Self-Service Tri-Secret Secure in Snowflake

Übersicht zu Tri-Secret Secure

Die Verwendung eines Verschlüsselungsmodells mit dualen Schlüsseln zusammen mit der integrierten Benutzerauthentifizierung von Snowflake ermöglicht drei Ebenen des Datenschutzes, bekannt als Tri-Secret Secure. Tri-Secret Secure bietet Ihnen ein Maß an Sicherheit und Kontrolle über die Standardverschlüsselung von Snowflake hinaus.

Unser Verschlüsselungsmodell mit dualen Schlüsseln kombiniert einen von Snowflake verwalteten Schlüssel und einen vom Kunden verwalteten Schlüssel (CMK), die Sie auf der Cloudanbieter-Plattform erstellen, die Ihr Snowflake-Konto hostet. Das Modell erstellt einen zusammengesetzten Hauptschlüssel, der Ihre Snowflake-Daten schützt. Dieser zusammengesetzte Hauptschlüssel fungiert als Kontohauptschlüssel, indem er alle Schlüssel in Ihrer Kontohierarchie umschließt. Der zusammengesetzte Hauptschlüssel wird niemals zur Verschlüsselung von Rohdaten verwendet. Beispielsweise umschließt der zusammengesetzte Hauptschlüssel Tabellenhauptschlüssel, die verwendet werden, um Dateischlüssel abzuleiten, die die Rohdaten verschlüsseln.

Achtung

Bevor Sie Tri-Secret Secure für Ihr Konto aktivieren, sollten Sie sich Ihrer Verantwortung für den Schutz Ihres Schlüssels umfassend bewusst sein, wie unter Kundenverwaltete Schlüssel erläutert. Wenn der CMK in der zusammengesetzten Hauptschlüsselhierarchie widerrufen wird, können Ihre Daten nicht mehr von Snowflake entschlüsselt werden.

Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.

Snowflake trägt auch die gleiche Verantwortung für die von uns gewarteten Schlüssel. Wie bei allen sicherheitsrelevanten Aspekten unseres Services stellen wir uns mit größter Sorgfalt und Wachsamkeit dieser Verantwortung.

Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und HITRUST CSF.

Tri-Secret Secure-Kompatibilität mit Hybridtabellen

Sie müssen den dedizierten Speichermodus aktivieren, wenn Sie beabsichtigen, Hybridtabellen in Ihrem Konto zu erstellen und TSS bereits aktiviert ist oder aktiviert wird. Weitere Informationen dazu finden Sie unter Dedizierter Speichermodus in Hybridtabellen für TSS.

Erläuterungen zum Self-Service Tri-Secret Secure

Sie können die Snowflake-Systemfunktionen verwenden, um zunächst einen CMK zu registrieren und dann Tri-Secret Secure aktivieren, um den CMK zu verwenden. Wenn Sie sich dazu entschließen, einen CMK zur Verwendung mit Tri-Secret Secure zu ersetzen, informiert Sie die Funktion SYSTEM$GET_CMK_INFO darüber, ob Ihr neuer CMK registriert und aktiviert wurde. Sie können Ihr Konto während des Wiederverschlüsselungsprozesses weiterhin verwenden.

Der Self-Service Tri-Secret Secure bietet Ihnen die folgenden Vorteile:

  • Erleichtert die Arbeit mit dem Key Management Service (KMS) der Cloudplattform, die Ihr Snowflake-Konto hostet.

  • Vereinfacht die Schritte zur Registrierung und Autorisierung Ihres CMK.

  • Bietet Transparenz für Ihre CMK-Registrierung und den Tri-Secret Secure-Aktivierungsstatus

  • Ermöglicht Ihnen das Verwalten von Tri-Secret Secure ohne Ausfallzeiten Ihres Snowflake-Kontos.

Tri-Secret Secure aktivieren

Dieses Verfahren funktioniert auf allen Cloudanbieter-Plattformen, die Snowflake unterstützt. Informationen zu den Schritten auf der Cloudanbieter-Plattform finden Sie in der Dokumentation Ihres Cloudanbieters.

Um Ihren CMK zu erstellen und zu registrieren und anschließend Tri-Secret Secure zu aktivieren, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie beim Cloudanbieter einen CMK.

    Führen Sie diesen Schritt im Key Management Service (KMS) auf der Cloudplattform aus, die Ihr Snowflake-Konto hostet.

  2. Rufen Sie in Snowflake die SYSTEM$REGISTER_CMK_INFO-Systemfunktion auf.

    • Diese Systemfunktion registriert Ihren CMK mit Ihrem Snowflake-Konto.

    • Überprüfen Sie noch einmal die Systemfunktionsargumente, um sicherzustellen, dass sie für die Cloudplattform, die Ihr Snowflake-Konto hostet, korrekt sind.

    • Wenn Sie die SYSTEM$REGISTER_CMK_INFO-Funktion aufrufen, sendet Snowflake eine E-Mail-Nachricht an die Kontoadministratoren, die über eine validierte E-Mail-Adresse verfügen. Die Meldung benachrichtigt den Kontoadministrator, wenn er die SYSTEM$ACTIVATE_CMK_INFO-Funktion aufrufen muss, um Tri-Secret Secure zu aktivieren.

    Wichtig

    Sie müssen 72 Stunden warten, bevor Sie Tri-Secret Secure (Schritt 6) aktivieren. Wenn Sie versuchen, Tri-Secret Secure während dieser Wartezeit zu aktivieren, wird eine Fehlermeldung angezeigt, die Ihnen rät, zu warten.

  3. Rufen Sie in Snowflake die SYSTEM$GET_CMK_INFO-Systemfunktion auf.

    Diese Systemfunktion gibt den Registrierungsstatus und die Details für den CMK zurück, den Sie registriert haben.

