Ana içeriğe geç Skip to complementary content

Kiracı şifrelemesi

Bir kiracı oluşturulduğunda, Qlik Cloud, verilerinizi korumak için birden fazla katman kullanır. Varsayılan olarak her kiracı, kiracıdaki içeriği şifrelemek için Qlik şifreleme hizmeti tarafından yönetilen benzersiz olarak oluşturulmuş bir dizi şifreleme anahtarıyla diğer kiracılardan ayrılır. Her kiracının anahtarları, Qlik tarafından hizmetler arası iletişimin güvenliği için kullanılan anahtarlardan ayrıdır.

Qlik Cloud, aşağıdaki şifreleme standartlarını kullanır:

  • Aktarım sırasında: TLS 1.2 şifrelemesi

  • Durağan halde: AES-256-GCM şifrelemesi

  • Platform içinde (atanmış bir IdP ile kimlik doğrulamasından sonra): Bütünlük, otantiklik ve yadsınamazlık sağlamak için imzalı JSON Web Belirteçleri (JWT'ler)

Müşteri Tarafından Yönetilen Anahtarlar (CMK)

Sağlık bakım gibi bazı sıkı denetlenen sektörler, güvenlik ve uyumluluk için katı yasal düzenleme kurallarını karşılamalıdır. Ek olarak, birçok ticari müşteri, belirli veri setleri için ek güvenlik teknikleri gerekiyor mu belirlemek için pazara duyarlı verilerine yönelik veri sınıflandırma yaklaşımlarından yararlanmaktadır. Bu daha katı güvenlik gereksinimleri, hassas bulut verilerinde şifreleme ve şifre çözme için kullanılan şifreleme anahtarlarını denetleme gereksinimini içerebilir. Qlik Cloud, Qlik Bulutu içinde duran kiracı verilerinizin güvenliğini sağlamak üzere bir şifreleme seçeneği olarak kendi anahtarınızı (KAG) getirmeniz için Müşteri Tarafından Yönetilen Anahtarlar kullanmanıza izin verir.

CMK ile şifreleme, kiracı düzeyinde uygulanır. Kiracı yöneticileri kiracı şifrelemesini bir CMK kullanacak şekilde yapılandırabilir. Qlik Cloud, aşağıdaki Anahtar Yönetim Hizmeti (KMS) sağlayıcılarını destekler:

  • Qlik Dahili KMS (Varsayılan)

  • Amazon Web Services (AWS) KMS

Bilgi notuQlik Forts, Qlik Sense Mobile SaaS ve Data Gateway - Doğrudan Erişim, CMK ile şifrelemeyi desteklemez ve kullanmaz. CMK, yalnızca durağan olarak saklanan kiracı verileri için kiracı düzeyinde şifrelemeyi destekler. CMK; bir mobil cihazda, fort'ta veya veri ağ geçidindeki hareket halindeki veya durağan verilerin şifrelenmesi ile kullanılmaz.
Bilgi notuCMK özelliği, Qlik Sense Business ile kullanılamaz.

Müşteri Tarafından Yönetilen Anahtarlar ve HIPAA

Qlik Cloud; müşterilerin Müşteri Tarafından Yönetilen Anahtarlar kullanması ve bir HIPAA İş Ortağı Anlaşması (BAA) imzalaması kaydıyla 1996 ABD Sağlık Sigortası Taşınabilirlik ve Denetlenebilirlik Yasası yasasındaki (HIPAA) yönetmeliklere tabi olan Kişisel Sağlık Bilgileri'ni (PHI) barındırabilir. Qlik Cloud, HIPAA yasal gerekleri aracılığıyla müşterileri destekleyebilmesine karşın Qlik Cloud kullanan müşteriler kendi HIPAA uyumluluklarından kendileri sorumludur. PHI'nin Qlik Cloud bulutuna konabilmesi için Müşteri Tarafından Yönetilen Anahtarlar kullanılması zorunludur. Daha fazla bilgi için bkz. Qlik'te güven ve güvenlik.

Qlik Cloud şifreleme mimarisine genel bakış

Aşağıdaki diyagram, kiracıdaki verileri şifreleyen Qlik Cloud şifreleme hizmetin genel bir bakış sunmaktadır. Kiracınız AWS KMS kullanan CMK için yapılandırıldıysa, her seferinde verilerde şifreleme ve şifre çözme için bir Qlik Cloud hizmeti gerektiğinde şifreleme hizmeti AWS KMS bileşenini çağırır ve AWS KMS anahtarınızı kullanır. Aksi halde kiracı verileri varsayılan olarak Qlik Dahili KMS ile oluşturulan veri anahtarları kullanılarak şifrelenir.

CMK ile Qlik Cloud şifreleme mimarisi

Kendi anahtarını getir ile kiracı şifreleme mimarisi

Müşteri Tarafından Yönetilen Anahtarlar ile müşteri sorumlulukları

CMK ile müşteriler anahtarları üzerinde tam denetime sahiptir. Aşağıdaki alanlar da dahil olmak üzere anahtar yaşam döngüsünü oluşturmak, sürdürmek ve her yönüyle yönetmekten müşterinin kuruluşu sorumludur:

AWS KMS içinde anahtar kurulumu

  • AWS hesabı oluşturma ve KMS kullanma.

