naar hoofdinhoud Skip to complementary content

Tenantversleuteling

Wanneer een tenant wordt gemaakt, gebruikt Qlik Cloud meerdere beveiligingslagen om uw gegevens te beschermen. Standaard wordt elke tenant gescheiden van andere tenants door een unieke verzameling van gegenereerde encryptiesleutels die worden beheerd door de Qlik-versleutelingsservice voor het versleutelen van inhoud in de tenant. De sleutels van elke tenant worden gescheiden van de sleutels die Qlik gebruikt voor de beveiliging van service-naar-servicecommunicatie.

Qlik Cloud gebruikt de volgende versleutelingsstandaarden:

  • Bij overdracht — TLS 1.2-versleuteling

  • Bij inactiviteit — AES-256-GCM-versleuteling

  • Binnen het platform (na authenticatie met een aangewezen IdP) — Ondertekende JSON Web Tokens (JWT's) om de integriteit, authenticiteit en niet-afwijzing te garanderen

Customer Managed Keys (CMK)

Sommige sterk gereguleerde industrieën zoals de gezondheidszorg, moeten voldoen aan strenge regelgeving voor beveiliging en compliance. Daarnaast maken veel commerciële klanten gebruik van gegevensclassificatie voor marktgevoelige gegevens om te bepalen of aanvullende beveiligingstechnieken zijn vereist voor specifieke gegevensverzamelingen. Deze striktere beveiligingseisen kunnen betrekking hebben op de vereiste om encryptiesleutels te beheren die worden gebruikt voor het versleutelen en ontsleutelen van gevoelige cloudgegevens. Met Qlik Cloud kunt u uw Customer Managed Keys gebruiken om uw eigen sleutel te gebruiken (BYOK) als versleutelingsoptie om uw tenantgegevens in rust te beveiligen in de Qlik Cloud.

Versleuteling met CMK wordt toegepast op het tenantniveau. Tenantbeheerders kunnen tenantversleuteling zo configureren dat CMK wordt gebruikt. Qlik Cloud biedt ondersteuning voor de volgende KMS-providers (Key Management Service):

  • Qlik interne KMS (standaard)

  • Amazon Web Services (AWS) KMS

InformatieQlik Forts, Qlik Sense Mobile SaaS en Gegevensgateway - Directe toegang bieden geen ondersteuning of gebruiken geen versleuteling met CMK. CMK ondersteunt versleuteling alleen op het tenantniveau voor gegevens die in rust zijn opgeslagen. CMK wordt niet gebruikt voor de versleuteling van gegevens in beweging of gegevens in rust op een mobiel apparaat, fort of gegevensgateway.
InformatieCMK is niet beschikbaar in Qlik Sense Business.

Customer Managed Keys en HIPAA

Qlik Cloud kan medische persoonsgegevens hosten die vallen onder de wetgevingen van de Amerikaanse Health Insurance Portability and Accountability Act van 1996 (HIPAA), mits klanten Customer Managed Keys gebruiken en een HIPAA Business Associate Agreement (BAA) ondertekenen. Qlik Cloud kan klanten ondersteunen door de reglemantaire vereisten van HIPAA, maar klanten die gebruikmaken van Qlik Cloud dragen zelf de verantwoordelijkheid voor de compliance met HIPAA. Gebruik van Customer Managed Keys is verplicht om medische persoonsgegevens in Qlik Cloud te plaatsen. Ga voor meer informatie naar Betrouwbaarheid en beveiliging bij Qlik.

Overzicht van de versleutelingsarchitectuur van Qlik Cloud

Het volgende diagram biedt een overzicht van de Qlik Cloud-versleutelingsservice die gegevens in de tenant versleutelt. Als uw tenant is geconfigureerd voor CMK met gebruik van AWS KMS, vraagt de versleutelingsservice AWS KMS aan en gebruikt uw AWS KMS-sleutel als er een service in Qlik Cloud is vereist voor het versleutelen of ontsleutelen van gegevens. Anders worden tenantegevens standaard versleuteld met de gegevenssleutels die zijn gegenereerd met Qlik interne KMS.

Qlik Cloud versleutelingsarchitectuur met CMK

Tenantversleutelingsarchitectuur met Bring your own key

Verantwoordelijkheden van klanten bij gebruik van Customer Managed Keys

Met CMK hebben klanten de volledige controle over hun sleutels. De organisatie van de klant moet alle aspecten van de levensduur van de sleutel maken, onderhouden en beheren, met inbegrip van de volgende aspecten:

Instelling van sleutels in AWS KMS

  • Het maken van een AWS-account en het gebruik van KMS.

  • Het maken van sleutels en het opstellen van beheerbeleid voor AWS KMS-sleutels voor IAM-machtigingen en -rollen, wie functies kan uitvoeren, zoals het maken, uitschakelen en verwijderen van sleutels.

