Gå till huvudinnehåll Gå till ytterligare innehåll

Klientorganisationskryptering

När en klient skapas, använder Qlik Cloud flera säkerhetslager för att skydda dina data. Som standard är varje klient separerad från andra klienter av en unikt genererad uppsättning krypteringsnycklar som hanteras av krypteringstjänsten Qlik för att kryptera innehåll i klienten. Varje klients nycklar är separata från de nycklar som Qlik använder för att säkra tjänst-till-tjänst-kommunikation.

Qlik Cloud använder följande krypteringsstandarder:

  • I transit - TLS 1.2-kryptering

  • I vila - AES-256-GCM-kryptering

  • Inom plattformen (efter autentisering med en utsedd IdP) - Signerade JSON Web Tokens (JWT:er) i syfte att säkerställa integritet, autenticitet och icke-avvisande

Kundhanterade nycklar (CMK)

Visa starkt reglerade branscher, till exempelvis sjukvården, måste uppfylla strikta regelverk för säkerhet och efterlevnad. Dessutom använder många kommersiella kunder dataklassificeringsmetoder för sina marknadskänsliga data för att avgöra om ytterligare säkerhetstekniker krävs för specifika datauppsättningar. Dessa striktare säkerhetskrav kan innefatta kravet att kontrollera de krypteringsnycklar som används för att kryptera och dekryptera känsliga molndata. Qlik Cloud låter dig använda Kundhanterade nycklar för att ta med din egen nyckel (BYOK) som ett krypteringsalternativ för att säkra dina vilande klientdata i Qlik Cloud.

Kryptering med CMK tillämpas på klientnivå. Klientorganisationsadministratörer kan konfigurera klientkryptering för att använda en CMK. Qlik Cloud stöder följande Key Management Services (KMS):

  • Qlik intern KMS (Standard)

  • Amazon Web Services (AWS) KMS

Anteckning om informationQlik Sense Mobile SaaS, Datagateway – direktåtkomst och Data Gateway - Dataflytt har inte stöd för eller använder kryptering med CMK. CMK stöder endast kryptering på klientnivå för klientdata som lagras i vila. CMK används inte med kryptering av data i rörelse eller med vilande data på en mobil enhet eller datagateway.
Anteckning om informationCMK är inte tillgängligt med Qlik Sense Business.

Kundhanterade nycklar och HIPAA

Qlik Cloud kan värdhantera personlig hälsoinformation (PHI) som omfattas av -bestämmelser i den amerikanska Health Insurance Portability and Accountability Act från 1996 (HIPAA) förutsatt att kunderna använder Kundhanterade nycklar och undertecknar ett HIPAA-avtal om affärsförbindelser (BAA). Qlik Cloud kan hjälpa kunderna att uppfylla sina lagstadgade HIPAA-krav, men kunder som använder Qlik Cloud ansvarar själva för sin HIPAA-efterlevnad. Användning av Kundhanterade nycklar är obligatoriskt för att sätta PHI i Qlik Cloud. Mer information finns i Förtroende och säkerhet hos Qlik.

Översikt av krypteringsarkitektur för Qlik Cloud

Följande diagram ger en översikt över krypteringstjänsten Qlik Cloud som krypterar data i klienten. Om din klient är konfigurerad för CMK med hjälp av AWS KMS, kommer krypteringstjänsten att anropa AWS KMS och använda din AWS KMS-nyckel varje gång en tjänst i Qlik Cloud krävs för att kryptera eller dekryptera data. Annars krypteras klientdata som standard med de datanycklar som genereras med Qlik intern KMS.

Qlik Cloud-krypteringsarkitektur med CMK

Klientkrypteringsarkitektur med Bring your own key

Kundansvar med Kundhanterade nycklar

Med CMK har under fullständig kontroll över sina nycklar. Kundens organisation är ansvarig för att skapa, underhålla och hantera alla aspekter av nyckellivscykeln, inklusive följande områden:

Nyckelkonfiguration i AWS KMS

  • Skapa ett AWS-konto och använda KMS.

  • Skapa nycklar och upprätta AWS KMS-nyckelhanteringspolicyer kring Identity and Access Management (IAM) -behörigheter och roller, och vem som kan utföra funktioner, som att skapa, inaktivera och ta bort nycklar.

Nyckelhantering i AWS KMS

När du har konfigurerat din klient att använda en AWS KMS-nyckel för att kryptera vilande data, är du ansvarig för att hantera nyckeln. Det är viktigt att du skyddar din AWS KMS-nyckel från att tas bort eller inaktiveras av misstag. Qlik rekommenderar att du upprättar en process kring dessa nyckelhanteringsfunktioner och övriga. Eftersom detta är kundkontrollerade nycklar, kan Qlik Cloud inte förhindra dig från att inaktivera din CMK.

