Перейти к основному содержимому Перейти к дополнительному содержимому
Ресурсы Qlik
Загрузка поиска SearchUnify Если вам нужна помощь с вашим продуктом, обратитесь в поддержку Qlik.
Портал клиентов Qlik
Загрузка поиска SearchUnify Если вам нужна помощь с вашим продуктом, обратитесь в поддержку Qlik.
Портал клиентов Qlik

Шифрование клиента

При создании клиента Qlik Cloud использует несколько уровней безопасности для защиты данных. По умолчанию каждый клиент отделяется от остальных клиентов путем создания уникального набора ключей шифрования, которыми управляет служба шифрования Qlik с целью шифрования содержимого клиента. Ключи каждого клиента отделяются от ключей, которые Qlik использует для обеспечения безопасности обмена данными между службами.

Qlik Cloud использует следующие стандарты шифрования:

  • При передаче — шифрование TLS 1.2

  • При хранении — шифрование AES-256-GCM

  • В рамках платформы (после проверки подлинности с привлечением назначенного поставщика удостоверений (IdP)) — подписанные веб-токены JSON Web Token (JWT) для обеспечения целостности, аутентичности и невозможности отказа

Примечание к информацииЕсли ваша организация имеет подписку Qlik Talend Cloud Premium или Enterprise, параметры шифрования применяются как к вашим Qlik Cloud, так и к Talend Cloud клиентам.

Ключи под управлением пользователя (CMK)

Qlik Cloud предлагает функциональность Ключи под управлением пользователя для использования собственного ключа шифрования (BYOK) для защиты данных вашего клиента в состоянии покоя в вашем клиенте.

Администраторы клиента настраивают шифрование клиента для использования CMK. Qlik Cloud поддерживает следующих поставщиков служб управления ключами (KMS, Key Management Service):

  • Внутренняя KMS Qlik (по умолчанию)

  • Amazon Web Services (AWS) KMS

Примечание к информации

  • CMK шифрует данные, хранящиеся на клиенте. Он не шифрует данные в продуктах Qlik Sense Mobile SaaS, Прямой доступ к шлюзу данных или Шлюз данных — движение данных.

  • CMK шифрует данные в состоянии покоя, а не в движении.

  • Функция CMK недоступна в браузере Qlik Sense Business.

Ключи под управлением пользователя и HIPAA

Ключи под управлением пользователя является обязательным для Qlik Cloud клиентов, работающих с рабочими нагрузками, содержащими персональную медицинскую информацию (PHI). Для получения дополнительной информации см. раздел Доверие и безопасность в Qlik. Клиенты должны согласиться применить ключ, управляемый клиентом, к своему клиенту и подписать Соглашение о деловом партнерстве (BAA) HIPAA для работы с рабочими нагрузками PHI. Qlik Cloud может размещать персональную медицинскую информацию (PHI), которая подпадает под действие правил США Закон о передаче и защите данных учреждений здравоохранения 1996 года (HIPAA), только при соблюдении следующих условий. Хотя Qlik Cloud может поддерживать клиентов в соблюдении их нормативных требований HIPAA, клиенты несут ответственность за соблюдение HIPAA.

Обзор архитектуры шифрования Qlik Cloud

На следующей диаграмме представлен обзор службы шифрования Qlik Cloud, которая шифрует данные в клиенте. По умолчанию, Qlik Cloud клиенты шифруют и дешифруют данные, используя ключи шифрования, сгенерированные KMS Qlik Cloud. С Ключи под управлением пользователя, AWS KMS генерирует ключи шифрования, используемые клиентом. Каждый раз, когда служба в Qlik Cloud шифрует или дешифрует данные, служба шифрования вызывает AWS KMS и использует управляемый клиентом ключ.

Архитектура шифрования Qlik Cloud с использованием CMK

Архитектура шифрования клиента с использованием технологии создания собственных ключей

Ответственность пользователя при использовании Ключи под управлением пользователя

Когда применяется CMK, пользователи полностью контролируют свои ключи. Организация пользователя несет ответственность за создание, ведение и управление в отношении всех аспектов жизненного цикла ключей, в том числе:

Настройка ключей в AWS KMS

  • Создание учетной записи AWS и использование KMS.

  • Создание ключей и учреждение политик управления ключами AWS KMS, связанных с разрешениями и ролями IAM (Identity and Access Management, управление идентификацией и доступом), а также с тем, кто может выполнять такие функции, как создание, деактивация и удаление ключей.

Управление ключами в AWS KMS

После того как клиент настроен для шифрования находящихся на хранении данных с помощью ключа AWS KMS, ответственность за управление ключом возлагается на пользователя. Важно обеспечить защиту ключа AWS KMS от случайного удаления или деактивации. Qlik рекомендует учредить процедуру для реализации этих и других функций управления ключами. Так как эти ключи находятся под управлением пользователя, Qlik Cloud не может помешать пользователю отключить или деактивировать CMK.

