Tenantversleuteling

Wanneer een tenant wordt gemaakt, gebruikt Qlik Cloud meerdere beveiligingslagen om uw gegevens te beschermen. Standaard wordt elke tenant gescheiden van andere tenants door een unieke verzameling van gegenereerde encryptiesleutels die worden beheerd door de Qlik-versleutelingsservice voor het versleutelen van inhoud in de tenant. De sleutels van elke tenant worden gescheiden van de sleutels die Qlik gebruikt voor de beveiliging van service-naar-servicecommunicatie.

Qlik Cloud gebruikt de volgende versleutelingsstandaarden:

Bij overdracht — TLS 1.2-versleuteling
Bij inactiviteit — AES-256-GCM-versleuteling
Binnen het platform (na authenticatie met een aangewezen IdP) — Ondertekende JSON Web Tokens (JWT's) om de integriteit, authenticiteit en niet-afwijzing te garanderen

Als uw organisatie een Qlik Talend Cloud Premium- of Enterprise-abonnement heeft, zijn de versleutelingsinstellingen van toepassing op zowel uw Qlik Cloud als uw Talend Cloud tenants.

Door klant beheerde sleutels (CMK)

Qlik Cloud biedt Door klant beheerde sleutels functionaliteit om uw eigen versleutelingssleutel (BYOK) te gebruiken om uw tenantgegevens in rust binnen uw tenant te beveiligen.

Tenantbeheerders configureren tenantversleuteling om een CMK te gebruiken. Qlik Cloud biedt ondersteuning voor de volgende KMS-providers (Key Management Service):

Qlik interne KMS (standaard)
Amazon Web Services (AWS) KMS

CMK versleutelt gegevens die zijn opgeslagen op de tenant. Het versleutelt geen gegevens in Qlik Sense Mobile SaaS-, Directe toegang tot de gegevensgateway- of Gegevensgateway - Gegevensverplaatsing-producten.
CMK versleutelt gegevens in rust, niet in beweging.
CMK is niet beschikbaar in Qlik Sense Business.

Door klant beheerde sleutels en HIPAA

Door klant beheerde sleutels is verplicht in Qlik Cloud tenants die workloads met persoonlijke gezondheidsinformatie (PHI) uitvoeren. Ga voor meer informatie naar Betrouwbaarheid en beveiliging bij Qlik. Klanten moeten ermee instemmen een door de klant beheerde sleutel toe te passen op hun tenant en een HIPAA Business Associate Agreement (BAA) te ondertekenen om PHI-workloads uit te voeren. Qlik Cloud kan persoonlijke gezondheidsinformatie (PHI) hosten die onderworpen is aan de regelgeving in de Amerikaanse Health Insurance Portability and Accountability Act van 1996 (HIPAA), uitsluitend onder deze voorwaarden. Hoewel Qlik Cloud klanten kan ondersteunen bij hun HIPAA-regelgevingsvereisten, zijn klanten zelf verantwoordelijk voor de naleving van HIPAA.

Overzicht van de versleutelingsarchitectuur van Qlik Cloud

Het volgende diagram biedt een overzicht van de Qlik Cloud-versleutelingsservice die gegevens in de tenant versleutelt. Standaard versleutelen en ontsleutelen Qlik Cloud tenants gegevens met versleutelingssleutels die zijn gegenereerd door de KMS van Qlik Cloud. Met Door klant beheerde sleutels genereert AWS KMS de versleutelingssleutels die door de tenant worden gebruikt. Elke keer dat een service in Qlik Cloud gegevens versleutelt of ontsleutelt, roept de versleutelingsservice AWS KMS aan en gebruikt de door de klant beheerde sleutel.

Tenantversleutelingsarchitectuur met Bring your own key — Qlik Cloud versleutelingsarchitectuur met CMK

Verantwoordelijkheden van klanten bij gebruik van Door klant beheerde sleutels

Met CMK hebben klanten de volledige controle over hun sleutels. De organisatie van de klant moet alle aspecten van de levensduur van de sleutel maken, onderhouden en beheren, met inbegrip van de volgende aspecten:

Instelling van sleutels in AWS KMS

Het maken van een AWS-account en het gebruik van KMS.
Het maken van sleutels en het opstellen van beheerbeleid voor AWS KMS-sleutels voor machtigingen en rollen voor Identity and Access Management (IAM), wie functies kan uitvoeren, zoals het maken, uitschakelen en verwijderen van sleutels.

Sleutelbeheer in AWS KMS

Nadat u uw tenant hebt geconfigureerd voor het gebruik van een AWS KMS-sleutel voor het versleutelen van gegevens in rust, bent u verantwoordelijk voor het beheer van de sleutel. Het is belangrijk om te voorkomen dat uw AWS KMS-sleutel per ongeluk wordt verwijderd of uitgeschakeld. Qlik beveelt aan dat u een proces opstelt voor de beheerfuncties van deze sleutels. Dit zijn door klant beheerde sleutels, waardoor Qlik Cloud niet kan voorkomen dat u uw CMK uitschakelt of deactiveert.