  • Inaktivera en AWS KMS-nyckel. Denna åtgärd förebygger tillfälligt Qlik Cloud från att utföra API-anrop till AWS KMS för att generera datanycklar (som används för kryptering) och dekrypteringsåtgärder. Till exempel kommer en schemalagd omladdning eller uppgift som körs i bakgrunden i Qlik Cloud och kräver datakryptering eller dekryptering att misslyckas medan nyckeln (eller åtkomst till nyckeln) är inaktiverad. Återaktivering av nyckeln, återupprättar åtkomst till klienten.

  • Ta bort en AWS KMS-nyckel. Den här åtgärden tar permanent bort Qlik Cloud-klientorganisationen. När du schemalägger en nyckel för borttagning försätts klienten omedelbart i inaktiverat läge. Detta förhindrar åtkomst till nycklarna och låser klienten. AWS KMS har en omfattande kontrollprocess kring borttagning av nycklar som du kan anpassa utifrån dina behov. Du kan till exempel ställa in en vänteperiod innan nyckeln raderas och använda aviseringar, och du kan avbryta borttagningen under vänteperioden.

  • Rotera en nyckel i AWS KMS. Du kan välja alternativet AWS KMSAutomatisk nyckelrotation när du definierar din nyckel. Detta kommer att generera nytt kryptografiskt material för KMS-nyckeln en gång om året. AWS KMS sparar alla tidigare versioner av det kryptografiska materialet så att du kan dekryptera alla data som har krypterats med denna KMS-nyckel. AWS KMS tar inte bort material för roterad nyckel förrän KMS-nyckeln har tagits bort. Eftersom AWS KMS utför transparent dekryptering med lämpligt nyckelmaterial, kan du säkert använda en roterad KMS-nyckel, och detta kommer inte att påverka din integrering med Qlik CloudKundhanterade nycklar. Observera att detta inte är detsamma som en helt ny AWS-nyckel och göra ett byte av Qlik CMK-nyckelleverantör för denna nya nyckel, vilket medför att en fullständig omkryptering av klientorganisationen krävs. Se Konfigurera kryptering för klientorganisation.

  • Granska nyckelanvändning - Överväg att använda KMS nyckelövervakningsverktyg, som AWS CloudTrail för att övervaka krypteringsåtgärder.

  • Kontrollera nyckelåtkomst - Säkra nyckelpolicyn för att förhindra oönskad åtkomst eller ändringar.

  • Säkerställa nyckeltillgänglighet - Underhåll och se till att nyckeln är aktiv. Förebygga åtgärder som kan resultera i åtkomstförlust. I likhet med andra AWS-tjänster, kommer klientdata inte att vara tillgängliga om åtkomst till AWS KMS avbryts. AWS KMS inkluderar inbyggd motståndskraft genom regioner och zoner med hög tillgänglighet för att uppnå redundanser i sin infrastruktur. Mer information om AWS KMS-säkerhet finns i Motståndskraft i AWS Key Management Service.

Mer information finns i dokumentationen för AWS KMS:

Övergår från nyckel för enskilda regioner till multiregionsnyckel

Kundhanterade nycklar har stöd för multiregionsnycklar för att stödja processer för katastrofåterställning. Om du för närvarande använder en nyckel för enskilda regioner rekommenderar vi att du skapar en nyckel för flera regioner så att du sömlöst kan använda din klientorganisation i en reservregion vid ett strömavbrott i din primära region.

Mer information om att skapa en multiregionsnyckel finns i AWS KMS-multiregionsnyckel för katastrofåterställning (DR).

Anteckning om informationOm du använder en nyckel under nyckelrotering kommer du att tvingas att använda en konfiguration med multiregionsnyckel.

CMK-begränsningar och överväganden

Följande delavsnitt beskriver begränsningar och beaktanden med CMK i Qlik Cloud:

  • När du har konfigurerat klienten att använda din egen CMK, kan du återgå till att använda Qlik intern KMS-kryptering, eller ändra nyckeln till en annan CMK.

  • CMK har endast stöd för AWS KMS som en extern nyckelleverantör.

  • CMK har endast stöd för symmetriska krypteringsnycklar.

  • CMK har övergått från nycklar för enskilda regioner till multiregionsnycklar för att få stöd för processer för katastrofåterställning.

  • Kundhanterade nycklar är inte tillgänglig med Qlik Mobile Client, Datagateway – direktåtkomst eller Qlik Sense Business.

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!