Tri-Secret Secure mit sicheren Freigabebereichskonten in Snowflake

Übersicht zu Tri-Secret Secure

Die Verwendung eines Verschlüsselungsmodells mit dualen Schlüsseln ergibt zusammen mit der integrierten Benutzerauthentifizierung von Snowflake drei Ebenen des Datenschutzes, bekannt als Tri-Secret Secure*. Tri-Secret Secure bietet Ihnen ein Maß an Sicherheit und Kontrolle, das über die Standardverschlüsselung von Snowflake hinausgeht.

Unser Verschlüsselungsmodell mit dualen Schlüsseln kombiniert einen von Snowflake verwalteten Schlüssel und einen vom Kunden verwalteten Schlüssel (CMK), die Sie auf der Cloudanbieter-Plattform erstellen, die Ihr Snowflake-Konto hostet. Das Modell erstellt einen zusammengesetzten Hauptschlüssel, der Ihre Snowflake-Daten schützt. Dieser zusammengesetzte Hauptschlüssel fungiert als Kontohauptschlüssel, indem er alle Schlüssel in Ihrer Kontohierarchie umschließt. Der zusammengesetzte Hauptschlüssel wird niemals zur Verschlüsselung von Rohdaten verwendet. Beispielsweise umschließt der zusammengesetzte Hauptschlüssel Tabellenhauptschlüssel, die verwendet werden, um Dateischlüssel abzuleiten, die die Rohdaten verschlüsseln.

Achtung

Bevor Sie Tri-Secret Secure für Ihr sicheres Freigabebereichskonto aktivieren, prüfen Sie sorgfältig Ihre Verantwortung für den Schutz Ihres Schlüssels, wie unter Kundenverwaltete Schlüssel beschrieben. Wenn der kundenverwaltete Schlüssel (CMK) in der zusammengesetzten Hauptschlüsselhierarchie widerrufen wird, können Ihre Daten nicht mehr von Snowflake entschlüsselt werden.

Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.

Snowflake trägt auch die gleiche Verantwortung für die von uns gewarteten Schlüssel. Wie bei allen sicherheitsrelevanten Aspekten unseres Services stellen wir uns mit größter Sorgfalt und Wachsamkeit dieser Verantwortung.

Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und HITRUST CSF.

Tri-Secret Secure-Kompatibilität mit Hybridtabellen

Sie müssen den dedizierten Speichermodus aktivieren, wenn Sie beabsichtigen, Hybridtabellen in Ihrem Konto zu erstellen und TSS bereits aktiviert ist oder aktiviert wird. Weitere Informationen dazu finden Sie unter Dedizierter Speichermodus in Hybridtabellen für TSS.

Erläuterungen zu sicheren Freigabebereichskonten

Wenn Sie ein Freigabeangebot veröffentlichen und die automatische Ausführung über die Cloud hinweg aktivieren, kann Snowflake automatisch ein oder mehrere Konten für den sicheren Freigabebereich (SSA) in Verbraucherregionen erstellen. Diese SSA-Konten haben die folgenden Eigenschaften:

  • Sind im Besitz von Ihnen, dem Anbietenden, und werden Ihnen in Rechnung gestellt.

  • Werden von Snowflake verwaltet. Sie können nicht direkt darauf zugreifen.

  • Speichern Sie replizierte Kopien Ihres Datenprodukts zur Verwendung durch Verbrauchende in anderen Regionen.

Da SSA-Konten Ihre Daten enthalten, können Sie diese genau wie Ihre Primärkonten mit Tri-Secret Secure schützen. Allerdings:

  • TSS muss für jedes SSA-Konto separat aktiviert werden.

  • Sie können Snowflake-Befehle nicht direkt innerhalb eines SSA-Kontos ausführen.

  • Vielleicht möchten Sie immer noch KMS-API-Ereignisse (z. B. GenerateDataKeyWithoutPlaintext und Entschlüsseln) verwenden, damit diese Konten konsistent in den Protokollen Ihres Cloudanbieters für Warnungen und Prüfungen angezeigt werden.

Ihre SSA-Konten identifizieren

SSA-Konten für die automatische Ausführung folgen einem Standardmuster für die Namensgebung und werden als globale Konten in Ihrer Organisation angezeigt.

Um Ihre SSA-Konten aufzulisten, führen Sie die folgenden Befehle aus:

USE ROLE ORGADMIN;

SHOW GLOBAL ACCOUNTS LIKE '%AUTO_FULFILLMENT_AREA%' IN ORGANIZATION <org_name>;
Copy

Die Ausgabe gibt alle Konten zurück, deren Namen AUTO_FULFILLMENT_AREA enthalten; zum Beispiel:

  • AUTO_FULFILLMENT_AREA$PUBLIC_AWS_US_EAST_1

  • AUTO_FULFILLMENT_AREA$PUBLIC_AZURE_EASTUS2

Diese Kontonamen sind die Werte, die Sie an die Systemfunktionen von Tri-Secret Secure übergeben, wenn Sie SSA-Konten verwenden.

Bemerkung

Ältere Bereitstellungen können noch SSA-Konten enthalten, deren Namen mit SNOWFLAKE_MANAGED$PUBLIC_<CLOUD>_<REGION> beginnen. Sie können bei Bedarf beide Muster in Ihre Filter einbeziehen.

Erläuterungen zu Tri-Secret Secure mit Konten für sichere Freigabebereiche

Sie können Tri-Secret Secure mit SSA-Konten verwenden, um mehr Sicherheit für Daten zu bieten, die über SSAs freigegeben werden. SSA-Konten profitieren von demselben dreistufigen Verschlüsselungsschutz wie Standardkonten, wobei der von der Kundschaft verwaltete Schlüssel (CMK) eine zusätzliche Kontrolle über die Verschlüsselungsschlüssel bereitstellt.

