Kiracı şifrelemesi
Bir kiracı oluşturulduğunda, Qlik Cloud, verilerinizi korumak için birden fazla katman kullanır. Varsayılan olarak her kiracı, kiracıdaki içeriği şifrelemek için Qlik şifreleme hizmeti tarafından yönetilen benzersiz olarak oluşturulmuş bir dizi şifreleme anahtarıyla diğer kiracılardan ayrılır. Her kiracının anahtarları, Qlik tarafından hizmetler arası iletişimin güvenliği için kullanılan anahtarlardan ayrıdır.
Qlik Cloud, aşağıdaki şifreleme standartlarını kullanır:
-
Aktarım sırasında: TLS 1.2 şifrelemesi
-
Durağan halde: AES-256-GCM şifrelemesi
-
Platform içinde (atanmış bir IdP ile kimlik doğrulamasından sonra): Bütünlük, otantiklik ve yadsınamazlık sağlamak için imzalı JSON Web Belirteçleri (JWT'ler)
Müşteri Tarafından Yönetilen Anahtarlar (CMK)
Sağlık bakım gibi bazı sıkı denetlenen sektörler, güvenlik ve uyumluluk için katı yasal düzenleme kurallarını karşılamalıdır. Ek olarak, birçok ticari müşteri, belirli veri setleri için ek güvenlik teknikleri gerekiyor mu belirlemek için pazara duyarlı verilerine yönelik veri sınıflandırma yaklaşımlarından yararlanmaktadır. Bu daha katı güvenlik gereksinimleri, hassas bulut verilerinde şifreleme ve şifre çözme için kullanılan şifreleme anahtarlarını denetleme gereksinimini içerebilir. Qlik Cloud, Qlik Bulutu içinde duran kiracı verilerinizin güvenliğini sağlamak üzere bir şifreleme seçeneği olarak kendi anahtarınızı (KAG) getirmeniz için Müşteri Tarafından Yönetilen Anahtarlar kullanmanıza izin verir.
CMK ile şifreleme, kiracı düzeyinde uygulanır. Kiracı yöneticileri kiracı şifrelemesini bir CMK kullanacak şekilde yapılandırabilir. Qlik Cloud, aşağıdaki Anahtar Yönetim Hizmeti (KMS) sağlayıcılarını destekler:
-
Qlik Dahili KMS (Varsayılan)
-
Amazon Web Services (AWS) KMS
Müşteri Tarafından Yönetilen Anahtarlar ve HIPAA
Qlik Cloud; müşterilerin Müşteri Tarafından Yönetilen Anahtarlar kullanması ve bir HIPAA İş Ortağı Anlaşması (BAA) imzalaması kaydıyla 1996 ABD Sağlık Sigortası Taşınabilirlik ve Denetlenebilirlik Yasası yasasındaki (HIPAA) yönetmeliklere tabi olan Kişisel Sağlık Bilgileri'ni (PHI) barındırabilir. Qlik Cloud, HIPAA yasal gerekleri aracılığıyla müşterileri destekleyebilmesine karşın Qlik Cloud kullanan müşteriler kendi HIPAA uyumluluklarından kendileri sorumludur. PHI'nin Qlik Cloud bulutuna konabilmesi için Müşteri Tarafından Yönetilen Anahtarlar kullanılması zorunludur. Daha fazla bilgi için bkz. Qlik'te güven ve güvenlik.
Qlik Cloud şifreleme mimarisine genel bakış
Aşağıdaki diyagram, kiracıdaki verileri şifreleyen Qlik Cloud şifreleme hizmetin genel bir bakış sunmaktadır. Kiracınız AWS KMS kullanan CMK için yapılandırıldıysa, her seferinde verilerde şifreleme ve şifre çözme için bir Qlik Cloud hizmeti gerektiğinde şifreleme hizmeti AWS KMS bileşenini çağırır ve AWS KMS anahtarınızı kullanır. Aksi halde kiracı verileri varsayılan olarak Qlik Dahili KMS ile oluşturulan veri anahtarları kullanılarak şifrelenir.
Müşteri Tarafından Yönetilen Anahtarlar ile müşteri sorumlulukları
CMK ile müşteriler anahtarları üzerinde tam denetime sahiptir. Aşağıdaki alanlar da dahil olmak üzere anahtar yaşam döngüsünü oluşturmak, sürdürmek ve her yönüyle yönetmekten müşterinin kuruluşu sorumludur:
AWS KMS içinde anahtar kurulumu
-
AWS hesabı oluşturma ve KMS kullanma.
-
Anahtar oluşturma ve Kimlik ve Erişim Yönetimi (IAM) izinleri ve rolleri ile anahtar oluşturma, devre dışı bırakma ve silme gibi işlevleri kimin gerçekleştirebileceği etrafında AWS KMS anahtar yönetim politikaları belirleme.
AWS KMS içinde anahtar yönetimi
Kiracınızı duran verileri şifrelemek üzere bir AWS KMS anahtarı kullanacak şekilde yapılandırdıktan sonra anahtarı yönetmekten siz sorumlusunuz. AWS KMS anahtarınızı kazayla silinmekten veya devre dışı bırakılmaktan korumak önemlidir. Qlik, bu anahtar yönetim işleri ve diğerleri etrafında bir süreç belirlemenizi önerir. Bunlar müşteri tarafından denetlenen anahtarlar olduğundan Qlik Cloud, CMK'ınızın devre dışı bırakmanızı veya etkisiz hale getirmenizi önleyemez.
