클릭센스 소개 - Qlik Sense® Security (보안)

이번 글은 클릭센스의 보안에 대하여 알아 보겠습니다. 

클릭센스의 기본적인 소개는 이전 글을 참조하세요. 

https://qliksense.tistory.com/13

차세대 시각화 솔루션 클릭센스(Qlik Sense) 소개

또한 기본적인 아키텍쳐를 이해하고자 한다면 

https://qliksense.tistory.com/14?category=853427

클릭센스(Qlik Sense) 소개 - 아키텍쳐 및 확장성

 

플랫폼

 

Qlik Sense®는 연관, 메모리 내 분석 모델을 통한 분석 플랫폼입니다. 사용자의 선택에 따라 메모리 내에 저장된 데이터에 대한 계산이 런타임으로 수행됩니다. 결과는 제로 풋프린트 웹 인터페이스를 통해 데스크톱, 노트북, 모바일 장치 및 내장형 분석에 전달되어 사용자에게 반환됩니다. Qlik Sense는 고도의 대화형, 연관 경험을 제공하여 사용자가 분석 경로 내에서 데이터를 제약이 거의 없이 또는 전혀 없이 자유롭게 탐색할 수 있습니다.

개요

Qlik Sense는 확장 가능하고 안전하며, 통제 가능한 방식으로 시각화 셀프서비스를 제공합니다. Qlik Sense는 내부 및 외부 리소스를 활용하여 액세스, 인증, 권한 및 데이터 거버넌스를 네 단계로 관리함으로써 플랫폼 보안을 보장합니다.

 

• 네트워크 보안: Qlik Sense 서비스와 웹 클라이언트 간의 커뮤니케이션은 TLS(전송 계층 보안)가 적용된 웹 프로토콜을 사용합니다. TLS는 디지털 인증서를 사용하여 서비스, 서버 및 클라이언트 간에 교환되는 정보를 암호화합니다. 암호화된 정보는 올바른 서버를 식별하는 서버 인증서 및 식별된 서버와의 통신을 가능하게 하는 클라이언트 인증서와 같은 두 개의 인증서로 연결을 보호하는 터널을 통해 전달됩니다.
• 서버 보안: 운영체제 보안 시스템은 인증서, 저장소, 메모리 및 CPU 리소스에 대한 액세스를 제어합니다. Qlik Sense는 이러한 제어 기능을 사용하여 권한이 있는 사용자에게만 액세스를 허용하고, 필요한 리소스에 대한 액세스를 처리함으로써 플랫폼을 보호합니다.1
• 프로세스 보안: Qlik Sense는 보안 위험을 경감하고 예상치 못한 사건의 발생에 대처하기 위해 개발 중 엄격한 테스트 프로세스를 거칩니다. Qlik Sense는 소프트웨어에 대해 알려진 보안 위협에 대처할 수 있는지 검증하기 위해 추가 테스트를 시행합니다.
• 앱 보안: 속성 기반 액세스 제어는 플랫폼 내의 사용자 기능을 통제하기 위한 포괄적인 프레임워크를 제공합니다. 섹션 액세스를 통해 행 및 열 수준 데이터를 감소시켜 사용자가 애플리케이션에서 검토하고 선택한 데이터를 동적으로 관리합니다.

 

인증 보안 

Qlik Sense 프록시

 

Qlik Sense - 3단계 인증 관리 1.  인증 모듈에서 사용자의 인증 정보와 자격을 확보합니다. 2.  인증 모듈이 자격 증명을 사용하여 외부 시스템에 사용자 인증 정보 확인을 요청합니다. 3.  사용자가 티켓 API, 세션 API, HTTP 헤더 또는 SAML을 사용하여 Qlik Sense로 전송합니다.

모든 Qlik Sense 배포 인증은 허브 또는 Qlik 관리 콘솔(QMC)에 연결하는 클라이언트 등 Qlik Sense 프록시 서비스(QPS)에서 관리합니다.  Qlik Sense는 개별 사용자의 인증 정보를 확인하기 위해 외부 인증 정보 공급자가 필요합니다. Qlik Sense는 검증 이후에 사용자를 허브 또는 QMC로 전송하고, TLS 및 인증서를 사용하여 다음과 같은 방법으로 트래픽을 암호화합니다.

• 티켓 API는 일회용 티켓을 사용하여 사용자와 사용자의 속성을 전송합니다. 예를 들어 Qlik Sense를 사용한 Windows 인증은 도메인 확인 후 티켓 API를 호출합니다.
• 세션 API에서 외부 모듈은 사용자를 식별하는 웹 세션을 Qlik Sense로 전송합니다.
• HTTP 헤더 방법을 사용하여 신뢰할 만한 시스템이 있는 솔루션에 사용자 정보를 전송합니다.
• SAML과 Qlik Sense의 통합은 인증 정보 공급자(IdP)와 통합된 서비스 공급자(SP) 역할을 수행합니다.
• JSON 웹 토큰(JWT)은 JSON(JavaScript Object Notation) 객체로서 쌍방 간의 안전한 전송을 수행합니다.
• 익명 사용자가 Qlik Sense에 액세스하도록 설정할 수 있습니다.

