Trust Center

Bemerkung

Snowflake-Lesekonten werden nicht unterstützt.

Sie können das Trust Center nutzen, um Ihr Konto auf Sicherheitsrisiken zu evaluieren und zu überwachen. Das Trust Center evaluiert Ihr Konto anhand von Empfehlungen, die nach einem Zeitplan in Scannern angegeben werden, wobei Sie die Häufigkeit der Scannerausführung ändern können. Wenn Ihr Konto gegen eine der Empfehlungen in einem der aktivierten Scanner verstößt, dann stellt das Trust Center eine Auflistung der Sicherheitsrisiken bereit und Informationen darüber, wie Sie diese Risiken verringern können.

Häufige Anwendungsfälle

Erforderliche Berechtigungen

Ein Benutzer mit der Rolle ACCOUNTADMIN muss Ihrer Rolle die Anwendungsrolle SNOWFLAKE.TRUST_CENTER_VIEWER oder SNOWFLAKE.TRUST_CENTER_ADMIN zuweisen, je nachdem, auf welche Registerkarte des Trust Centers Sie zugreifen möchten.

In der folgenden Tabelle finden Sie Informationen darüber, welche Anwendungsrollen Sie für den Zugriff auf bestimmte Registerkarten im Trust Center benötigen:

Trust Center-Registerkarte

Erforderliche Anwendungsrollen

Findings

SNOWFLAKE.TRUST_CENTER_VIEWER oder SNOWFLAKE.TRUST_CENTER_ADMIN

Scanner Packages

SNOWFLAKE.TRUST_CENTER_ADMIN

Wenn Sie beispielsweise eine separate Rolle für den Zugriff auf die Registerkarte Findings und eine separate Rolle für den Zugriff auf die Registerkarte Scanner Packages erstellen und zuweisen möchten, können Sie die folgenden Befehle mit der Rolle ACCOUNTADMIN ausführen:

USE ROLE ACCOUNTADMIN;

CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;

CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_admin_role TO USER example_admin_user;

GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Copy

Verwenden der privaten Konnektivität

Das Trust Center unterstützt private Konnektivität. Weitere Informationen finden Sie unter Verwendung der privaten Konnektivität.

Erkenntnisse

Das Trust Center verfügt über eine Registerkarte Findings, auf der Sie die folgenden Informationen finden:

  • Ein Diagramm der Scanner-Verstöße im zeitlichen Verlauf und farblich kodiert nach niedrigem, mittlerem, hohem und kritischem Schweregrad.

  • Eine interaktive Liste mit Empfehlungen für jeden gefundenen Verstoß. Jede Empfehlung enthält Details zu dem Verstoß, den Zeitpunkt der letzten Ausführung des Scanners und wie der Verstoß behoben werden kann.

Anhand der Verstöße können Sie Snowflake-Konfigurationen in dem Konto identifizieren, die gegen die Anforderungen von aktivierten Scanner-Paketen verstoßen. Für jeden Verstoß bietet das Trust Center eine Erläuterung, wie Sie den Verstoß beheben können. Nachdem Sie einen Verstoß behoben haben, wird der Verstoß weiterhin auf der Registerkarte Findings angezeigt, bis die nächste geplante Ausführung des Scanner-Pakets beginnt, das den Scanner enthält, der den Verstoß gemeldet hat, oder bis Sie das Scanner-Paket manuell ausführen.

Sie benötigen eine bestimmte Anwendungsrolle, um auf die Registerkarte Findings zuzugreifen. Weitere Informationen dazu finden Sie unter Erforderliche Berechtigungen.

Scanner

Ein Scanner ist ein geplanter Hintergrundprozess, der Ihr Konto auf Sicherheitsrisiken überprüft, je nachdem, wie Sie Ihr Konto konfiguriert haben. Scanner sind in Scanner-Pakete zusammengefasst. Die Scanner enthalten Informationen darüber, auf welche Sicherheitsrisiken sie Ihrer Konto prüfen sollen, sowie das Scanner-Paket, das sie enthält.

Scanner-Pakete enthalten eine Beschreibung und eine Liste von Scannern, die ausgeführt werden, wenn Sie das Scanner-Paket aktivieren. Nachdem Sie ein Scanner-Paket aktiviert haben, wird das Paket sofort ausgeführt, unabhängig vom konfigurierten Zeitplan.

Standardmäßig sind Scanner-Pakete deaktiviert, mit Ausnahme des Pakets Security Essentials Scanner-Paket.

Scanner-Pakete werden nach einem Zeitplan ausgeführt. Sie müssen zuerst ein Scanner-Paket aktivieren, bevor Sie seinen Zeitplan ändern können, sofern das Scanner-Paket Ihnen erlaubt, den Zeitplan zu ändern.

Nachdem Sie ein Scanner-Paket aktiviert haben, können Sie einzelne Scanner im Scanner-Paket aktivieren oder deaktivieren. Sie können auch den Zeitplan der einzelnen Scanner im Scanner-Paket ändern.

