Tenantversleuteling
Wanneer een tenant wordt gemaakt, gebruikt Qlik Cloud meerdere beveiligingslagen om uw gegevens te beschermen. Standaard wordt elke tenant gescheiden van andere tenants door een unieke verzameling van gegenereerde encryptiesleutels die worden beheerd door de Qlik-versleutelingsservice voor het versleutelen van inhoud in de tenant. De sleutels van elke tenant worden gescheiden van de sleutels die Qlik gebruikt voor de beveiliging van service-naar-servicecommunicatie.
Qlik Cloud gebruikt de volgende versleutelingsstandaarden:
-
Bij overdracht — TLS 1.2-versleuteling
-
Bij inactiviteit — AES-256-GCM-versleuteling
-
Binnen het platform (na authenticatie met een aangewezen IdP) — Ondertekende JSON Web Tokens (JWT's) om de integriteit, authenticiteit en niet-afwijzing te garanderen
Door klant beheerde sleutels (CMK)
Sommige sterk gereguleerde industrieën zoals de gezondheidszorg, moeten voldoen aan strenge regelgeving voor beveiliging en compliance. Daarnaast maken veel commerciële klanten gebruik van gegevensclassificatie voor marktgevoelige gegevens om te bepalen of aanvullende beveiligingstechnieken zijn vereist voor specifieke gegevensverzamelingen. Deze striktere beveiligingseisen kunnen betrekking hebben op de vereiste om encryptiesleutels te beheren die worden gebruikt voor het versleutelen en ontsleutelen van gevoelige cloudgegevens. Met Qlik Cloud kunt u uw Door klant beheerde sleutels gebruiken om uw eigen sleutel te gebruiken (BYOK) als versleutelingsoptie om uw tenantgegevens in rust te beveiligen in de Qlik Cloud.
Versleuteling met CMK wordt toegepast op het tenantniveau. Tenantbeheerders kunnen tenantversleuteling zo configureren dat CMK wordt gebruikt. Qlik Cloud biedt ondersteuning voor de volgende KMS-providers (Key Management Service):
-
Qlik interne KMS (standaard)
-
Amazon Web Services (AWS) KMS
Door klant beheerde sleutels en HIPAA
Qlik Cloud kan medische persoonsgegevens hosten die vallen onder de wetgevingen van de Amerikaanse Health Insurance Portability and Accountability Act van 1996 (HIPAA), mits klanten Door klant beheerde sleutels gebruiken en een HIPAA Business Associate Agreement (BAA) ondertekenen. Qlik Cloud kan klanten ondersteunen door de reglemantaire vereisten van HIPAA, maar klanten die gebruikmaken van Qlik Cloud dragen zelf de verantwoordelijkheid voor de compliance met HIPAA. Gebruik van Door klant beheerde sleutels is verplicht om medische persoonsgegevens in Qlik Cloud te plaatsen. Ga voor meer informatie naar Betrouwbaarheid en beveiliging bij Qlik.
Overzicht van de versleutelingsarchitectuur van Qlik Cloud
Het volgende diagram biedt een overzicht van de Qlik Cloud-versleutelingsservice die gegevens in de tenant versleutelt. Als uw tenant is geconfigureerd voor CMK met gebruik van AWS KMS, vraagt de versleutelingsservice AWS KMS aan en gebruikt uw AWS KMS-sleutel als er een service in Qlik Cloud is vereist voor het versleutelen of ontsleutelen van gegevens. Anders worden tenantegevens standaard versleuteld met de gegevenssleutels die zijn gegenereerd met Qlik interne KMS.
Verantwoordelijkheden van klanten bij gebruik van Door klant beheerde sleutels
Met CMK hebben klanten de volledige controle over hun sleutels. De organisatie van de klant moet alle aspecten van de levensduur van de sleutel maken, onderhouden en beheren, met inbegrip van de volgende aspecten:
Instelling van sleutels in AWS KMS
-
Het maken van een AWS-account en het gebruik van KMS.
-
Het maken van sleutels en het opstellen van beheerbeleid voor AWS KMS-sleutels voor machtigingen en rollen voor Identity and Access Management (IAM), wie functies kan uitvoeren, zoals het maken, uitschakelen en verwijderen van sleutels.
Sleutelbeheer in AWS KMS
Nadat u uw tenant hebt geconfigureerd voor het gebruik van een AWS KMS-sleutel voor het versleutelen van gegevens in rust, bent u verantwoordelijk voor het beheer van de sleutel. Het is belangrijk om te voorkomen dat uw AWS KMS-sleutel per ongeluk wordt verwijderd of uitgeschakeld. Qlik beveelt aan dat u een proces opstelt voor de beheerfuncties van deze sleutels. Dit zijn door klant beheerde sleutels, waardoor Qlik Cloud niet kan voorkomen dat u uw CMK uitschakelt of deactiveert.