가상 프록시

Qlik Sense 배포에서 각 QPS는 가상 프록시를 사용하여 인증을 지원합니다.  가상 프록시를 사용하면 하나의 프록시가 여러 인증 방식을 지원하고 세션 관리를 수행하며, 다중 노드 배포에서 부하 균형을 조정할 수 있습니다. 가상 프록시는 하나 이상의 QPS 노드에 연결되어 트래픽을 유도하거나, 엔진 간의 부하 균형을 조정하거나, 배포 관리 레이어에 특정 액세스를 제공할 수 있습니다. 아래 그림에서 가장 왼쪽의 가상 프록시는 DMZ에 있으며 두 개의 엔진에 연결됩니다.  가상 프록시를 가진 다른 프록시들은 가상 프록시 구성과 부하 균형 조정에 따라 여러 엔진에 연결됩니다.

 

 

권한 부여 

속성 기반 액세스 제어(ABAC)2  모델을 통한 인증은 사용자 인증 및 Qlik Sense 액세스 권한을 얻은 후 애플리케이션 내에서 애플리케이션 가시성 및 셀프서비스 기능을 적용합니다.

속성 기반 액세스 제어(ABAC)

Qlik Sense에서 ABAC는 사용자의 할당된 속성, 리소스의 할당된 속성, 환경 조건 및 속성과 조건에 지정된 보안 규칙 세트에 근거하여 리소스에 대한 작업을 수행하라는 사용자 요청이 승인되는 액세스 제어 방법으로 정의됩니다. Active Directory, LDAP 및 데이터베이스의 속성이 Qlik Sense에 로드됩니다. 또한 속성을 Qlik Sense 내에서 바로 정의하고 관리할 수 있습니다.

 

ABAC는 NIST Special Publication 800-162로 등록된 미국표준기술연구소(NIST)의 특별 간행물입니다.

보안 규칙

Qlik Sense 보안 규칙은 제공된 조건에 따라 Qlik Sense 리소스에 대한 사용자 기능을 정의합니다.

사용자 또는 리소스의 역할 또는 그룹 등의 속성에 근거하여 하나 이상의 규칙에서 true를 반환하면 액세스가 제공됩니다.

                                

보안 규칙은 허브의 애플리케이션 스트림, 애플리케이션 내 기능(시트, 스토리, 책갈피 생성) 및 QMC의 관리 기능(애플리케이션 게시, 스트림 액세스 설정, 작업 작성 및 실행)을 제어합니다.

 

보안 규칙 프레임워크에는 관리자가 엔터프라이즈의 기존 역할 및 그룹을 활용하여 보안을 확장할 수 있도록 사전 정의된 규칙이 몇 가지 있습니다.

 

역할 기반 기업에서는 BI 작성자가 앱 생성에 대한 책임이 있으며 데이터 액세스 권한을 갖습니다. 콘텐츠 관리자는 앱을 생성하지는 않지만, 사용자 그룹을 대상으로 하는 스트림에 대해 애플리케이션을 게시합니다. 사용자는 애플리케이션 내에서 시트 및 스토리를 통해 자체 분석을 확장하고 새 BI를 공유할 수 있습니다. 개발자 생성 앱 사용자 셀프서비스 및 공동작업 콘텐츠 관리자는 핵심 애플리케이션의 무결성을 손상시키지 않으면서 팀원과 공유한 통찰을 스트림에 게시합니다.

 

 

데이터 축소 

Qlik Sense의 데이터 축소는 사용자 및 그룹이 Qlik Sense 애플리케이션에 진입할 때 볼 수 있는 데이터를 결정합니다.  Qlik Sense에서 데이터 축소는 섹션 액세스로 알려져 있습니다.

섹션 액세스

섹션 액세스는 Qlik Sense 애플리케이션에서 행 및 열 수준의 보안을 수행합니다. 섹션 액세스를 통해 단일 Qlik Sense 애플리케이션이 여러 사용자 또는 그룹의 데이터를 보유할 수 있습니다. 인증 및 권한 부여 프로세스를 통해 사용자 정보가 애플리케이션에 전송되어, 사용자가 본인이 볼 수 있는 데이터에만 액세스할 수 있도록 데이터를 동적으로 축소합니다. 섹션 액세스는 사용자의 데이터 가시성을 제어하기 위해 외부 데이터베이스, 디렉토리, 조회 테이블 또는 생성된 테이블의 속성 및 필드를 사용합니다.

