跳到主要內容 跳至補充內容
Qlik 資源

租用戶加密

建立租用戶時,Qlik Cloud 會使用多層安全性以保護您的資料。依照預設,會透過一組唯一產生且由 Qlik 加密服務管理的加密金鑰,讓每個租用戶獨立於其他租用戶,以便加密租用戶中的內容。每個租用戶的金鑰獨立於 Qlik 用來保護服務對服務通訊的金鑰。

Qlik Cloud 使用下列加密標準:

  • 傳輸途中—TLS 1.2 加密

  • 待用—AES-256-GCM 加密

  • 在平台內 (透過指定的 IdP 驗證後)—簽署的 JSON Web Token (JWT) 可確保完整性、真實性和不可否認性

客戶管理金鑰 (CMK)

有些受到高度管制的產業,例如健康照護,必須符合嚴格的管制規定以達到安全性和合規性。此外,許多商業客戶會對市場敏感資料運用資料分類方法,以決定特定資料集是否需要額外的安全性技術。這些更嚴格的安全性要求可能包括要求控制用來加密和解密敏感雲端資料的加密金鑰。Qlik Cloud 允許您使用 客戶管理金鑰 攜帶自己的金鑰 (BYOK) 作為加密選項,以保護 Qlik 雲端內待用的租用戶資料。

在租用戶層級會採用透過 CMK 加密。租用戶管理員可以設定租用戶加密以使用 CMKQlik Cloud 支援下列金鑰管理服務 (KMS) 提供者:

  • Qlik 內部 KMS (預設)

  • Amazon Web Services (AWS) KMS

資訊備註Qlik Sense Mobile SaaS資料閘道 - 直接存取資料閘道 - 資料移動 不支援或使用透過 CMK 加密。CMK 僅在租用戶層級為待用儲存的租用戶資料支援加密。CMK 不會用於加密移動中的資料或行動裝置或資料閘道上的待用資料。
資訊備註CMK 不可用於 Qlik Sense Business

客戶管理金鑰HIPAA

Qlik Cloud 可以託管需遵守 1996 年美國 健康保險流通與責任法案 (HIPAA) 法規的個人健康資訊 (PHI),前提是客戶使用 客戶管理金鑰 並簽署 HIPAA 商務關聯協議 (BAA)。Qlik Cloud 可以透過 HIPAA 法規要求支援客戶,而使用 Qlik Cloud 的客戶則負責自己的 HIPAA 合規性。強制使用 客戶管理金鑰 才能將 PHI 放入 Qlik Cloud。如需更多資訊,請參閱 Qlik 的信任和安全性

Qlik Cloud 加密架構概述

下圖提供加密租用戶中資料的 Qlik Cloud 加密服務的概述。若為使用 AWS KMSCMK 設定租用戶,每次要求 Qlik Cloud 中的服務加密或解密資料時,加密服務會叫用 AWS KMS 並使用 AWS KMS 金鑰。或者,依照預設,會使用透過 Qlik 內部 KMS 產生的資料金鑰加密租用戶資料。

Qlik Cloud 加密架構與 CMK

攜帶自己的金鑰進行的租用戶加密架構

客戶管理金鑰 的客戶責任

透過 CMK,客戶可完全掌控金鑰。客戶的組織負責建立、維護和管理金鑰生命週期的所有層面,包括下列方面:

AWS KMS 中的金鑰設定

  • 建立 AWS 帳戶和使用 KMS

  • 建立金鑰並建立 AWS KMS 金鑰管理政策,以處理識別和存取管理 (IAM) 權限和角色,以及誰能執行功能,例如建立、停用和刪除金鑰。

AWS KMS 中的金鑰管理

設定租用戶使用 AWS KMS 金鑰加密待用資料後,您就有責任管理該金鑰。重要的是應保護 AWS KMS 金鑰,以免遭到意外刪除或停用。Qlik 建議您針對這些金鑰管理功能和其他功能建立流程。由於這些是客戶控制的金鑰,Qlik Cloud 無法防止您停用 CMK

