Tri-Secret Secure Self-Service mit privater Konnektivität in Snowflake

Übersicht zu Tri-Secret Secure

Die Verwendung eines Verschlüsselungsmodells mit dualen Schlüsseln ergibt zusammen mit der integrierten Benutzerauthentifizierung von Snowflake drei Ebenen des Datenschutzes, bekannt als Tri-Secret Secure*. Tri-Secret Secure bietet Ihnen ein Maß an Sicherheit und Kontrolle, das über die Standardverschlüsselung von Snowflake hinausgeht.

Unser Verschlüsselungsmodell mit dualen Schlüsseln kombiniert einen von Snowflake verwalteten Schlüssel und einen vom Kunden verwalteten Schlüssel (CMK), die Sie auf der Cloudanbieter-Plattform erstellen, die Ihr Snowflake-Konto hostet. Das Modell erstellt einen zusammengesetzten Hauptschlüssel, der Ihre Snowflake-Daten schützt. Dieser zusammengesetzte Hauptschlüssel fungiert als Kontohauptschlüssel, indem er alle Schlüssel in Ihrer Kontohierarchie umschließt. Der zusammengesetzte Hauptschlüssel wird niemals zur Verschlüsselung von Rohdaten verwendet. Beispielsweise umschließt der zusammengesetzte Hauptschlüssel Tabellenhauptschlüssel, die verwendet werden, um Dateischlüssel abzuleiten, die die Rohdaten verschlüsseln.

Achtung

Bevor Sie Tri-Secret Secure für Ihr Konto aktivieren, sollten Sie sich Ihrer Verantwortung für den Schutz Ihres Schlüssels umfassend bewusst sein, wie unter Kundenverwaltete Schlüssel erläutert. Wenn der CMK in der zusammengesetzten Hauptschlüsselhierarchie widerrufen wird, können Ihre Daten nicht mehr von Snowflake entschlüsselt werden.

Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.

Snowflake trägt auch die gleiche Verantwortung für die von uns gewarteten Schlüssel. Wie bei allen sicherheitsrelevanten Aspekten unseres Services stellen wir uns mit größter Sorgfalt und Wachsamkeit dieser Verantwortung.

Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und :ref:` HITRUST CSF <label-hitrust_csf_cert>`.

Tri-Secret Secure-Kompatibilität mit Hybridtabellen

Sie müssen den dedizierten Speichermodus aktivieren, wenn Sie beabsichtigen, Hybridtabellen in Ihrem Konto zu erstellen und Tri-Secret Secure bereits aktiviert ist oder aktiviert wird. Weitere Informationen dazu finden Sie unter Dedizierter Speichermodus in Hybridtabellen für TSS.

Erläuterungen zu Tri-Secret Secure Self-Service mit privater Konnektivität

Sie können die Snowflake-Systemfunktionen verwenden, um einen CMK zu registrieren, private Endpunkte bereitzustellen und dann einen CMK zur Verwendung mit Tri-Secret Secure durch diese Endpunkte zu aktivieren. Wenn Sie sich dazu entschließen, einen CMK zur Verwendung mit Tri-Secret Secure zu ersetzen, informiert Sie die Funktion SYSTEMGET_CMK_INFO darüber, ob Ihr neuer CMK registriert und aktiviert wurde. Sie können Ihr Konto während des Wiederverschlüsselungsprozesses weiterhin verwenden.

Tri-Secret Secure Self-Service mit privater Konnektivität bietet die folgenden Vorteile:

  • Erleichtert die Arbeit mit dem Key Management Service (KMS) der Cloudplattform, die Ihr Snowflake-Konto hostet.

  • Vereinfacht die Schritte zur Registrierung und Autorisierung Ihres CMK.

  • Bietet Transparenz für Ihre CMK-Registrierung und den Tri-Secret Secure-Aktivierungsstatus

  • Ermöglicht Ihnen das Verwalten von Tri-Secret Secure ohne Ausfallzeiten Ihres Snowflake-Kontos.