동적 데이터 축소

섹션 액세스는 단일 정의된 관계로 애플리케이션에 로드된 비즈니스 데이터와 섹션 액세스 데이터를 연결하여 애플리케이션의 데이터를 동적으로 축소합니다. 일반적인 필드 이름을 사용하면 데이터 행이 애플리케이션 상호 작용 중에 사용자에게서 제외됩니다.  또한 각 사용자에 대해 생략될 필드 이름을 지정하여 데이터 열을 감출 수 있습니다. 

 

 

클릭센스 사용자 사용자 액서스 작업 흐름

인증, 권한 부여 및 데이터 축소를 통해 Qlik Sense에 액세스하는 사용자에게 원활한 경험을 제공합니다.

1.      사용자가 Qlik Sense 콘텐츠를 요청합니다.

2.      Qlik Sense 프록시 서비스는 사용자를 인증하고 브라우저에 세션 쿠키를 생성합니다.

3.      세션 쿠키는 사용자를 Qlik Sense로 식별하고 사용자 디렉토리와 동기화하여 속성을 가져옵니다. 동시에 규칙 엔진이 속성 기반 액세스 제어 모델을 사용하여 Qlik Sense 콘텐츠에 대한 권한을 사용자에게 부여합니다.

4.      사용자의 세션 상태가 엔진에 생성됩니다. 엔진은 섹션 액세스를 사용하여 동적 데이터 축소를 수행합니다.

5.      엔진은 Qlik Sense 콘텐츠를 렌더링하기 위해 클라이언트에 웹 소켓 연결을 통해 콘텐츠를 보냅니다.

 

감사 

 

거버넌스는 엔터프라이즈 Business Intelligence에 있어 중요합니다. Qlik Sense는 QMC, 애플리케이션 및 로그 파일을 사용하여 감사, 모니터링 및 로깅을 수행하여 관리자에게 알리고, 배포 위험을 줄입니다.

 

Qlik 관리 콘솔에 내장된 감사 탭을 사용하여 보안 규칙에 대한 감사를 수행합니다.

관리자는 감사 화면 상단의 필터를 사용하여 애플리케이션의 사용자 액세스 제어를 평가할 수 있습니다. 관리자는 스트림, 콘텐츠 라이브러리 및 데이터 연결에 대한 보안 규칙을 생성할 때 인라인 감사를 사용하여 작성한 규칙을 기반으로 액세스 제어를 미리보기할 수 있습니다.

• 내장된 작동 모니터 및 라이선스 모니터링 애플리케이션을 사용하여 Qlik Sense를 모니터링합니다. 이러한 애플리케이션은 가동 시간, 세션, 자원 활용, 로깅 변경 및 라이선스 준수와 관리에 관련된 정보를 제공합니다.
• 텍스트 파일에 대한 로깅은 Qlik Sense의 배경에서 실행됩니다. 모든 서비스에는 배포 모니터링 및 관리를 위한 감사, 시스템 및 추적 로그가 포함됩니다.

Qlik 운영 모니터

요약 

Qlik Sense 보안은 여러 수준에서 종합적인 보안을 제공하여, 허가를 받은 사용자만이 안전한 연결을 통해 허용되는 데이터에 액세스할 수 있게 해줍니다.

• 인증 인증서 및 TLS(전송 계층 보안)를 사용하여 Qlik Sense 프록시 서비스(QPS)에서 처리하여 네트워크 트래픽을 암호화합니다.
• 권한 사용자 액세스 및 콘텐츠를 관리하고 데이터 축소를 위해 섹션 액세스를 사용하는 속성 기반 액세스 제어(ABAC) 시스템을 사용합니다.
• 감사 Qlik Sense 플랫폼은 저장소 데이터베이스의 변경 사항, 포괄적인 감사 및 보안 로깅 및 모니터링 애플리케이션을 추적합니다.
• 기밀성 운영 체제 파일 시스템 및 서버 액세스 제어를 사용하여 Qlik Sense 노드의 콘텐츠를 보호하고, 운영 체제 컨트롤을 사용하여 메모리를 보호하고, 리소스 수준에서 애플리케이션 액세스를 보호하며, 중요한 정보(예: 암호 및 데이터 연결 문자열)를 암호화하여 TLS로 네트워크 연결을 암호화하고, 데이터 축소를 사용하여 앱 데이터를 보호합니다.
• 무결성 파일 시스템과 같은 운영 체제 제어를 통해 나머지 데이터를 보호하고 민감한 정보를 암호화하며 데이터가 소스 시스템에 다시 기록되는 것을 방지합니다.

 

클릭센스 기술문의는

Qliker@kakao.com