Een AWS KMS-sleutel uitschakelen. Met deze actie kan Qlik Cloud tijdelijk geen API-aanroepen verzenden naar AWS KMS voor het genereren van gegevenssleutels (die worden gebruikt voor versleuteling) en ontsleutelen. Bijvoorbeeld: een geplande lading of taak die in Qlik Cloud op de achtergrond wordt uitgevoerd en waardoor gegevensversleuteling of -ontsleuteling is vereist zal mislukken als de sleutel (of toegang tot de sleutel) is uitgeschakeld. Door de sleutel opnieuw in te schakelen, wordt de toegang tot de tenant hersteld.
Een AWS KMS-sleutel verwijderen. Met deze actie wordt de Qlik Cloud-tenant definitief verwijderd. Als u het verwijderen van de sleutel inplant, wordt de tenant direct omgeschakeld naar de modus Uitgeschakeld. Hierdoor wordt toegang tot de sleutels voorkomen en wordt de tenant vergrendeld. AWS KMS heeft een uitgebreid beheerproces voor het verwijderen van sleutels die u naar wens kunt aanpassen. Als u bijvoorbeeld een wachtperiode instelt voordat de sleutel wordt verwijderd en waarschuwingen gebruikt, kunt u het verwijderen annuleren tijdens de wachtperiode.
Een sleutel in AWS KMS roteren. U kunt de optie Automatische sleutelrotatie voor AWS KMS selecteren tijdens het definiëren van uw sleutel. Hiermee wordt er één keer per jaar nieuw cryptografiemateriaal voor de KMS-sleutel gegenereerd. AWS KMS slaat alle eerdere versies van het cryptografiemateriaal op zodat u gegevens kunt ontsleutelen die zijn versleuteld met deze KMS-sleutel. AWS KMS verwijderd geen geroteerd sleutelmateriaal totdat de KMS-sleutel is verwijderd. Omdat AWS KMS op transparante wijze het geschikte sleutelmateriaal ontsleuteld, kunt u veilig een geroteerde KMS-sleutel gebruiken. Dit heeft geen invloed op uw integratie van Qlik CloudDoor klant beheerde sleutels. Houd er rekening mee dat dit anders is dan een compleet nieuwe AWS-sleutel en de tenant volledig opnieuw versleuteld wordt als u de Qlik CMK-sleutelprovider wijzigt naar de nieuwe sleutel. Zie: Tenantversleuteling configureren.
Gebruik van sleutels controleren. Overweeg het gebruik van KMS-sleutelbewakingstools, zoals AWS CloudTrail, om versleutelingsbewerkingen te bewaken.
Toegang tot sleutels beheren. Beveilig het sleutelbeleid om ongewenste toegang of wijzigingen te voorkomen.
Beschikbaarheid van sleutels garanderen. Zorg dat de sleutel actief blijft. Voorkom acties die ertoe kunnen leiden dat toegang tot de sleutels niet meer mogelijk is. Vergelijkbaar met andere AWS-services, zijn tenantgegevens niet beschikbaar als toegang tot AWS KMS wordt onderbroken. AWS KMS bevat ingebouwde tolerantie voor regio's en zones met hoge beschikbaarheid om redundantie in de infrastructuur te bereiken. Voor meer informatie over de beveiliging van AWS KMS raadpleegt u Tolerantie voor AWS Key Management Service.

Zie de documentatie van AWS KMS voor meer informatie.

CMK opties in Qlik Cloud regio's

AWS KMS biedt twee opties voor versleutelingssleutels, één regio en meerdere regio's, aan Qlik Cloud klanten, afhankelijk van de regio waar de tenant is ingericht. In regio's met specifieke vereisten voor gegevenssoevereiniteit die data-exfiltratie verbieden, zelfs voor herstel na noodgevallen, ondersteunt Qlik Cloud het gebruik van CMK met sleutels voor één regio of meerdere regio's van AWS KMS.

Qlik Cloud soevereine regio's bieden geen diensten voor herstel na noodgevallen. Bijgevolg is er geen hersteloptie voor gegevens binnen tenants die zijn versleuteld met door de klant beheerde sleutels.

In regio's zonder specifieke vereisten voor gegevenssoevereiniteit moeten klanten die versleutelingssleutels van AWS KMS inrichten, een sleutel voor meerdere regio's genereren die overeenkomt met de primaire en herstelregio na noodgevallen van de tenant. De multi-regiosleutel zorgt voor bedrijfscontinuïteit in het geval van een ramp in de primaire regio van de tenant en succesvolle failover naar de disaster recovery-regio van de tenant.

Overgang van afzonderlijke regiosleutel naar sleutel voor meerdere regio's

Door klant beheerde sleutels ondersteunt sleutels voor meerdere regio's ter ondersteuning van processen voor herstel na noodgevallen. Als u op dit moment een afzonderlijke regiosleutel gebruikt, raden we u aan een sleutel voor meerdere regio's te maken om uw tenant naadloos te kunnen gebruiken in een back-upregio voor het geval er een storing optreedt in uw primaire regio.

Voor informatie over hoe u een sleutel voor meerdere regio's aanmaakt, raadpleegt u AWS KMS multiregionale sleutel voor herstel na noodgeval.

Als u een nieuwe sleutel gebruikt tijdens de sleutelrotatie, wordt u gedwongen een sleutelset-up voor meerdere regio's te gebruiken.

Beperkingen en overwegingen voor CMK

De volgende sectie beschrijft de beperkingen en overwegingen voor CMK in Qlik Cloud:

Nadat u de tenant hebt geconfigureerd voor het gebruik van uw eigen CMK, kunt u de Qlik interne KMS-versleuteling niet meer gebruiken en kunt u de sleutel niet wijzigen naar een andere CMK.
CMK biedt alleen ondersteuning voor AWS KMS als externe sleutelprovider.
CMK biedt alleen ondersteuning voor symmetrische encryptiesleutels.
CMK ondersteunt sleutels voor één regio of meerdere regio's, afhankelijk van de regio waar de tenant zich bevindt.
Door klant beheerde sleutels is niet beschikbaar met Qlik Mobile Client, Directe toegang tot de gegevensgateway of Qlik Sense Business.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een tikfout, een ontbrekende stap of een technische fout – laat het ons weten!

Geef hier uw feedback