  • Ermöglicht die Kommunikation zwischen Ihrem von Snowflake verwalteten Schlüssel und dem Schlüsseltresor Ihres Cloudanbieters über Ihre privaten Endpunkte.

Aktivieren von Tri-Secret Secure mit privater Konnektivität

Dieses Verfahren funktioniert auf den Amazon Web Services und Microsoft Azure Cloudanbieter-Plattformen, die Snowflake unterstützt. Informationen zu den Schritten auf der Cloudanbieter-Plattform finden Sie in der Dokumentation Ihres Cloudanbieters. Informationen darüber, wie Sie die private Konnektivität für einen CMK aktivieren, der bereits mit Tri-Secret Secure aktiviert ist, finden Sie unter Aktivieren eines privaten Konnektivitätsendpunkts für einen aktiven CMK.

Zum Aktivieren von Tri-Secret Secure mit privater Konnektivität führen Sie die folgenden Schritte aus:

  1. Erstellen Sie beim Cloudanbieter einen CMK.

    Führen Sie diesen Schritt im KMS auf der Cloudplattform aus, die Ihr Snowflake-Konto hostet.

  2. Rufen Sie in Snowflake SYSTEM$PROVISION_PRIVATELINK_ENDPOINT_TSS auf.

    Diese Systemfunktion stellt einen privaten Endpunkt zur Verwendung mit Ihrem KMS und Tri-Secret Secure bereit.

  3. Genehmigen Sie den privaten Endpunkt beim Cloudanbieter.

    Führen Sie diesen Schritt im Azure-Portal als Eigentümer der Azure-API Verwaltungsressource oder in der Amazon-VPC-Konsole aus. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Azure oder AWS.

  4. Rufen Sie in Snowflake SYSTEM$REGISTER_CMK_INFO auf.

    • Diese Systemfunktion registriert Ihren CMK mit Ihrem Snowflake-Konto.

    • Überprüfen Sie noch einmal die Systemfunktionsargumente, um sicherzustellen, dass sie für die Cloudplattform, die Ihr Snowflake-Konto hostet, korrekt sind.

    • Wenn Sie die SYSTEM$REGISTER_CMK_INFO-Funktion aufrufen, sendet Snowflake eine E-Mail-Nachricht an die Kontoadministratoren, die über eine validierte E-Mail-Adresse verfügen. Die Meldung benachrichtigt den Kontoadministrator, wenn er ACTIVATE_CMK_INFO aufrufen muss, um Tri-Secret Secure zu aktivieren.

    Wichtig

    Sie müssen 72 Stunden warten, bevor Sie Tri-Secret Secure (Schritt 8) aktivieren. Wenn Sie versuchen, Tri-Secret Secure während dieser Wartezeit zu aktivieren, wird eine Fehlermeldung angezeigt, die Ihnen rät, zu warten.

  5. Rufen Sie in Snowflake SYSTEM$GET_CMK_INFO auf.

    Diese Systemfunktion gibt den Registrierungsstatus und die Details für den CMK zurück, den Sie registriert haben.

  6. Rufen Sie in Snowflake SYSTEM$GET_CMK_CONFIG auf.

    Diese Systemfunktion generiert die Informationen, die Ihr Cloudanbieter benötigt, um Snowflake den Zugriff auf Ihren CMK zu ermöglichen.

    Bemerkung

    Wenn Microsoft Azure Ihr Snowflake-Konto hostet, müssen Sie den tenant_id-Wert an die Funktion übergeben.

  7. Rufen Sie in Snowflake SYSTEM$VERIFY_CMK_INFO auf.

    Diese Systemfunktion bestätigt die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK.