Sleutelbeheer in AWS KMS

Nadat u uw tenant hebt geconfigureerd voor het gebruik van een AWS KMS-sleutel voor het versleutelen van gegevens in rust, bent u verantwoordelijk voor het beheer van de sleutel. Het is belangrijk om te voorkomen dat uw AWS KMS-sleutel per ongeluk wordt verwijderd of uitgeschakeld. Qlik beveelt aan dat u een proces opstelt voor de beheerfuncties van deze sleutels. Dit zijn door klant beheerde sleutels, waardoor Qlik Cloud niet kan voorkomen dat u uw CMK uitschakelt of deactiveert.

  • Een AWS KMS-sleutel uitschakelen. Met deze actie kan Qlik Cloud tijdelijk geen API-aanroepen verzenden naar AWS KMS voor het genereren van gegevenssleutels (die worden gebruikt voor versleuteling) en ontsleutelen. Bijvoorbeeld: een geplande lading of taak die in Qlik Cloud op de achtergrond wordt uitgevoerd en waardoor gegevensversleuteling of -ontsleuteling is vereist zal mislukken als de sleutel (of toegang tot de sleutel) is uitgeschakeld. Door de sleutel opnieuw in te schakelen, wordt de toegang tot de tenant hersteld.

  • Een AWS KMS-sleutel verwijderen. Met deze actie wordt de Qlik Cloud-tenant definitief verwijderd. Als u het verwijderen van de sleutel inplant, wordt de tenant direct omgeschakeld naar de modus Uitgeschakeld. Hierdoor wordt toegang tot de sleutels voorkomen en wordt de tenant vergrendeld. AWS KMS heeft een uitgebreid beheerproces voor het verwijderen van sleutels die u naar wens kunt aanpassen. Als u bijvoorbeeld een wachtperiode instelt voordat de sleutel wordt verwijderd en waarschuwingen gebruikt, kunt u het verwijderen annuleren tijdens de wachtperiode.

  • Een sleutel in AWS KMS roteren. U kunt de optie Automatische sleutelrotatie voor AWS KMS selecteren tijdens het definiëren van uw sleutel. Hiermee wordt er één keer per jaar nieuw cryptografiemateriaal voor de KMS-sleutel gegenereerd. AWS KMS slaat alle eerdere versies van het cryptografiemateriaal op zodat u gegevens kunt ontsleutelen die zijn versleuteld met deze KMS-sleutel. AWS KMS verwijderd geen geroteerd sleutelmateriaal totdat de KMS-sleutel is verwijderd. Omdat AWS KMS op transparante wijze het geschikte sleutelmateriaal ontsleuteld, kunt u veilig een geroteerde KMS-sleutel gebruiken. Dit heeft geen invloed op uw integratie van Qlik Cloud Customer Managed Keys.

  • Sleutelgebruik controleren — Overweeg het gebruik van beheertools voor KMS-sleutels, zoals AWS CloudTrail voor het bewaken van versleutelingsbewerkingen.

  • Toegang tot sleutels beheren — Beveilig het sleutelbeleid om ongewenste toegang of wijzigingen te voorkomen.

  • Beschikbaarheid van sleutels garanderen — Zorg dat de sleutel actief blijft. Voorkom acties die ertoe kunnen leiden dat toegang tot de sleutels niet meer mogelijk is. Vergelijkbaar met andere AWS-services, zijn tenantgegevens niet beschikbaar als toegang tot AWS KMS wordt onderbroken. AWS KMS bevat ingebouwde tolerantie voor regio's en zones met hoge beschikbaarheid om redundantie in de infrastructuur te bereiken. Voor meer informatie over de beveiliging van AWS KMS raadpleegt u Tolerantie voor AWS Key Management Service.

Zie de documentatie van AWS KMS voor meer informatie.

Beperkingen en overwegingen voor CMK

De volgende sectie beschrijft de beperkingen en overwegingen voor CMK in Qlik Cloud:

  • De tenant, of dit nu een bestaande of een nieuwe tenant is, mag geen gegevens bevatten als u de tenantversleuteling configureert voor het gebruik van CMK. U ziet een fout tijdens de configuratie als er in de tenant gegevens aanwezig zijn. U kunt uw IdP instellen voordat u de versleuteling gaat configureren.
  • Nadat u de tenant hebt geconfigureerd voor het gebruik van uw eigen CMK, kunt u de Qlik interne KMS-versleuteling niet meer gebruiken.

  • Het maken van een nieuwe KMS-sleutel voor gebruik met een Qlik-tenant die is geconfigureerd voor CMK wordt niet ondersteund in deze release.

  • CMK biedt alleen ondersteuning voor AWS KMS als externe sleutelprovider.

  • CMK biedt alleen ondersteuning voor symmetrische encryptiesleutels.

  • CMK biedt alleen ondersteuning voor sleutels voor één regio.

  • Customer Managed Keys is niet beschikbaar voor Qlik Forts, Qlik Mobile Client, Gegevensgateway - Directe toegang of Qlik Sense Business.