Criptografia de locatário
Quando um locatário é criado, o Qlik Cloud usa várias camadas de segurança para proteger seus dados. Por padrão, cada locatário é separado dos demais por um conjunto exclusivo de chaves de criptografia geradas que são gerenciadas pelo serviço de criptografia da Qlik para criptografar o conteúdo no locatário. As chaves de cada locatário são separadas das chaves que a Qlik utiliza para proteger a comunicação entre serviços.
O Qlik Cloud usa os seguintes padrões de criptografia:
-
Em trânsito: criptografia TLS 1.2
-
Em repouso: criptografia AES-256-GCM
-
Dentro da plataforma (após a autenticação com um IdP designado) — JSON Web Tokens (JWTs) assinados para garantir integridade, autenticidade e não repúdio
Chaves gerenciadas pelo cliente(CMK)
Alguns setores altamente regulamentados, como o de saúde, devem atender a regras regulatórias rígidas de segurança e conformidade. Além disso, muitos clientes comerciais utilizam abordagens de classificação de dados para seus dados confidenciais do mercado para determinar se técnicas adicionais de segurança são necessárias para conjuntos de dados específicos. Esses requisitos de segurança mais rígidos podem incluir o de controlar as chaves de criptografia usadas para criptografar e descriptografar dados confidenciais na nuvem. O Qlik Cloud permite que você use a Chaves gerenciadas pelo cliente para trazer sua própria chave (BYOK) como uma opção de criptografia para proteger seus dados de locatários em repouso no Qlik Cloud.
A criptografia com o CMK é aplicada no nível do locatário. Administradores de locatários podem configurar a criptografia de locatários para usar um CMK. O Qlik Cloud oferece suporte aos seguintes provedores do Key Management Service (KMS):
-
KMS interno do Qlik (Padrão)
-
Amazon Web Services (AWS) KMS
Chaves gerenciadas pelo cliente e HIPAA
O Qlik Cloud pode hospedar Informações Pessoais de Saúde (PHI) sujeitas às regulamentações Health Insurance Portability and Accountability Act dos EUA de 1996 (HIPAA) , desde que os clientes usem o Chaves gerenciadas pelo cliente e assinem um Acordo de Associação Comercial (BAA) do HIPAA. Embora a Qlik Cloud possa oferecer suporte aos clientes por meio de seus requisitos regulatórios HIPAA, os clientes que usam o Qlik Cloud são responsáveis por sua própria conformidade com o HIPAA. O uso de Chaves gerenciadas pelo cliente é obrigatório para inserir PHI no Qlik Cloud. Para mais informações, consulte Confiança e segurança na Qlik.
Visão geral da arquitetura de criptografia do Qlik Cloud
O diagrama a seguir fornece uma visão geral do serviço de criptografia do Qlik Cloud que criptografa os dados no locatário. Se o seu locatário estiver configurado para a CMK usando o KMS AWS, sempre que um serviço no Qlik Cloud for necessário para criptografar ou descriptografar dados, o serviço de criptografia chamará o KMS AWS e usará sua chave do KMS AWS. Caso contrário, por padrão, os dados do locatário serão criptografados usando as chaves de dados geradas com o KMS interno do Qlik.
Responsabilidades do cliente com a Chaves gerenciadas pelo cliente
Com a CMK, os clientes têm controle total sobre suas chaves. A organização do cliente é responsável por criar, manter e gerenciar todos os aspectos do ciclo de vida de chaves, incluindo as seguintes áreas:
Configuração de chaves no KMS AWS
-
Criar uma conta da AWS e usar o KMS.
-
Criar chaves e estabelecer políticas de gerenciamento de chaves do KMS AWS sobre permissões e funções do IAM (Identity and Access Management) e quem pode executar funções, como criar, desativar e excluir chaves.
Gerenciamento de chaves no KMS AWS
Depois de configurar seu locatário para usar uma chave do KMS AWS para criptografar dados em repouso, você será responsável por gerenciar essa chave. É importante proteger sua chave do KMS AWS para evitar que ela seja excluída ou desativada acidentalmente. A Qlik recomenda que você estabeleça um processo em torno dessas principais funções de gerenciamento e outras. Como essas são chaves controladas pelo cliente, o Qlik Cloud não pode impedir que você desative ou desative sua CMK.
