Перейти к основному содержимому Skip to complementary content

Шифрование клиента

Когда создается клиент, Qlik Cloud использует несколько уровней безопасности для защиты данных. По умолчанию каждый клиент отделяется от остальных клиентов путем создания уникального набора ключей шифрования, которыми управляет служба шифрования Qlik с целью шифрования содержимого клиента. Ключи каждого клиента отделяются от ключей, которые Qlik использует для обеспечения безопасности обмена данными между службами.

Qlik Cloud использует следующие стандарты шифрования:

  • При передаче — шифрование TLS 1.2

  • При хранении — шифрование AES-256-GCM

  • В рамках платформы (после проверки подлинности с привлечением назначенного поставщика удостоверений (IdP)) — подписанные веб-токены JSON Web Token (JWT) для обеспечения целостности, аутентичности и невозможности отказа

Ключи под управлением пользователя (CMK)

Некоторые строго регулируемые отрасли, такие как здравоохранение, должны соблюдать строгие нормативные правила для обеспечения безопасности и соблюдения требований. Кроме того, многие коммерческие пользователи применяют подходы к определению категории секретности для информации, которая может повлиять на поведение рынка, чтобы определить, требуются ли дополнительные методы обеспечения безопасности для конкретных наборов данных. Эти более строгие требования к безопасности могут включить требование к управлению ключами шифрования, которые используются для шифрования и расшифровки конфиденциальных облачных данных. Qlik Cloud позволяет с помощью Ключи под управлением пользователя использовать собственный ключ (BYOK) в качестве параметра шифрования, чтобы защитить данные клиента, находящиеся на хранении в Qlik Cloud.

Шифрование с использованием CMK применяется на уровне клиента. Администраторы клиента могут настраивать использование CMK в шифровании клиента. Qlik Cloud поддерживает следующих поставщиков служб управления ключами (KMS, Key Management Service):

  • Внутренняя KMS Qlik (по умолчанию)

  • Amazon Web Services (AWS) KMS

Примечание об информацииQlik Forts, Qlik Sense Mobile SaaS и Шлюз данных — прямой доступ не поддерживают и не используют шифрование с помощью CMK. CMK поддерживает шифрование только на уровне клиента для данных клиента, находящихся на хранении. Ключ, управляемый пользователем (CMK), не используется для шифрования данных при перемещении или при хранении на мобильном устройстве, в форте или шлюзе данных.
Примечание об информацииФункция CMK недоступна в браузере Qlik Sense Business.

Ключи под управлением пользователя и HIPAA

Qlik Cloud может размещать Персональную медицинскую информацию (ПМИ), на которую распространяется действие Закона США о передаче и защите данных учреждений здравоохранения (Закон о передаче и защите данных учреждений здравоохранения) от 1996 (HIPAA), если заказчики используют Ключи под управлением пользователя и подписывают Соглашение делового партнера HIPAA (СДП). Хотя Qlik Cloud помогает заказчикам в соблюдении нормативно-правовых требований HIPAA, заказчики, использующие Qlik Cloud, несут ответственность за самостоятельное соблюдение HIPAA. Использование Ключи под управлением пользователя является обязательным условием для помещения ПМИ в Qlik Cloud. Для получения дополнительной информации см. Доверие и безопасность в Qlik.

Обзор архитектуры шифрования Qlik Cloud

На следующей диаграмме представлен обзор службы шифрования Qlik Cloud, которая шифрует данные в клиенте. Если клиент настроен для CMK с использованием AWS KMS, то каждый раз при необходимости шифрования или расшифровки данных в службе Qlik Cloud служба шифрования вызывает AWS KMS и использует ключ AWS KMS. В противном случае данные клиенты по умолчанию шифруются с использованием ключей данных, созданных с помощью Внутренняя KMS Qlik.

Архитектура шифрования Qlik Cloud с использованием CMK

Архитектура шифрования клиента с использованием технологии создания собственных ключей

Ответственность пользователя при использовании Ключи под управлением пользователя

Когда применяется CMK, пользователи полностью контролируют свои ключи. Организация пользователя несет ответственность за создание, ведение и управление в отношении всех аспектов жизненного цикла ключей, в том числе:

Настройка ключей в AWS KMS

  • Создание учетной записи AWS и использование KMS.