  • 停用 AWS KMS 金鑰。此動作會暫時防止 Qlik Cloud 為了產生資料金鑰 (用於加密) 和解密操作而向 AWS KMS 進行 API 呼叫。例如,排程載入或在 Qlik Cloud 的背景中執行並需要資料加密或解密的任務將會在停用金鑰 (或金鑰的存取權限) 時失敗。重新啟用該金鑰可重新建立租用戶的存取權限。

  • 刪除 AWS KMS 金鑰。此動作將會永久停用 Qlik Cloud 租用戶。若您排程刪除金鑰,租用戶會立即進入停用模式。這會防止存取金鑰並鎖定租用戶。AWS KMS 針對刪除金鑰有廣泛的控制流程,您可以自訂以滿足您的需求。例如,您可以設定刪除金鑰之前的等待期間並使用警示,且您可以在等待期間取消刪除。

  • AWS KMS 中旋轉金鑰。您可以在定義金鑰時選取 AWS KMS自動金鑰旋轉選項。這將每年為 KMS 金鑰產生一次新的密碼編譯材料。AWS KMS 儲存所有先前版本的密碼編譯材料,讓您可以解密使用該 KMS 金鑰加密的任何資料。在刪除 KMS 金鑰之前,AWS KMS 不會刪除任何旋轉的金鑰材料。由於 AWS KMS 使用適當的金鑰材料以透明的方式解密,您可以安全地使用旋轉的 KMS 金鑰,這不會影響 Qlik Cloud客戶管理金鑰 整合。請注意,這不同於全新的 AWS 金鑰並對該新的金鑰進行 Qlik CMK 金鑰提供者變更,這會強制完整重新加密租用戶。請參閱 設定租用戶加密

  • 稽核金鑰使用—考慮使用 KMS 金鑰監控工具,例如 AWS CloudTrail,以監控加密操作。

  • 控制金鑰存取—保護金鑰政策以防不必要的存取或變更。

  • 確保金鑰可用性—維護並確保金鑰作用中。防止可能會造成失去存取權限的動作。與其他 AWS 服務類似,若 AWS KMS 的存取權限中斷,租用戶資料將無法使用。AWS KMS 包括穿越地區和高度可用區域的內建彈性,以實現基礎結構中的備援。如需更多關於 AWS KMS 安全性的資訊,請參閱 AWS 金鑰管理服務中的彈性

如需詳細資訊,請參閱 AWS KMS 文件:

從單一區域金鑰轉換至多區域金鑰

客戶管理金鑰 支援多區域金鑰,以支援災難復原流程。若您目前正在使用單一區域金鑰,我們建議您建立多區域金鑰,萬一主要區域中斷服務,才能在備份區域順利使用租用戶。

如需關於如何建立多區域金鑰的資訊,請參閱 AWS KMS 用於災難復原 (DR) 的多區域金鑰

資訊備註若您在金鑰輪換期間使用新的金鑰,將會強制您使用多區域金鑰設定。

CMK 限制和考慮事項

以下區段描述 Qlik CloudCMK 的限制和考慮事項:

  • 設定租用戶以使用自己的 CMK 後,您可以復原使用 Qlik 內部 KMS 加密,或將金鑰變更為不同的 CMK

  • CMK 僅作為外部金鑰提供者支援 AWS KMS

  • CMK 僅支援對稱加密金鑰。

  • CMK 已從單一區域金鑰轉換至多區域金鑰,以支援災難復原流程。

  • 客戶管理金鑰 無法用於 Qlik Mobile Client資料閘道 - 直接存取Qlik Sense Business

此頁面是否對您有幫助?

若您發現此頁面或其內容有任何問題——錯字、遺漏步驟或技術錯誤——請告知我們可以如何改善!

在此留下意見回饋