Saviez-vous qu’il était maintenant possible de protéger vos fichiers en les encryptant sur Qlik Sense ?
La capacité d’encryptions tant au niveau des applications (.QVF) que des données (.QVD) fut pour la première fois introduite pour Qlik Sense Entreprises pour Window en septembre 2019 et est disponible par défaut via la QMC en novembre 2019.
L’engine de Qlik sense à la capacité d’encrypter des fichiers QVD et QVF via une clé d’encryptions appelées (DEK ou Data Encryption Key), qui est elle-même générée via une autre clé appelée KEK (ou Key encryption Key) basée sur des certificats. La DEK est unique à chaque fichier encrypté et est stockée directement dans le fichier QVD/QVF.
LA KEK est double, à la fois privée et publique. La clé publique va servir à encrypter les données tandis que la clé privée va avoir la capacité de les décrypter. L’algorithme d’encryptions est un standard de l’industrie : le AES-256 GCM (voir : https://en.wikipedia.org/wiki/Galois/Counter_Mode). Les clés sont stockées dans un CNG KeyStorageProvice tandis que les certificats sont stockés dans un « store » accessible au « user » pilotant l’engine de Qlik. La configuration s’opère directement dans la QMC, où l’encryption doit être autorisée et le certificat thumbprint doit y être spécifié.
L’encryption s’opère de la manière suivante : le Service Engine utilise le thumbprint pour obtenir la clé (KEK) depuis le Window CNG Store. Ensuite, l’engine va générer une DEK qui sera utilisée pour encrypter les données. La décryption nécessite l’accès au même certificat utilisé pendant l’encryption, ce qui implique que le thumbprint du certificat stocké dans le « store » CNG doit correspondre au thumbprint utilisé pour la génération de la DEK.
Une DEK n’est jamais réutilisée. Cela veut dire que si un fichier est compris, l’encryption est toujours valide pour les autres fichiers.
Quelques remarques :
- L’encryption s’opère uniquement « at rest ». Cela veut dire que seuls les fichiers stockés physiquement sur le serveur sont concernés (typiquement les fichiers du sharefolder).
- La donnée en mémoire n’est jamais encryptée
- Les applications exportées (QVF) ne sont pas encryptées
- Les fichiers encryptés stockés sur le serveur ne peuvent être importés vers un autre environnement Qlik Sense. L’import échouera étant donné que le nouveau serveur ne possède pas les clés de décryption.
Élément requis :
- Disposer de Qlik sense Novembre 2019 ou ultérieur sur l’ensemble des nodes.
Contactez-nous si vous avez une question !
laetitia.larchanche@weqan.be
+32(0)489/970.736
Laetitia, Sales & Marketing manager
Restez informés des différentes actualités de WeQan en nous suivant sur LinkedIn et Facebook.