Visão Geral de Segurança no Qlik Sense

De Qknow
Ir para: navegação, pesquisa
QlikCiclesPicture.PNG

Página Principal >> Segurança >> Governança no Qlik Sense >> Visão de Segurança no Qlik Sense

Introdução

Qlik® Sense é uma plataforma associativa em memória que permite que cálculos sejam realizados em tempo de execução a partir das cargas realizadas in-memory. Diferente do entendimento de muitos usuários, o Sense não é apenas um software Desktop de análise OLAP (online analytical processing) que se baseia em um modelo tradicional de BI que contemple um DW previamente construído. Ao contrário, a plataforma Qlik Sense envolve um modelo associativo com uma arquitetura composta de vários serviços e produtos.

Por se tratar de uma plataforma, muitos aspectos de governança, segurança, administração e gestão estão disponíveis por meio de uma estrutura robusta composta por inúmeros recursos. No aspecto segurança o Sense atua em 4 níveis para garantir a governabilidade dos dados, incluindo segurança de rede, segurança em nível de servidor, segurança em nível de processos (processamento) e por último segurança em nível de aplicação.

Em linhas gerais a segurança de rede (Network Security) é garantida pelo uso de TLS (Transport Layer Security) entre as ações realizadas na Web e os serviços Qlik Sense. O TLS usa certificados digitais para encriptar a comunicação e troca de dados entre os serviços, servidores e clientes na Web. Esta encriptação ocorre por meio de tuneis que exigem certificados digitais visando garantir a segurança da comunicação. Logo, há um certificado em nível de servidor que garante que o cliente estará se comunicando com o destino correto e também no cliente para garantir que este é o recebedor autorizado para as informações trafegadas.

Em nível de servidores (Server Security), a segurança é garantida pelo sistema operacional através de controle de acesso aos certificados digitais, memória, CPU e dispositivos de armazenamentos. O Qlik® Sense usa estes controles para garantir a proteção da plataforma permitindo que apenas usuários e processos possam consumir os recursos computacionais. Já em termos de processos (Process Security) a Qlik se utiliza de rigorosos modelos de testes durante o desenvolvimento da plataforma para reduzir riscos de falhas e eventos indesejados, tornando a plataforma estável e confiável.

Por último, a segurança em nível de aplicação (Application Security) se baseia em uma série de recursos de governança que garantem que o usuário é quem diz ser e acesse apenas aquilo para que lhe foi garantido permissão, incluindo dados em nível de tabelas, colunas ou mesmo linhas.

Autenticação

O processo de autenticação no Qlik Sense garante que o usuário é quem diz ser. Ou seja, para que tenha acesso aos painéis, aplicações e dados é preciso fornecer informações de credenciais. Todo o processo de autenticação é baseado em uma entidade externa, de maneira que não há possibilidade de criar usuários com senhas diretamente sobre a plataforma Sense, como ocorre no QlikView. Todo processo de autenticação do usuário para acesso ao HUB ou dos administradores para acesso ao QMC (Qlik Management Console) é realizado pelo QPS (Qlik Sense Proxy Services).

Múltiplos mecanismos de autenticação podem ser utilizados em um ambiente Qlik Sense, incluindo Ticket API, Session API, HTTP Headers, SAML ou mesmo Anonymous. Para todos os modelos em que a credencial precisará ser checada (exceção de Anonymous), uma entidade externa deve ser invocada (Ex. Active Directory, LDAP Services, Etc.). É por meio do Proxy da plataforma Qlik Sense que a autenticação de usuários ou administradores é realizada. O QPS faz uso de Proxies Virtuais (Virtual Proxy) para suportar múltiplos esquemas de autenticação no mesmo ambiente. Estes proxies virtuais podem se ligar a um ou mais QPS com vias a redirecionar tráfego, balancear cargas ou fornecer acesso específico para os administradores.

 Nota: Para maiores informações sobre os componentes da arquitetura Qlik Sense, consulte este artigo.


Autorização

SecurityRulesAuthorization01.PNG

Somente para usuários autenticados o processo de autorização será testado. Ou seja, antes que qualquer usuário ou administrador possa ter acesso aos recursos que deseja é preciso que a credencial tenha sido conferida por uma entidade externa, doutra forma nem se aplicará autorizações. Portanto, autorizar significa dar acesso aos recursos ou dados para um usuário previamente autenticado. O Qlik Sense utiliza o mecanismo ABAC para combinar políticas de acesso em atributos diversos.