-
Desativar uma chave do KMS AWS chave. Essa ação impede temporariamente que o Qlik Cloud realize chamadas de API ao KMS AWS para gerar chaves de dados (usadas para criptografia) e descriptografar operações. Por exemplo, um carregamento programado ou tarefa que é executada em segundo plano no Qlik Cloud e requer criptografia ou descriptografia de dados falhará enquanto a chave (ou o acesso à chave) estiver desativada. A reativação da chave restabelece o acesso ao locatário.
-
Excluindo uma chave do KMS AWS. Essa ação desabilitará permanentemente o locatário do Qlik Cloud. Quando você programa a exclusão de uma chave, o locatário é imediatamente colocado no modo desativado. Isso impede o acesso às chaves e bloqueia esse locatário. O KMS AWS tem um extenso processo de controle sobre a exclusão de chaves que você pode personalizar para atender às suas necessidades. Por exemplo, é possível definir um período de espera antes que a chave seja excluída e usar alertas, além de cancelar a exclusão durante o período de espera.
-
Alternando uma chave no KMS AWS. Você pode selecionar a opção KMS AWSAlternância de chave automática do AWS KMS ao definir sua chave. Isso gerará um novo material criptográfico para a chave do KMS uma vez por ano. O KMS AWS salva todas as versões anteriores do material criptográfico para que você possa descriptografar quaisquer dados criptografados com essa chave do KMS. O KMS AWS não excluirá materiais de chaves alternadas até que a chave do KMS seja excluída. Como o KMS AWS descriptografa de forma transparente com o material de chave apropriado, você pode usar com segurança um chave alternada do KMS, e isso não afetará sua entre o Qlik Cloud e as Chaves gerenciadas pelo cliente. Observe que isso é diferente de uma chave AWS completamente nova e de fazer uma alteração no provedor de chaves do Qlik CMK para essa nova chave, o que força uma nova criptografia completa do locatário. Consulte Configurando a criptografia de locatário.
-
Uso de chaves de auditoria: considere usar ferramentas de monitoramento de chaves do KMS, como o AWS CloudTrail, para monitorar operações de criptografia.
-
Controle do acesso a chaves: proteja a política de chaves para evitar acesso ou alterações indesejadas.
-
Garantir a disponibilidade da chave: mantenha a chave e certifique-se de que ela esteja ativa. Evite ações que possam resultar em perda de acesso. Assim como em outros serviços da AWS, dados de locatários não estarão disponíveis se o acesso ao KMS AWS for interrompido. O KMS AWS inclui resiliência integrada por meio de regiões e zonas de alta disponibilidade para obter redundâncias em sua infraestrutura. Para obter mais informações sobre a segurança do KMS AWS, consulte Resiliência no AWS Key Management Service.
Consulte a documentação do KMS AWS para obter mais informações:
Fazendo a transição de chave de região única para chave de múltiplas regiões
O Chaves gerenciadas pelo cliente oferece suporte a chaves de múltiplas regiões para dar suporte a processos de recuperação de desastres. Se você estiver usando atualmente uma chave de região única, recomendamos que você crie uma chave de múltiplas regiões para usar perfeitamente seu locatário em uma região de backup em caso de interrupção em sua região primária.
Para obter informações sobre como criar uma chave de múltiplas regiões, consulte Chave multirregional do KMS AWS para recuperação de desastres (DR).
Limitações e considerações do CMK
A seção a seguir descreve as limitações e considerações relacionadas à CMK no Qlik Cloud:
-
Depois de configurar o locatário para usar seu próprio CMK, você poderá voltar a usar a criptografia KMS interno do Qlik ou alterar a chave para um CMK diferente.
-
A CMK apenas oferece suporte ao KMS AWS como um provedor externo de chaves.
-
A CMK apenas oferece suporte a chaves de criptografia simétricas.
-
O CMK fez a transição de chaves de região única para chaves de múltiplas regiões para dar suporte a processos de recuperação de desastres.
-
O Chaves gerenciadas pelo cliente não está disponível com o Qlik Mobile Client, o Data Gateway - Direct Access ou o Qlik Sense Business.