Tri-Secret Secure in Snowflake¶
Übersicht zu Tri-Secret Secure¶
Die Verwendung eines Verschlüsselungsmodells mit dualen Schlüsseln ergibt zusammen mit der integrierten Benutzerauthentifizierung von Snowflake drei Ebenen des Datenschutzes, bekannt als Tri-Secret Secure*. Tri-Secret Secure bietet Ihnen ein Maß an Sicherheit und Kontrolle, das über die Standardverschlüsselung von Snowflake hinausgeht.
Unser Verschlüsselungsmodell mit dualen Schlüsseln kombiniert einen von Snowflake verwalteten Schlüssel und einen vom Kunden verwalteten Schlüssel (CMK), die Sie auf der Cloudanbieter-Plattform erstellen, die Ihr Snowflake-Konto hostet. Das Modell erstellt einen zusammengesetzten Hauptschlüssel, der Ihre Snowflake-Daten schützt. Dieser zusammengesetzte Hauptschlüssel fungiert als Kontohauptschlüssel, indem er alle Schlüssel in Ihrer Kontohierarchie umschließt. Der zusammengesetzte Hauptschlüssel wird niemals zur Verschlüsselung von Rohdaten verwendet. Beispielsweise umschließt der zusammengesetzte Hauptschlüssel Tabellenhauptschlüssel, die verwendet werden, um Dateischlüssel abzuleiten, die die Rohdaten verschlüsseln.
Achtung
Bevor Sie sich mit Snowflake in Verbindung setzen, um Tri-Secret Secure für Ihr Konto zu aktivieren, sollten Sie sich Ihrer Verantwortung für den Schutz Ihres Schlüssels umfassend bewusst sein, wie unter Kundenverwaltete Schlüssel erläutert. Wenn der kundenverwaltete Schlüssel (CMK) in der zusammengesetzten Hauptschlüsselhierarchie widerrufen wird, können Ihre Daten nicht mehr von Snowflake entschlüsselt werden.
Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.
Snowflake trägt auch die gleiche Verantwortung für die von uns gewarteten Schlüssel. Wie bei allen sicherheitsrelevanten Aspekten unseres Services stellen wir uns mit größter Sorgfalt und Wachsamkeit dieser Verantwortung.
Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und HITRUST CSF.
Tri-Secret Secure-Kompatibilität mit Hybridtabellen¶
Sie müssen den dedizierten Speichermodus aktivieren, wenn Sie beabsichtigen, Hybridtabellen in Ihrem Konto zu erstellen und TSS bereits aktiviert ist oder aktiviert wird. Weitere Informationen dazu finden Sie unter Dedizierter Speichermodus in Hybridtabellen für TSS.
Erläuterungen zur CMK-Selbstregistrierung mit Support-Aktivierung von Tri-Secret Secure¶
Sie können einen CMK zur Verwendung mit Tri-Secret Secure mit Snowflake-Systemfunktionen registrieren. Wenn Sie sich dazu entschließen, einen CMK zur Verwendung mit Tri-Secret Secure zu ersetzen, informiert Sie die Funktion SYSTEM$GET_CMK_INFO darüber, ob Ihr neuer CMK registriert und aktiviert wurde. Nachdem Sie die Selbstregistrierung für Ihren CMK abgeschlossen haben, können Sie sich an den Snowflake-Support wenden, um Ihr Snowflake-Konto für die Nutzung von Tri-Secret Secure mit Ihrem CMK zu aktivieren.
Die CMK-Selbstregistrierung mit Support-Aktivierung bietet die folgenden Vorteile für Sie:
Vereinfacht die Schritte zur Registrierung und Autorisierung Ihres CMK.
Bietet Transparenz zum Status Ihrer CMK-Registrierung und -Aktivierung mit Tri-Secret Secure.
Erleichtert die Arbeit mit dem Key Management Service (KMS) der Cloudplattform, die Ihr Snowflake-Konto hostet.
Ermöglicht es Ihnen, Ihren CMK zu rotieren und den neuen CMK zur Verwendung mit Tri-Secret Secure zu registrieren.
Die folgende Liste zeigt, wie die CMK-Selbstregistrierung mit Support-Aktivierung funktioniert:
Als Kunde oder Kundin führen Sie die folgenden Aktionen aus:
Erstellen Sie den CMK.
Registrieren Sie den CMK.
Generieren Sie Informationen für den Cloudanbieter.
Wenden Sie die KMS-Richtlinie an.
Bestätigen Sie die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK.
Wenden Sie sich an den Snowflake-Support, um Ihr Snowflake-Konto für die Nutzung von Tri-Secret Secure zu aktivieren.
Snowflake-Support ermöglicht Ihrem Snowflake-Konto die Nutzung von Tri-Secret Secure basierend auf dem von Ihnen registrierten CMK.