No Sense, ABAC é definido como um método de controle de acesso onde o usuário faz a requisição para realização de uma ação sobre um recurso. Mas não basta uma simples autorização, pois o mecanismo é bem mais sofisticado do que o existente no âmbito do QlikView Server. Em nível de Sense a autorização é uma combinação de atributos para o usuário, atributos dos recursos a serem utilizados, condições do ambiente e um conjunto de regras de segurança que são especificadas em termos destes atributos e condições. Atributos podem ser importados (lidos) a partir do Active Directory, LDAP ou bancos de dados, além de definidos dentro do próprio Qlik Sense.

As regras de segurança ditam aos usuários as capacidades de realização de ações sobre os recursos disponíveis. O acesso será garantido se ao menos uma regra retornar TRUE (verdadeiro) baseando-se nos grupos ou papeis para os quais o usuário foi designado. Estas regras atuam para gerenciar o acesso dos usuários a diferentes aplicações (no QlikView aplicações são denominadas documents), quais as ações que podem se realizadas dentro da aplicação (entenda-se, um painel) ou ações administrativas no QMC (Qlik Management Console).

Assim, é possível restringir o acesso do usuário a painéis (aplicações) específicas além de atribuir permissões personalizadas dentro daquelas que podem ser acessadas. Por exemplo, um usuário com acesso a um painel de Vendas pode ter atributos que o permita criar novas visões (gráficos, guias, etc.), bookmarks ou mesmo a publicação das mudanças para outros usuários. Igualmente, em nível administrativo é possível determinar quem terá permissões para publicação de aplicações, configurações de acesso a outros usuários, criação e/ou execução de tarefas, além de muitas outras ações.

Para facilitar a administração o Qlik Sense dispõe de padrões de regras previamente instaladas para as quais usuários ou administradores podem ser atribuídos, simplificando a organização e governança do ambiente. As rules padrão permitem que usuários que criam painéis possam ter as permissões necessárias ao serem atribuídos ao BI Developer's Create Applications, enquanto aqueles atribuídos ao Content Admin Publish to Streams não estarão aptos a criar painéis mas publicá-los para streams de maneira que outros clientes possam ter acesso. Estes usuários são atribuídos ao Customers Self-Service and Collaborate e passam a ter a habilidade de estender suas próprias análises com novas guias e elementos gráficos dentro da aplicação, compartilhando com os integrantes do departamento sem alterar o core (núcleo) da aplicação.


Redução de Dados

SenseSectionAccess01.PNG

O termo redução na plataforma Qlik significa que o usuário terá acesso a uma parcela dos dados de acordo com as permissões que lhe forem concedidas. Ou seja, nem todos os registros de todas as tabelas estarão visíveis ao usuário, portanto reduzindo o que poderá ser analisado. Assim, o termo redução significa restringir quais são os registros ou colunas que um usuário ou grupo estarão aptos a interagir quando uma aplicação for acessada. No Qlik Sense o termo redução é implementado por meio de um recurso chamado de Section Access.

Com uso da redução por meio da seção de acesso (Section Access) uma única aplicação pode hospedar os dados para múltiplos usuários com privilégios de visualização separados. Por exemplo, é possível que um diretor de vendas tenha acesso a todos os registros de todas as regionais, enquanto os gerentes locais estão aptos a visualizar somente os dados de suas equipes de vendedores. A aplicação (painel) restringe o acesso aos dados em todo o modelo associativo retirando da visão do usuário aquilo que não lhe é permitido acesso.

Após o processo de autenticação e autorização, as credenciais do usuário são encaminhadas ao aplicativo (painel) e confrontadas com a seção de acesso. Somente os dados associados ao usuário serão visualizados em todas as tabelas existentes no modelo associativo. As credenciais podem ser associadas a diferentes campos de maneira que a conta esteja ligada a parcela dos dados de interesse de cada grupo de usuários. Os atributos do usuário podem ser lidos a partir do serviço de diretórios, bancos de dados, tabelas externas, tabelas INLINE, etc.

Além de restringir o acesso aos registros é possível instruir o modelo de redução de dados para omitir certas colunas a um usuário ou grupo. Assim um gestor local pode não ter acesso aos dados salariais de seus subordinados enquanto a diretoria de recursos humanos tem acesso a todos os registros.



Assuntos Relacionados


Envelope01.jpg
Procurando Algo? Fale Conosco!

Voltar | Página Principal

Página Principal >> Segurança >> Governança no Qlik Sense >> Visão de Segurança no Qlik Sense