  4. Rufen Sie in Snowflake die SYSTEM$GET_CMK_CONFIG-Systemfunktion auf.

    Diese Systemfunktion generiert die Informationen, die Ihr Cloudanbieter benötigt, um Snowflake den Zugriff auf Ihren CMK zu ermöglichen.

    Bemerkung

    Wenn Microsoft Azure Ihr Snowflake-Konto hostet, müssen Sie den tenant_id-Wert an die Funktion übergeben.

  5. Rufen Sie in Snowflake die SYSTEM$VERIFY_CMK_INFO-Systemfunktion auf.

    Diese Systemfunktion bestätigt die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK.

  6. Rufen Sie in Snowflake die SYSTEM$ACTIVATE_CMK_INFO-Systemfunktion auf.

    Diese Systemfunktion aktiviert Tri-Secret Secure mit Ihrem registrierten CMK. Diese Systemfunktion startet den Wiederverschlüsselungsprozess und generiert eine E-Mail-Meldung, die Systemadministratoren benachrichtigt, wenn der Prozess abgeschlossen ist. Der Wiederverschlüsselungsprozess kann in weniger als einer Stunde abgeschlossen sein, kann aber auch bis zu 24 Stunden dauern.

    Warnung

    Snowflake verwendet den alten CMK, bis der Wiederverschlüsselungsprozess abgeschlossen ist. Entfernen Sie nicht den Zugriff auf den alten CMK, bis Sie eine E-Mail-Benachrichtigung erhalten, dass der Wiederverschlüsselungsprozess abgeschlossen ist.

Informationen darüber, wie Sie die private Konnektivität für einen CMK aktivieren, der bereits mit Tri-Secret Secure aktiviert ist, finden Sie unter Aktivieren eines privaten Konnektivitätsendpunkts für einen aktiven CMK.

Status vom CMK anzeigen

Sie können SYSTEM$GET_CMK_INFO jederzeit aufrufen, um den Registrierungs- und Aktivierungsstatus von Ihrem CMK zu überprüfen.

Beispielsweise gibt die Funktion abhängig davon, wann Sie SYSTEM$GET_CMK_INFO aufrufen, die folgende Ausgabe zurück:

  • Unmittelbar nach der Aktivierung von Tri-Secret Secure gibt sie ...is being activated... zurück. Das bedeutet, dass die Wiederverschlüsselung nicht abgeschlossen ist.

  • Nach Abschluss des Tri-Secret Secure-Aktivierungsprozesses gibt sie eine Ausgabe zurück, die ...is activated... enthält. Das bedeutet, dass Ihr Snowflake-Konto Tri-Secret Secure mit dem von Ihnen registrierten CMK verwendet.

CMK für Tri-Secret Secure ändern

Snowflake-Systemfunktionen unterstützen basierend auf Ihren Sicherheitsanforderungen das Ändern Ihres kundenverwalteten Schlüssels (CMK). Um einen neuen CMK zu registrieren, führen Sie die gleichen Schritte aus, die Sie auch zur Registrierung Ihres ersten CMK ausgeführt haben. Wenn Sie diese Schritte mit einem neuen Schlüssel erneut ausführen, unterscheidet sich die Ausgabe der Systemfunktionen. Lesen Sie die Ausgabe jeder Systemfunktion, die Sie während der Selbstregistrierung aufrufen, um zu bestätigen, dass Sie Ihren Schlüssel geändert haben. Wenn Sie beispielsweise Ihren CMK ändern, wird durch Aufrufen der SYSTEM$GET_CMK_INFO-Funktion eine Nachricht zurückgegeben, die ...is being rekeyed... enthält.

Self-Service Tri-Secret Secure mit automatischer Schlüsselrotation verwenden

Wenn Sie das Feature der automatischen Schlüsselrotation Ihres Cloudanbieters verwenden, um den Lebenszyklus Ihrer kundenverwalteten Schlüssel (CMKs) in Stand zu halten, können Sie mit der neuesten Version Ihres CMK neu verschlüsseln, indem Sie die SYSTEM$ACTIVATE_CMK_INFO-Systemfunktion aufrufen und das 'REKEY_SAME_CMK'-Argument bereitstellen.

Weitere Informationen dazu finden Sie unter Kundenverwaltete Schlüssel.

Tri-Secret Secure deaktivieren

Zum Deaktivieren von Tri-Secret Secure in Ihrem Konto rufen Sie die SYSTEM$DEACTIVATE_CMK_INFO-Systemfunktion auf.

Aktuellen CMK deregistrieren

Sie können nur einen CMK gleichzeitig mit Tri-Secret Secure registrieren. Wenn Sie Ihren CMK registrieren, falls die SYSTEM$REGISTER_CMK_INFO-Funktion fehlschlägt, weil ein anderer CMK existiert, rufen Sie die SYSTEM$DEREGISTER_CMK_INFO-Systemfunktion wie gefordert auf.

Integration von Tri-Secret Secure mit externen AWS-Schlüsselspeichern

Snowflake unterstützt die Integration von Tri-Secret Secure mit externen AWS-Schlüsselspeichern, um einen vom Kunden verwalteten Schlüssel außerhalb von AWS sicher zu speichern und zu verwalten. Snowflake testet und unterstützt offiziell nur Thales Hardware-Sicherheitsmodule (HSM) und Datenverschlüsselungsprodukte von Thales CipherTrust Cloud Key Manager (CCKM).

Weitere Informationen zum Einrichten und Konfigurieren von Tri-Secret Secure mit den Lösungen von Thales finden Sie unter Verwendung des externen Schlüsselspeichers von Thales für Tri-Secret Secure auf einem AWS Snowflake-Konto.

Sprache: Deutsch