  • Anahtar oluşturma ve IAM izinleri ve rolleri ile anahtar oluşturma, devre dışı bırakma ve silme gibi işlevleri kimin gerçekleştirebileceği etrafında AWS KMS anahtar yönetim politikaları belirleme.

AWS KMS içinde anahtar yönetimi

Kiracınızı duran verileri şifrelemek üzere bir AWS KMS anahtarı kullanacak şekilde yapılandırdıktan sonra anahtarı yönetmekten siz sorumlusunuz. AWS KMS anahtarınızı kazayla silinmekten veya devre dışı bırakılmaktan korumak önemlidir. Qlik, bu anahtar yönetim işleri ve diğerleri etrafında bir süreç belirlemenizi önerir. Bunlar müşteri tarafından denetlenen anahtarlar olduğundan Qlik Cloud, CMK'ınızın devre dışı bırakmanızı veya etkisiz hale getirmenizi önleyemez.

  • AWS KMS anahtarını devre dışı bırakma. Bu işlem, Qlik Cloud bulutunun anahtar oluşturma (şifreleme için kullanılan) ve şifre çözme işlemleri için AWS KMS'na API çağrıları yapmasını geçici olarak engeller. Örneğin, Qlik Cloud içinde arka planda çalışan ve şifreleme veya şifre çözme gerektiren zamanlanmış bir yeniden yükleme veya görev, anahtar (veya anahtara erişim) devre dışıyken başarısız olur. Anahtarı yeniden etkinleştirmek kiracıya erişimi yeniden sağlar.

  • AWS KMS anahtarı silme. Bu işlemde Qlik Cloud kiracısı kalıcı olarak devre dışı bırakılır. Bir anahtarı silme için zamanladığınızda, kiracı hemen devre dışı moda alınır. Bu, anahtarlara erişimi önler ve kiracıyı kilitler. AWS KMS, anahtarları silme etrafında ihtiyaçlarınıza göre özelleştirebileceğiniz kapsamlı bir denetim sürecine sahiptir. Örneğin, anahtar silinmeden önce bir bekleme dönemi ayarlayabilir ve uyarılar kullanabilirsiniz ve bekleme döneminde silmeyi iptal edebilirsiniz.

  • AWS KMS içinde bir anahtarı döndürme. Anahtarınızı tanımlarken AWS KMS Otomatik Anahtar Döndürme seçeneğini işaretleyebilirsiniz. Bu, KMS anahtarı için yılda bir kez yeni kriptografik materyal oluşturur. AWS KMS, söz konusu KMS anahtarı ile şifrelenmiş verilerin şifresini çözebilmeniz için kriptografik materyalin tüm önceki sürümlerini kaydeder. AWS KMS, döndürülmüş herhangi bir anahtar materyalini KMS anahtarı silinene kadar silmez. AWS KMS şifreyi doğru anahtar materyali ile şeffaf bir şekilde çözdüğünden döndürülmüş bir KMS anahtarını güvenle kullanabilirsiniz; Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar entegrasyonunuz bundan etkilemez.

  • Anahtar kullanımını denetleme—Şifreleme işlemlerini izlemek için AWS CloudTrail gibi KMS anahtar izleme araçlarını kullanmayı düşünün.

  • Anahtar erişimini denetleme—İstenmeyen erişimi veya değişiklikleri önlemek için anahtar politikasının güvenliğini sağlayın.

  • Anahtarın kullanılabilirliğini sağlama—Anahtarı etkin durumda tutun ve bunun sürmesini sağlayın. Erişim kaybı ile sonuçlanacak eylemleri önleyin. Diğer AWS hizmetlerinde olduğu gibi, AWS KMS erişimi kesintiye uğrarsa kiracı verileri kullanılamaz. AWS KMS, altyapısında yedeklilik sağlamak için bölgeler ve yüksek kullanılabilirlik alanları aracılığıyla yerleşik dayanıklılık içerir. AWS KMS güvenliği hakkında daha fazla bilgi için bkz. AWS Anahtar Yönetim Hizmeti'nde Dayanıklılık.

Daha fazla bilgi için AWS KMS belgelerine bakın:

CMK sınırlamaları ve dikkate alınacak noktalar

Aşağıdaki bölümde Qlik Cloud içindeki CMK için sınırlamalar ve dikkate alınacak noktalar anlatılmaktadır:

  • Kiracı ister yeni ister mevcut bir kiracı olsun, kiracı şifrelemesi CMK kullanacak şekilde yapılandırılırken hiçbir veri içermemelidir. Kiracıda veri varsa yapılandırma sırasında bir hata alırsınız. Ancak IdP'nizi şifrelemeyi yapılandırmadan önce ayarlayabilirsiniz.
  • Kiracıyı kendi CMK'ınızı kullanacak şekilde yapılandırdıktan sonra Qlik Dahili KMS şifrelemesi kullanmaya geri dönemezsiniz.

  • CMK için yapılandırılmış bir Qlik kiracısı ile kullanılacak yeni bir KMS oluşturma bu yayında desteklenmemektedir.

  • CMK, harici anahtar sağlayıcı olarak yalnızca AWS KMS'yi destekler.

  • CMK yalnızca simetrik şifreleme anahtarlarını destekler.

  • CMK, Tek Bölgeli Anahtarları destekler.

  • Müşteri Tarafından Yönetilen Anahtarlar; Qlik Forts, Qlik Mobile Client, Data Gateway - Doğrudan Erişim veya Qlik Sense Business ile kullanılamaz.