-
Een AWS KMS-sleutel uitschakelen. Met deze actie kan Qlik Cloud tijdelijk geen API-aanroepen verzenden naar AWS KMS voor het genereren van gegevenssleutels (die worden gebruikt voor versleuteling) en ontsleutelen. Bijvoorbeeld: een geplande lading of taak die in Qlik Cloud op de achtergrond wordt uitgevoerd en waardoor gegevensversleuteling of -ontsleuteling is vereist zal mislukken als de sleutel (of toegang tot de sleutel) is uitgeschakeld. Door de sleutel opnieuw in te schakelen, wordt de toegang tot de tenant hersteld.
-
Een AWS KMS-sleutel verwijderen. Met deze actie wordt de Qlik Cloud-tenant definitief verwijderd. Als u het verwijderen van de sleutel inplant, wordt de tenant direct omgeschakeld naar de modus Uitgeschakeld. Hierdoor wordt toegang tot de sleutels voorkomen en wordt de tenant vergrendeld. AWS KMS heeft een uitgebreid beheerproces voor het verwijderen van sleutels die u naar wens kunt aanpassen. Als u bijvoorbeeld een wachtperiode instelt voordat de sleutel wordt verwijderd en waarschuwingen gebruikt, kunt u het verwijderen annuleren tijdens de wachtperiode.
-
Een sleutel in AWS KMS roteren. U kunt de optie Automatische sleutelrotatie voor AWS KMS selecteren tijdens het definiëren van uw sleutel. Hiermee wordt er één keer per jaar nieuw cryptografiemateriaal voor de KMS-sleutel gegenereerd. AWS KMS slaat alle eerdere versies van het cryptografiemateriaal op zodat u gegevens kunt ontsleutelen die zijn versleuteld met deze KMS-sleutel. AWS KMS verwijderd geen geroteerd sleutelmateriaal totdat de KMS-sleutel is verwijderd. Omdat AWS KMS op transparante wijze het geschikte sleutelmateriaal ontsleuteld, kunt u veilig een geroteerde KMS-sleutel gebruiken. Dit heeft geen invloed op uw integratie van Qlik CloudDoor klant beheerde sleutels. Houd er rekening mee dat dit anders is dan een compleet nieuwe AWS-sleutel en de tenant volledig opnieuw versleuteld wordt als u de Qlik CMK-sleutelprovider wijzigt naar de nieuwe sleutel. Zie: Tenantversleuteling configureren.
-
Sleutelgebruik controleren — Overweeg het gebruik van beheertools voor KMS-sleutels, zoals AWS CloudTrail voor het bewaken van versleutelingsbewerkingen.
-
Toegang tot sleutels beheren — Beveilig het sleutelbeleid om ongewenste toegang of wijzigingen te voorkomen.
-
Beschikbaarheid van sleutels garanderen — Zorg dat de sleutel actief blijft. Voorkom acties die ertoe kunnen leiden dat toegang tot de sleutels niet meer mogelijk is. Vergelijkbaar met andere AWS-services, zijn tenantgegevens niet beschikbaar als toegang tot AWS KMS wordt onderbroken. AWS KMS bevat ingebouwde tolerantie voor regio's en zones met hoge beschikbaarheid om redundantie in de infrastructuur te bereiken. Voor meer informatie over de beveiliging van AWS KMS raadpleegt u Tolerantie voor AWS Key Management Service.
Zie de documentatie van AWS KMS voor meer informatie.
Overgang van afzonderlijke regiosleutel naar sleutel voor meerdere regio's
Door klant beheerde sleutels ondersteunt sleutels voor meerdere regio's ter ondersteuning van processen voor herstel na noodgevallen. Als u op dit moment een afzonderlijke regiosleutel gebruikt, raden we u aan een sleutel voor meerdere regio's te maken om uw tenant naadloos te kunnen gebruiken in een back-upregio voor het geval er een storing optreedt in uw primaire regio.
Voor informatie over hoe u een sleutel voor meerdere regio's aanmaakt, raadpleegt u AWS KMS multiregionale sleutel voor herstel na noodgeval.
Beperkingen en overwegingen voor CMK
De volgende sectie beschrijft de beperkingen en overwegingen voor CMK in Qlik Cloud:
-
Nadat u de tenant hebt geconfigureerd voor het gebruik van uw eigen CMK, kunt u de Qlik interne KMS-versleuteling niet meer gebruiken en kunt u de sleutel niet wijzigen naar een andere CMK.
-
CMK biedt alleen ondersteuning voor AWS KMS als externe sleutelprovider.
-
CMK biedt alleen ondersteuning voor symmetrische encryptiesleutels.
-
CMK is overgestapt van afzonderlijke regiosleutels op sleutels voor meerdere regio's ter ondersteuning van processen voor herstel na noodgevallen.
-
Door klant beheerde sleutels is niet beschikbaar met Qlik Mobile Client, Gegevensgateway - Directe toegang of Qlik Sense Business.