Die Schritte im folgenden Abschnitt vermeiden Begriffe wie Amazon Resource Number (ARN), um das Verfahren Cloud-unabhängig zu halten. Die Schritte sind dieselben, unabhängig von der Cloud-Plattform, auf der Ihr Snowflake-Konto gehostet wird. Die Systemfunktionsargumente für einige der Schritte sind jedoch unterschiedlich, da jeder Cloudplattformdienst anders ist.
Selbstregistrierung für einen CMK durchführen¶
Führen Sie die folgenden Schritte aus, um Ihren CMK für die Verwendung mit Tri-Secret Secure selbst zu registrieren:
Erstellen Sie beim Cloudanbieter einen CMK.
Führen Sie diesen Schritt im Key Management Service (KMS) auf der Cloudplattform aus, die Ihr Snowflake-Konto hostet.
Rufen Sie in Snowflake die Systemfunktion SYSTEM$REGISTER_CMK_INFO auf, um Ihren CMK bei der KMS-Integration zu registrieren.
Überprüfen Sie die Systemfunktionsargumente für die Cloudplattform, die Ihr Snowflake-Konto hostet.
Rufen Sie in Snowflake die Systemfunktion SYSTEM$GET_CMK_INFO auf, um die Details zu dem von Ihnen registrierten CMK anzuzeigen.
Rufen Sie in Snowflake die Systemfunktion SYSTEM$GET_CMK_CONFIG auf, um die erforderlichen Informationen für den Cloudanbieter zu generieren.
Diese Richtlinie ermöglicht Snowflake den Zugriff auf Ihren CMK.
Bemerkung
Wenn Microsoft Azure Ihr Snowflake-Konto hostet, müssen Sie den
tenant_id-Wert an die Funktion übergeben.Rufen Sie in Snowflake die Systemfunktion SYSTEM$VERIFY_CMK_INFO auf, um die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK zu bestätigen.
Wenden Sie sich an den Snowflake-Support, und beantragen Sie, dass Ihr Snowflake-Konto für die Nutzung von Tri-Secret Secure freigeschaltet wird.
Geben Sie unbedingt das Konto an, das Sie mit Tri-Secret Secure verwenden möchten.
Wenn Sie private Konnektivität für einen CMK aktivieren möchten, der bereits mit Tri-Secret Secure aktiviert wurde, finden Sie unter Aktivieren eines privaten Konnektivitätsendpunkts für einen aktiven CMK weitere Informationen hierzu.
Status vom CMK anzeigen¶
Sie können SYSTEM$GET_CMK_INFO jederzeit aufrufen, um den Registrierungs- und Aktivierungsstatus von Ihrem CMK zu überprüfen.
Beispielsweise gibt die Funktion abhängig davon, wann Sie SYSTEM$GET_CMK_INFO aufrufen, die folgende Ausgabe zurück:
Unmittelbar nach der Aktivierung von Tri-Secret Secure gibt sie
...is being activated...zurück. Das bedeutet, dass die Wiederverschlüsselung nicht abgeschlossen ist.Nach Abschluss des Tri-Secret Secure-Aktivierungsprozesses gibt sie eine Ausgabe zurück, die
...is activated...enthält. Das bedeutet, dass Ihr Snowflake-Konto Tri-Secret Secure mit dem von Ihnen registrierten CMK verwendet.
CMK für Tri-Secret Secure ändern¶
Snowflake-Systemfunktionen unterstützen basierend auf Ihren Sicherheitsanforderungen das Ändern Ihres kundenverwalteten Schlüssels (CMK). Um einen neuen CMK zu registrieren, führen Sie die gleichen Schritte aus, die Sie auch zur Registrierung Ihres ersten CMK ausgeführt haben. Wenn Sie diese Schritte mit einem neuen Schlüssel erneut ausführen, unterscheidet sich die Ausgabe der Systemfunktionen. Lesen Sie die Ausgabe jeder Systemfunktion, die Sie während der Selbstregistrierung aufrufen, um zu bestätigen, dass Sie Ihren Schlüssel geändert haben. Wenn Sie beispielsweise Ihren CMK ändern, wird durch Aufrufen der SYSTEM$GET_CMK_INFO-Funktion eine Nachricht zurückgegeben, die ...is being rekeyed... enthält.
Integration von Tri-Secret Secure mit externen AWS-Schlüsselspeichern¶
Snowflake unterstützt die Integration von Tri-Secret Secure mit externen AWS-Schlüsselspeichern, um einen vom Kunden verwalteten Schlüssel außerhalb von AWS sicher zu speichern und zu verwalten. Snowflake testet und unterstützt offiziell nur Thales Hardware-Sicherheitsmodule (HSM) und Datenverschlüsselungsprodukte von Thales CipherTrust Cloud Key Manager (CCKM).
Weitere Informationen zum Einrichten und Konfigurieren von Tri-Secret Secure mit den Lösungen von Thales finden Sie unter Verwendung des externen Schlüsselspeichers von Thales für Tri-Secret Secure auf einem AWS Snowflake-Konto.