  • Создание ключей и учреждение политик управления ключами AWS KMS, связанных с разрешениями и ролями IAM, а также с тем, кто может выполнять такие функции, как создание, деактивация и удаление ключей.

Управление ключами в AWS KMS

После того как клиент настроен для шифрования находящихся на хранении данных с помощью ключа AWS KMS, ответственность за управление ключом возлагается на пользователя. Важно обеспечить защиту ключа AWS KMS от случайного удаления или деактивации. Qlik рекомендует учредить процедуру для реализации этих и других функций управления ключами. Так как эти ключи находятся под управлением пользователя, Qlik Cloud не может помешать пользователю отключить или деактивировать CMK.

  • Деактивация ключа AWS KMS. Эта функция на время запрещает Qlik Cloud отправлять вызовы API в AWS KMS для создания ключей данных (используемых для шифрования) и выполнения операций расшифровки. Например, запланированная перезагрузка или задача, которая выполняется в фоновом режиме в Qlik Cloud и требует шифрования или расшифровки данных, завершится ошибкой, когда ключ (или доступ к ключу) деактивирован. Повторная активация ключа восстанавливает доступ к клиенту.

  • Удаление ключа AWS KMS. Это действие навсегда отключит клиент Qlik Cloud. Когда для ключа запланировано удаление, клиент сразу переводится в деактивированный режим. Это приводит к прекращению доступа к ключам и блокировке клиента. В AWS KMS реализован комплексный процесс управления удалением ключей, который можно настроить в соответствии со своими потребностями. Например, можно настроить период ожидания перед удалением ключа и выводить оповещения, также можно отменить удаление, пока не завершился период ожидания.

  • Ротация ключа в AWS KMS. При определении ключа можно выбрать параметр AWS KMS Automatic Key Rotation (Автоматическая ротация ключей). Это приводит к созданию нового криптографического материала для ключа KMS раз в год. AWS KMS сохраняет все предыдущие версии криптографического материала, чтобы можно было расшифровать все данные, зашифрованные с использованием этого ключа KMS. AWS KMS не удаляет материал ключа, замененный в рамках ротации, пока не будет удален сам ключ KMS. Так как AWS KMS выполняет прозрачную расшифровку с использованием соответствующего материала ключа, можно безопасно использовать ключ KMS, замененный в рамках ротации, и это не повлияет на интеграцию Qlik Cloud Ключи под управлением пользователя.

  • Аудит использования ключа — рекомендуется использовать инструменты мониторинга ключей KMS, такие как AWS CloudTrail, для отслеживания операций шифрования.

  • Управление доступом к ключам — обеспечьте безопасность политики ключей, чтобы предотвратить нежелательный доступ или изменения.

  • Обеспечение доступности ключа — обслуживайте ключ и обеспечивайте его активность. Предотвращайте действия, которые могут привести к потере доступа. Как и в других службах AWS, данные клиента будут недоступными в случае нарушения доступа к AWS KMS. AWS KMS включает встроенные средства отказоустойчивости в разных регионах и зонах высокой доступности, чтобы обеспечить избыточность в пределах инфраструктуры. Для получения дополнительной информации о безопасности AWS KMS см. Отказоустойчивость службы управления ключами AWS.

Для получения дополнительной информации см. документацию AWS KMS:

Ограничения и замечания, связанные с CMK

В следующем разделе описываются ограничения и замечания, связанные с CMK в Qlik Cloud:

  • Клиент, новый или существующий, должен быть пустым и не содержать никаких данных, когда настраивается шифрование клиента с использованием CMK. Если клиент содержит данные, во время настройки конфигурации появляется ошибка. Однако можно настроить IDP, прежде чем задавать параметры шифрования.
  • После того как клиент настроен для использования собственного ключа CMK, невозможно вернуться к шифрованию Внутренняя KMS Qlik.

  • В этом выпуске не поддерживается создание нового ключа KMS для использования с клиентом Qlik, который настроен для CMK.

  • CMK поддерживает только AWS KMS в качестве внешнего поставщика ключей.

  • CMK поддерживает только симметричные ключи шифрования.

  • CMK поддерживает ключи шифрования для одного региона.

  • Ключи под управлением пользователя не поддерживается в Qlik Forts, Qlik Mobile Client, Шлюз данных — прямой доступ или Qlik Sense Business.