  8. Rufen Sie in Snowflake SYSTEM$ACTIVATE_CMK_INFO auf.

    Diese Systemfunktion aktiviert Tri-Secret Secure mit Ihrem registrierten CMK. Diese Systemfunktion startet den Wiederverschlüsselungsprozess und generiert eine E-Mail-Meldung, die Systemadministratoren benachrichtigt, wenn der Prozess abgeschlossen ist. Der Wiederverschlüsselungsprozess kann in weniger als einer Stunde abgeschlossen sein, kann aber auch bis zu 24 Stunden dauern.

    Warnung

    Snowflake verwendet den alten CMK, bis der Wiederverschlüsselungsprozess abgeschlossen ist. Entfernen Sie nicht den Zugriff auf den alten CMK, bis Sie eine E-Mail-Benachrichtigung erhalten, dass der Wiederverschlüsselungsprozess abgeschlossen ist.

Status vom CMK anzeigen

Sie können SYSTEM$GET_CMK_INFO jederzeit aufrufen, um den Registrierungs- und Aktivierungsstatus von Ihrem CMK zu überprüfen.

Beispielsweise gibt die Funktion abhängig davon, wann Sie SYSTEM$GET_CMK_INFO aufrufen, die folgende Ausgabe zurück:

  • Unmittelbar nach der Aktivierung von Tri-Secret Secure gibt sie ...is being activated... zurück. Das bedeutet, dass die Wiederverschlüsselung nicht abgeschlossen ist.

  • Nach Abschluss des Tri-Secret Secure-Aktivierungsprozesses gibt sie eine Ausgabe zurück, die ...is activated... enthält. Das bedeutet, dass Ihr Snowflake-Konto Tri-Secret Secure mit dem von Ihnen registrierten CMK verwendet.

Wenn Sie private Konnektivität aktiviert haben, gibt ein Aufruf von SYSTEM$GET_CMK_INFO Informationen über den Registrierungs- und Aktivierungsstatus Ihres privaten Konnektivitätsendpunkts und Tri-Secret Secure zurück.

CMK für Tri-Secret Secure ändern

Snowflake-Systemfunktionen unterstützen basierend auf Ihren Sicherheitsanforderungen das Ändern Ihres kundenverwalteten Schlüssels (CMK). Um einen neuen CMK zu registrieren, führen Sie die gleichen Schritte aus, die Sie auch zur Registrierung Ihres ersten CMK ausgeführt haben. Wenn Sie diese Schritte mit einem neuen Schlüssel erneut ausführen, unterscheidet sich die Ausgabe der Systemfunktionen. Lesen Sie die Ausgabe jeder Systemfunktion, die Sie während der Selbstregistrierung aufrufen, um zu bestätigen, dass Sie Ihren Schlüssel geändert haben. Wenn Sie beispielsweise Ihren CMK ändern, wird durch Aufrufen der SYSTEM$GET_CMK_INFO-Funktion eine Nachricht zurückgegeben, die ...is being rekeyed... enthält.

Aktivieren eines privaten Konnektivitätsendpunkts für einen aktiven CMK

Wenn Sie einen aktive CMK haben und Sie private Konnektivität ohne Wiederverschlüsselungsaktivität aktivieren möchten, führen Sie die folgenden Schritte aus:

  1. Rufen Sie in Snowflake SYSTEM$PROVISION_PRIVATELINK_ENDPOINT_TSS auf.

    Diese Systemfunktion stellt einen privaten Endpunkt zur Verwendung mit Ihrem Key Management Service (KMS) und Tri-Secret Secure bereit.

  2. Genehmigen Sie den privaten Endpunkt beim Cloudanbieter.

    Führen Sie diesen Schritt im Azure-Portal als Eigentümer der Azure-API Verwaltungsressource oder in der Amazon-VPC-Konsole aus. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Azure oder AWS.

  3. Rufen Sie in Snowflake SYSTEM$REGISTER_CMK_INFO auf, indem Sie beide Argumente verwenden, wie im folgenden Beispiel gezeigt:

    SELECT SYSTEM$REGISTER_CMK_INFO('<your_cmk_value>', 'true');
    Copy

    • Diese Systemfunktion registriert Ihren CMK mit Ihrem Snowflake-Konto.