Für den Zugriff auf die Registerkarte Scanner Packages benötigen Sie (eine) bestimmte Anwendungsrolle(n). Weitere Informationen finden Sie in der Tabelle unter Anforderungen.

Die folgenden Scanner-Pakete sind verfügbar:

Security Essentials Scanner-Paket

Das Scanner-Paket Security Essentials ist ein kostenloses Scanner-Paket, für das keine Kosten anfallen. Dieses Scanner-Paket durchsucht Ihr Konto, um zu überprüfen, ob Sie die folgenden Empfehlungen eingerichtet haben:

  • Sie verfügen über eine Authentifizierungsrichtlinie, die alle menschlichen Benutzer dazu zwingt, sich für die mehrstufige Authentifizierung (MFA) anzumelden, wenn sie zur Authentifizierung Kennwörter verwenden.

  • Alle menschlichen Benutzer sind bei MFA angemeldet, wenn sie Kennwörter zur Authentifizierung verwenden.

  • Sie richten eine Netzwerkrichtlinie auf Kontoebene ein, die so konfiguriert wurde, dass sie nur den Zugriff von vertrauenswürdigen IP-Adressen erlaubt.

  • Sie richten eine Ereignistabelle ein, wenn Ihr Konto die Freigabe von Ereignissen für eine native App aktiviert hat, sodass Ihr Konto eine Kopie der Protokollnachrichten und Ereignisinformationen erhält, die mit dem Anbieter der App geteilt werden.

Dieses Scanner-Paket scannt nur Benutzer, die menschliche Benutzer sind (d. h. Benutzerobjekte mit einer TYPE-Eigenschaft PERSON oder NULL). Weitere Informationen dazu finden Sie unter Benutzertypen.

Dieses Scanner-Paket wird alle zwei Wochen ausgeführt, und Sie können den Zeitplan nicht ändern.

Dieses Scanner-Paket ist standardmäßig aktiviert und kann nicht deaktiviert werden.

Das Scanner-Paket Security Essentials verursacht keine serverlosen Rechenkosten.

CIS Benchmarks Scanner-Paket

Sie können auf zusätzliche Sicherheitsinformationen zugreifen, indem Sie das Scanner-Paket CIS Benchmarks aktivieren, das Scanner enthält, die Ihr Konto anhand der Snowflake Benchmarks des Center for Internet Security (CIS) evaluieren. Die CIS Snowflake Benchmarks sind eine Liste von Best Practices für die Konfiguration von Snowflake-Konten, um Sicherheitslücken zu schließen. Die CIS Snowflake Benchmarks wurden durch die Zusammenarbeit der Community und den Konsens der Fachexperten erstellt.

Eine Kopie des CIS Snowflake Benchmarks-Dokuments erhalten Sie auf der CIS Snowflake Benchmark-Website.

Die Empfehlungen, die Sie in den CIS Snowflake Benchmarks finden, sind nach Abschnitt und Empfehlung nummeriert. So ist beispielsweise die erste Empfehlung des ersten Abschnitts mit 1.1 nummeriert. Auf der Registerkarte Findings bietet das Trust Center Abschnittsnummern für jeden Verstoß, wenn Sie auf die Snowflake CIS Benchmarks verweisen möchten.

Dieses Scanner-Paket wird standardmäßig einmal am Tag ausgeführt, aber Sie können den Zeitplan ändern.

Informationen über die Aktivierung von Scanner-Paketen, die Kosten, die durch aktivierte Scanner entstehen können, und wie Sie den Zeitplan eines Scanner-Pakets ändern können, finden Sie unter den folgenden Referenzen:

Bemerkung

Für bestimmte Snowflake-CIS-Benchmarks ermittelt Snowflake nur, ob Sie eine bestimmte Sicherheitsmaßnahme implementiert haben, evaluiert aber nicht, ob die Sicherheitsmaßnahme so implementiert wurde, dass ihr Ziel erreicht wird. Bei diesen Benchmarks ist das Ausbleiben eines Verstoßes keine Garantie dafür, dass die Sicherheitsmaßnahme wirksam umgesetzt wird. Die folgenden Benchmarks evaluieren entweder nicht, ob Ihre Sicherheitsimplementierungen so umgesetzt wurden, dass sie ihr Ziel erreichen, oder das Trust Center führt keine Prüfungen für sie durch:

  • Alle aus Abschnitt 2: Stellen Sie sicher, dass die Aktivitäten überwacht werden, und geben Sie Empfehlungen für die Konfiguration von Snowflake, um Aktivitäten, die Aufmerksamkeit erfordern, anzugehen. Diese Scanner enthalten komplexe Abfragen, deren Verstöße nicht in der Snowsight-Konsole angezeigt werden.