-
AWS KMS anahtarını devre dışı bırakma. Bu işlem, Qlik Cloud bulutunun anahtar oluşturma (şifreleme için kullanılan) ve şifre çözme işlemleri için AWS KMS'na API çağrıları yapmasını geçici olarak engeller. Örneğin, Qlik Cloud içinde arka planda çalışan ve şifreleme veya şifre çözme gerektiren zamanlanmış bir yeniden yükleme veya görev, anahtar (veya anahtara erişim) devre dışıyken başarısız olur. Anahtarı yeniden etkinleştirmek kiracıya erişimi yeniden sağlar.
-
AWS KMS anahtarı silme. Bu işlemde Qlik Cloud kiracısı kalıcı olarak devre dışı bırakılır. Bir anahtarı silme için zamanladığınızda, kiracı hemen devre dışı moda alınır. Bu, anahtarlara erişimi önler ve kiracıyı kilitler. AWS KMS, anahtarları silme etrafında ihtiyaçlarınıza göre özelleştirebileceğiniz kapsamlı bir denetim sürecine sahiptir. Örneğin, anahtar silinmeden önce bir bekleme dönemi ayarlayabilir ve uyarılar kullanabilirsiniz ve bekleme döneminde silmeyi iptal edebilirsiniz.
-
AWS KMS içinde bir anahtarı döndürme. Anahtarınızı tanımlarken AWS KMSOtomatik Anahtar Döndürme seçeneğini işaretleyebilirsiniz. Bu, KMS anahtarı için yılda bir kez yeni kriptografik materyal oluşturur. AWS KMS, söz konusu KMS anahtarı ile şifrelenmiş verilerin şifresini çözebilmeniz için kriptografik materyalin tüm önceki sürümlerini kaydeder. AWS KMS, döndürülmüş herhangi bir anahtar materyalini KMS anahtarı silinene kadar silmez. AWS KMS şifreyi doğru anahtar materyali ile şeffaf bir şekilde çözdüğünden döndürülmüş bir KMS anahtarını güvenle kullanabilirsiniz; Qlik CloudMüşteri Tarafından Yönetilen Anahtarlar entegrasyonunuz bundan etkilemez. Bunun tamamen yeni bir AWS Anahtarı oluşturmaktan ve kiracının tamamen yeniden şifrelenmesini zorunlu kılan bu yeni anahtar için Qlik CMK anahtar sağlayıcısı değişikliği yapmaktan farklı olduğu unutulmamalıdır. Bk. Kiracı şifrelemesini yapılandırma.
-
Anahtar kullanımını denetleme—Şifreleme işlemlerini izlemek için AWS CloudTrail gibi KMS anahtar izleme araçlarını kullanmayı düşünün.
-
Anahtar erişimini denetleme—İstenmeyen erişimi veya değişiklikleri önlemek için anahtar politikasının güvenliğini sağlayın.
-
Anahtarın kullanılabilirliğini sağlama—Anahtarı etkin durumda tutun ve bunun sürmesini sağlayın. Erişim kaybı ile sonuçlanacak eylemleri önleyin. Diğer AWS hizmetlerinde olduğu gibi, AWS KMS erişimi kesintiye uğrarsa kiracı verileri kullanılamaz. AWS KMS, altyapısında yedeklilik sağlamak için bölgeler ve yüksek kullanılabilirlik alanları aracılığıyla yerleşik dayanıklılık içerir. AWS KMS güvenliği hakkında daha fazla bilgi için bkz. AWS Anahtar Yönetim Hizmeti'nde Dayanıklılık.
Daha fazla bilgi için AWS KMS belgelerine bakın:
Tek Bölgeli Anahtardan Çok Bölgeli Anahtara geçiş yapma
Müşteri Tarafından Yönetilen Anahtarlar, Olağanüstü Durum Kurtarma İşlemlerini desteklemek için Çok Bölgeli Anahtarları destekler. Şu anda Tek Bölgeli Anahtar kullanıyorsanız birincil bölgenizde bir kesinti olması durumunda kiracınızı yedek bir bölgede sorunsuz şekilde kullanmak için bir Çok Bölgeli Anahtar oluşturmanızı öneririz.
Çok Bölgeli Anahtar oluşturma hakkında bilgi için bkz. AWS KMS Olağanüstü Durum Kurtarma (DR) için Çok Bölgeli Anahtar.
CMK sınırlamaları ve dikkate alınacak noktalar
Aşağıdaki bölümde Qlik Cloud içindeki CMK için sınırlamalar ve dikkate alınacak noktalar anlatılmaktadır:
-
Kiracıyı kendi CMK öğesini kullanacak şekilde yapılandırdıktan sonra, Qlik Dahili KMS şifrelemesini kullanmak için geri dönebilir veya anahtarı farklı bir CMK ile değiştirebilirsiniz.
-
CMK, harici anahtar sağlayıcı olarak yalnızca AWS KMS'yi destekler.
-
CMK yalnızca simetrik şifreleme anahtarlarını destekler.
-
CMK, Olağanüstü Durum Kurtarma işlemlerini desteklemek için Tek Bölgeli Anahtarlardan Çok Bölgeli Anahtarlara geçiş yaptı.
-
Müşteri Tarafından Yönetilen Anahtarlar; Qlik Mobile Client, Data Gateway - Doğrudan Erişim veya Qlik Sense Business ile birlikte kullanılamaz.