    • Überprüfen Sie noch einmal die Systemfunktionsargumente, um sicherzustellen, dass sie für die Cloudplattform, die Ihr Snowflake-Konto hostet, korrekt sind.

  4. Rufen Sie in Snowflake SYSTEM$ACTIVATE_CMK_INFO auf, indem Sie das Argument UPDATE_PRIVATELINK angeben, wie im folgenden Beispiel gezeigt:

    SELECT SYSTEM$ACTIVATE_CMK_INFO('UPDATE_PRIVATELINK');
    Copy

    Wenn Sie die Funktion SYSTEM$ACTIVATE_CMK_INFO mit dem ArgumentUPDATE_PRIVATELINK ausführen, liest es den Wert aus dem vorherigen Aufruf von SYSTEM$REGISTER_CMK_INFO. Es findet keine Wiederverschlüsselung statt, sodass die Funktion schnell abgeschlossen wird. Rufen Sie optional die Funktion SYSTEM$GET_CMK_INFO erneut auf, um den Status Ihrer privaten Konnektivität anzuzeigen.

Entfernen eines privaten Konnektivitätsendpunkts für Tri-Secret Secure

Um zu verhindern, dass Snowflake eine Verbindung zu einer externen KMS-Ressource mit privater Konnektivität herstellt, rufen Sie die Funktion SYSTEM$DEPROVISION_PRIVATELINK_ENDPOINT_TSS auf.

Wiederherstellen eines privaten Konnektivitätsendpunkts für Tri-Secret Secure

Um das Wiederherstellen der Snowflake-Konnektivität zu einer externen KMS-Ressource mit einem entfernten privaten Konnektivitätsendpunkt zu ermöglichen, rufen Sie die Funktion SYSTEM$RESTORE_PRIVATELINK_ENDPOINT_TSS auf.

Self-Service Tri-Secret Secure mit automatischer Schlüsselrotation verwenden

Wenn Sie das Feature der automatischen Schlüsselrotation Ihres Cloudanbieters verwenden, um den Lebenszyklus Ihrer kundenverwalteten Schlüssel (CMKs) in Stand zu halten, können Sie mit der neuesten Version Ihres CMK neu verschlüsseln, indem Sie die SYSTEM$ACTIVATE_CMK_INFO-Systemfunktion aufrufen und das 'REKEY_SAME_CMK'-Argument bereitstellen.

Weitere Informationen dazu finden Sie unter Kundenverwaltete Schlüssel.

Tri-Secret Secure deaktivieren

Zum Deaktivieren von Tri-Secret Secure in Ihrem Konto rufen Sie die SYSTEM$DEACTIVATE_CMK_INFO-Systemfunktion auf.

Aktuellen CMK deregistrieren

Sie können nur einen CMK gleichzeitig mit Tri-Secret Secure registrieren. Wenn Sie Ihren CMK registrieren, falls die SYSTEM$REGISTER_CMK_INFO-Funktion fehlschlägt, weil ein anderer CMK existiert, rufen Sie die Funktion SYSTEM$DEREGISTER_CMK_INFO wie gefordert auf.

Integration von Tri-Secret Secure mit externen AWS-Schlüsselspeichern

Snowflake unterstützt die Integration von Tri-Secret Secure mit externen AWS-Schlüsselspeichern, um einen vom Kunden verwalteten Schlüssel außerhalb von AWS sicher zu speichern und zu verwalten. Snowflake testet und unterstützt offiziell nur Thales Hardware-Sicherheitsmodule (HSM) und Datenverschlüsselungsprodukte von Thales CipherTrust Cloud Key Manager (CCKM).

Weitere Informationen zum Einrichten und Konfigurieren von Tri-Secret Secure mit den Lösungen von Thales finden Sie unter Verwendung des externen Schlüsselspeichers von Thales für Tri-Secret Secure auf einem AWS Snowflake-Konto.

Sprache: Deutsch