Tri-Secret Secure mit Konten für sichere Freigabebereiche bietet die folgenden Vorteile:

  • Erhöhte Sicherheit für Daten, die über sichere Freigabebereiche freigegeben werden

  • Kontrolle über die Verschlüsselungsschlüssel für sichere Daten im Freigabebereich

  • Einhaltung von gesetzlichen Vorschriften zum Datenschutz

  • Möglichkeit, den Zugriff auf verschlüsselte Daten durch Widerrufen des CMK zu widerrufen

Tri-Secret Secure für Konten mit sicherem Freigabebereich aktivieren

Um Tri-Secret Secure für ein SSA-Konto zu aktivieren, führen Sie die folgenden Schritte aus. Bei diesen Schritten wird davon ausgegangen, dass Sie bereits Ihren CMK registriert haben.

  1. Rufen Sie in Snowflake die Systemfunktion SYSTEM$GET_CMK_INFO auf, um die Details zu dem von Ihnen registrierten CMK anzuzeigen, und schließen Sie den SSA-Kontonamen ein.

  2. Rufen Sie in Snowflake die Systemfunktion SYSTEM$GET_CMK_CONFIG auf, um die erforderlichen Informationen für den Cloudanbieter zu generieren.

    Diese Richtlinie ermöglicht Snowflake den Zugriff auf Ihren CMK.

    Bemerkung

    Wenn Microsoft Azure Ihr Snowflake-Konto hostet, müssen Sie den tenant_id-Wert an die Funktion übergeben.

  3. Verwenden Sie auf der Plattform Ihres Cloudanbieters die Ausgabe der Funktion SYSTEM$GET_CMK_CONFIG zur Autorisierung Ihres CMK.

  4. Rufen Sie in Snowflake die Systemfunktion SYSTEM$VERIFY_CMK_INFO auf, und schließen Sie den SSA-Kontonamen ein, um die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK zu bestätigen.

  5. Rufen Sie in Snowflake die Systemfunktion SYSTEM$ACTIVATE_CMK_INFO auf, um Tri-Secret Secure für Ihr sicheres Freigabebereichskonto zu aktivieren.

    Diese Systemfunktion aktiviert Tri-Secret Secure mit Ihrem registrierten CMK. Diese Systemfunktion startet den Wiederverschlüsselungsprozess und generiert eine E-Mail-Meldung, die Systemadministratoren benachrichtigt, wenn der Prozess abgeschlossen ist. Der Wiederverschlüsselungsprozess kann in weniger als einer Stunde abgeschlossen sein, kann aber auch bis zu 24 Stunden dauern.

    Warnung

    Snowflake verwendet den alten CMK, bis der Wiederverschlüsselungsprozess abgeschlossen ist. Entfernen Sie nicht den Zugriff auf den alten CMK, bis Sie eine E-Mail-Benachrichtigung erhalten, die besagt, dass der Wiederverschlüsselungsprozess abgeschlossen ist.

Status vom CMK anzeigen

Sie können SYSTEM$GET_CMK_INFO jederzeit aufrufen, um den Registrierungs- und Aktivierungsstatus von Ihrem CMK zu überprüfen.

Beispielsweise gibt die Funktion abhängig davon, wann Sie SYSTEM$GET_CMK_INFO aufrufen, die folgende Ausgabe zurück:

  • Unmittelbar nach der Aktivierung von Tri-Secret Secure gibt sie ...is being activated... zurück. Das bedeutet, dass die Wiederverschlüsselung nicht abgeschlossen ist.

  • Nach Abschluss des Tri-Secret Secure-Aktivierungsprozesses gibt sie eine Ausgabe zurück, die ...is activated... enthält. Das bedeutet, dass Ihr Snowflake-Konto Tri-Secret Secure mit dem von Ihnen registrierten CMK verwendet.

CMK für Tri-Secret Secure ändern

Snowflake-Systemfunktionen unterstützen basierend auf Ihren Sicherheitsanforderungen das Ändern Ihres kundenverwalteten Schlüssels (CMK). Um einen neuen CMK zu registrieren, führen Sie die gleichen Schritte aus, die Sie auch zur Registrierung Ihres ersten CMK ausgeführt haben. Wenn Sie diese Schritte mit einem neuen Schlüssel erneut ausführen, unterscheidet sich die Ausgabe der Systemfunktionen. Lesen Sie die Ausgabe jeder Systemfunktion, die Sie während der Selbstregistrierung aufrufen, um zu bestätigen, dass Sie Ihren Schlüssel geändert haben. Wenn Sie beispielsweise Ihren CMK ändern, wird durch Aufrufen der SYSTEM$GET_CMK_INFO-Funktion eine Nachricht zurückgegeben, die ...is being rekeyed... enthält.

Tri-Secret Secure deaktivieren

Zum Deaktivieren von Tri-Secret Secure in Ihrem sicheren Freigabebereichskonto rufen Sie die SYSTEM$DEACTIVATE_CMK_INFO-Systemfunktion auf.

Aktuellen CMK deregistrieren

Sie können nur einen CMK gleichzeitig mit Tri-Secret Secure registrieren. Wenn Sie Ihren CMK registrieren, falls die SYSTEM$REGISTER_CMK_INFO-Funktion fehlschlägt, weil ein anderer CMK existiert, rufen Sie die SYSTEM$DEREGISTER_CMK_INFO-Systemfunktion wie gefordert auf.