  • Деактивация ключа AWS KMS. Эта функция на время запрещает Qlik Cloud отправлять вызовы API в AWS KMS для создания ключей данных (используемых для шифрования) и выполнения операций расшифровки. Например, запланированная перезагрузка или задача, которая выполняется в фоновом режиме в Qlik Cloud и требует шифрования или расшифровки данных, завершится ошибкой, когда ключ (или доступ к ключу) деактивирован. Повторная активация ключа восстанавливает доступ к клиенту.

  • Удаление ключа AWS KMS. Это действие навсегда отключит клиент Qlik Cloud. Когда для ключа запланировано удаление, клиент сразу переводится в деактивированный режим. Это приводит к прекращению доступа к ключам и блокировке клиента. В AWS KMS реализован комплексный процесс управления удалением ключей, который можно настроить в соответствии со своими потребностями. Например, можно настроить период ожидания перед удалением ключа и выводить оповещения, также можно отменить удаление, пока не завершился период ожидания.

  • Ротация ключа в AWS KMS. При определении ключа можно выбрать параметр AWS KMS Automatic Key Rotation (Автоматическая ротация ключей). Это приводит к созданию нового криптографического материала для ключа KMS раз в год. AWS KMS сохраняет все предыдущие версии криптографического материала, чтобы можно было расшифровать все данные, зашифрованные с использованием этого ключа KMS. AWS KMS не удаляет материал ключа, замененный в рамках ротации, пока не будет удален сам ключ KMS. Так как AWS KMS выполняет прозрачную расшифровку с использованием соответствующего материала ключа, можно безопасно использовать ключ KMS, замененный в рамках ротации, и это не повлияет на интеграцию Qlik CloudКлючи под управлением пользователя. Обратите внимание, что это отличается от абсолютно нового ключа AWS Key и миграции с поставщика ключей Qlik CMK на этот новый ключ, при которой принудительно выполняется полное повторное шифрование клиента. См. Настройка шифрования клиента.

  • Аудит использования ключей. Рекомендуется использовать инструменты мониторинга ключей KMS, такие как AWS CloudTrail, для отслеживания операций шифрования.

  • Управление доступом к ключам. Обеспечьте безопасность политики ключей, чтобы предотвратить нежелательный доступ или изменения.

  • Обеспечение доступности ключей. Поддерживайте и обеспечивайте активность ключа. Предотвращайте действия, которые могут привести к потере доступа. Как и в других службах AWS, данные клиента будут недоступными в случае нарушения доступа к AWS KMS. AWS KMS включает встроенные средства отказоустойчивости в разных регионах и зонах высокой доступности, чтобы обеспечить избыточность в пределах инфраструктуры. Для получения дополнительной информации о безопасности AWS KMS см. раздел Отказоустойчивость службы управления ключами AWS.

Для получения дополнительной информации см. документацию AWS KMS:

CMK параметры в Qlik Cloud регионах

AWS KMS предлагает два варианта ключей шифрования: однорегиональные и многорегиональные, для Qlik Cloud клиентов в зависимости от региона, где развернут клиент. В регионах с особыми требованиями к суверенитету данных, запрещающими эксфильтрацию данных даже для целей аварийного восстановления, Qlik Cloud поддерживает CMK использование с однорегиональными или многорегиональными ключами от AWS KMS.

Примечание к предупреждениюQlik Cloud суверенные регионы не предоставляют услуги аварийного восстановления. Следовательно, нет возможности восстановления данных в клиентах, зашифрованных с помощью ключей, управляемых клиентом.

В регионах без особых требований к суверенитету данных клиенты, предоставляющие ключи шифрования из AWS KMS, должны сгенерировать многорегиональный ключ, соответствующий основному региону и региону аварийного восстановления клиента. Многорегиональный ключ обеспечивает непрерывность бизнеса в случае сбоя в основном регионе клиента и успешного переключения на регион аварийного восстановления клиента.

Переход с однозонного ключа на многозонный ключ

Ключи под управлением пользователя поддерживает многозонные ключи для обеспечения поддержки процессов аварийного восстановления. Если в данный момент используется однозонный ключ, рекомендуется создать многозонный ключ, чтобы бесшовно использовать клиент в резервной зоне в случае отказа первичной зоны.

Для получения информации о создании многозонного ключа см. раздел Многозонный ключ AWS KMS для аварийного восстановления (АВ).

Примечание к информацииЕсли во время ротации ключей используется новый ключ, будет в принудительном порядке открыто окно настройки многозонного ключа.

Ограничения и замечания, связанные с CMK

В следующем разделе описываются ограничения и замечания, связанные с CMK в Qlik Cloud:

  • После того как клиент настроен для использования собственного ключа CMK, невозможно вернуться к шифрованию Внутренняя KMS Qlik или сменить ключ на другой CMK.

  • CMK поддерживает только AWS KMS в качестве внешнего поставщика ключей.

  • CMK поддерживает только симметричные ключи шифрования.

  • CMK поддерживает однорегиональные или многорегиональные ключи в зависимости от региона, в котором находится клиент.

  • Ключи под управлением пользователя не поставляется вместе с Qlik Mobile Client, Прямой доступ к шлюзу данных и Qlik Sense Business.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице или с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом!

Оставьте свой отзыв здесь