    Ein Sicherheitsbeauftragter kann wertvolle Erkenntnisse aus Abschnitt-2-Scannern ableiten, indem er die folgende Abfrage gegen die Ansicht snowflake.trust_center.findings ausführt:

    SELECT start_timestamp,
           end_timestamp,
           scanner_id,
           scanner_short_description,
           impact,
           severity,
           total_at_risk_count,
           AT_RISK_ENTITIES
      FROM snowflake.trust_center.findings
      WHERE scanner_type = 'Threat' AND
            completion_status = 'SUCCEEDED'
      ORDER BY event_id DESC;
    
    Copy

    In der Ausgabe enthält die Spalte AT_RISK_ENTITIES den JSON-Inhalt mit Details zu Aktivitäten, die überprüft oder korrigiert werden müssen. Der Scanner CIS_BENCHMARKS_CIS2_1 überwacht beispielsweise die Gewährung hoher Berechtigungen, und Sicherheitsbeauftragte sollten die von diesem Scanner gemeldeten Ereignisse, wie das folgende Beispielereignis, sorgfältig überprüfen:

    [
      {
        "entity_detail": {
          "granted_by": joe_smith,
          "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
          "modified_on": "2025-01-01 07:00:00.000 Z",
          "role_granted": "ACCOUNTADMIN"
        },
        "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE",
        "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE",
        "entity_object_type": "ROLE"
      }
    ]
    

    Snowflake empfiehlt die folgenden bewährten Verfahren für Abschnitt-2-Scanner:

    • Deaktivieren Sie Abschnitt-2-Scanner nur, wenn Sie sicher sind, dass Sie ausreichende Überwachungsmaßnahmen getroffen haben.

    • Überprüfen Sie die Verstöße von Abschnitt-2-Scannern in regelmäßigen Abständen oder konfigurieren Sie eine Überwachungsaufgabe für Benachrichtigungen. Konfigurieren Sie insbesondere die Überwachung wie in der Spalte SUGGESTED_ACTION der Ansicht snowflake.trust_center.findings beschrieben.

  • 3.1: Stellen Sie sicher, dass eine Netzwerkrichtlinie auf Kontoebene konfiguriert wurde, die den Zugriff nur von vertrauenswürdigen IP-Adressen erlaubt. Trust Center zeigt einen Verstoß an, wenn Sie keine Netzwerkrichtlinie auf Kontoebene haben, bewertet aber nicht, ob die entsprechenden IP-Adressen zugelassen oder blockiert wurden.

  • 4.3: Stellen Sie sicher, dass der Parameter DATA_RETENTION_TIME_IN_DAYS für kritische Daten auf 90 eingestellt ist. Trust Center zeigt einen Verstoß an, wenn der Parameter DATA_RETENTION_TIME_IN_DAYS, der mit Time Travel verknüpft ist, für das Konto oder mindestens ein Objekt nicht auf 90 Tage gesetzt ist, bewertet aber nicht, welche Daten als kritisch gelten.

  • 4.10: Stellen Sie sicher, dass die Datenmaskierung für sensible Daten aktiviert ist. Trust Center zeigt einen Verstoß an, wenn das Konto nicht über mindestens eine Maskierungsrichtlinie verfügt, bewertet aber nicht, ob sensible Daten angemessen geschützt sind. Das Trust Center evaluiert nicht, ob eine Maskierungsrichtlinie mindestens einer Tabelle oder Ansicht zugewiesen ist.

  • 4.11: Stellen Sie sicher, dass die Zeilenzugriffsrichtlinien für sensible Daten konfiguriert sind. Trust Center zeigt einen Verstoß an, wenn das Konto nicht über mindestens eine Zeilenzugriffsrichtlinie verfügt, bewertet aber nicht, ob sensible Daten geschützt sind. Das Trust Center wertet nicht aus, ob eine Zeilenzugriffsrichtlinie mindestens einer Tabelle oder Ansicht zugewiesen ist.

Threat Intelligence Scanner-Paket

Sie können auf zusätzliche Sicherheitsinformationen zugreifen, indem Sie das Threat Intelligence Scanner-Paket aktivieren. Damit können Sie riskante Benutzer auf der Grundlage von Benutzertyp, Authentifizierungsmethoden und Authentifizierungsrichtlinien entdecken. Das Threat Intelligence Scanner-Paket identifiziert Benutzer als riskant, wenn sie eines der folgenden Kriterien erfüllen:

Riskante menschliche Benutzer (TYPE: PERSON oder NULL):

  • Sie haben in den letzten 90 Tagen nicht mindestens einmal MFA eingerichtet und sich mit einem Kennwort angemeldet.

  • Sie haben ein Kennwort, haben aber keine MFA eingerichtet und sich seit 90 Tagen nicht mehr angemeldet.

Riskante Service-Benutzer (TYPE: LEGACY_SERVICE):

  • Sie haben ein Kennwort und haben sich in den letzten 90 Tagen oder länger nur mit einem Kennwort angemeldet.

  • Sie haben ein Kennwort, haben sich aber seit 90 Tagen nicht mehr angemeldet.

Dieses Scanner-Paket wird standardmäßig einmal am Tag ausgeführt, aber Sie können den Zeitplan ändern.

Informationen über die Aktivierung von Scanner-Paketen, die Kosten, die durch aktivierte Scanner entstehen können, und wie Sie den Zeitplan eines Scanner-Pakets ändern können, finden Sie unter den folgenden Referenzen:

Nächste Schritte