Tri-Secret Secure in Snowflake

Übersicht zu Tri-Secret Secure

Die Verwendung eines Verschlüsselungsmodells mit dualen Schlüsseln ergibt zusammen mit der integrierten Benutzerauthentifizierung von Snowflake drei Ebenen des Datenschutzes, bekannt als Tri-Secret Secure*. Tri-Secret Secure bietet Ihnen ein Maß an Sicherheit und Kontrolle, das über die Standardverschlüsselung von Snowflake hinausgeht.

Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.

Achtung

Before engaging with Snowflake to enable Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in Kundenverwaltete Schlüssel. If the customer managed key (CMK) in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.

Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.

Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.

Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und HITRUST CSF.

Tri-Secret Secure-Kompatibilität mit Hybridtabellen

Sie müssen den dedizierten Speichermodus aktivieren, wenn Sie beabsichtigen, Hybridtabellen in Ihrem Konto zu erstellen und TSS bereits aktiviert ist oder aktiviert wird. Weitere Informationen dazu finden Sie unter Dedizierter Speichermodus in Hybridtabellen für TSS.

Understanding CMK self-registration with support activation of Tri-Secret Secure

You can register a CMK for use with Tri-Secret Secure using Snowflake system functions. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. After you self-register your CMK, you can contact Snowflake Support to enable your Snowflake account to use Tri-Secret Secure with your CMK.

CMK self-registration with support activation provides the following benefits to you:

  • Vereinfacht die Schritte zur Registrierung und Autorisierung Ihres CMK.

  • Bietet Transparenz zum Status Ihrer CMK-Registrierung und -Aktivierung mit Tri-Secret Secure.

  • Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.

  • Enables you to rotate your CMK and register the new CMK for use with Tri-Secret Secure.

Die folgende Liste zeigt, wie die CMK-Selbstregistrierung mit Support-Aktivierung funktioniert:

  1. As the customer, you do the following actions:

    1. Erstellen Sie den CMK.

    2. Registrieren Sie den CMK.

    3. Generieren Sie Informationen für den Cloudanbieter.

    4. Wenden Sie die KMS-Richtlinie an.

    5. Bestätigen Sie die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK.

    6. Wenden Sie sich an den Snowflake-Support, um Ihr Snowflake-Konto für die Nutzung von Tri-Secret Secure zu aktivieren.

  2. Snowflake-Support ermöglicht Ihrem Snowflake-Konto die Nutzung von Tri-Secret Secure basierend auf dem von Ihnen registrierten CMK.

The steps in the following section avoid terms like Amazon Resource Number (ARN) to keep the procedure cloud agnostic. The steps are the same regardless of the cloud platform that hosts your Snowflake account. However, the system function arguments for some of the steps are different because each cloud platform service is different.

Self-register a CMK

To self-register your CMK for use with Tri-Secret Secure, complete the following steps:

  1. Erstellen Sie beim Cloudanbieter einen CMK.

    Do this step in the key management service (KMS) on the cloud platform that hosts your Snowflake account.

  2. Rufen Sie in Snowflake die Systemfunktion SYSTEM$REGISTER_CMK_INFO auf, um Ihren CMK bei der KMS-Integration zu registrieren.

    Überprüfen Sie die Systemfunktionsargumente für die Cloudplattform, die Ihr Snowflake-Konto hostet.

  3. In Snowflake, call the SYSTEM$GET_CMK_INFO system function to view the details for the CMK that you registered.

  4. In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function to generate the required information for the cloud provider.

    Diese Richtlinie ermöglicht Snowflake den Zugriff auf Ihren CMK.

    Bemerkung

    If Microsoft Azure hosts your Snowflake account, you must pass the tenant_id value into the function.

  5. In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function to confirm the connectivity between your Snowflake account and your CMK.

  6. Wenden Sie sich an den Snowflake-Support, und beantragen Sie, dass Ihr Snowflake-Konto für die Nutzung von Tri-Secret Secure freigeschaltet wird.

    Geben Sie unbedingt das Konto an, das Sie mit Tri-Secret Secure verwenden möchten.

Wenn Sie private Konnektivität für einen CMK aktivieren möchten, der bereits mit Tri-Secret Secure aktiviert wurde, finden Sie unter Aktivieren eines privaten Konnektivitätsendpunkts für einen aktiven CMK weitere Informationen hierzu.

Status vom CMK anzeigen

You can call SYSTEM$GET_CMK_INFO at any time, to check the registration and activation status of your CMK.

Beispielsweise gibt die Funktion abhängig davon, wann Sie SYSTEM$GET_CMK_INFO aufrufen, die folgende Ausgabe zurück:

  • Unmittelbar nach der Aktivierung von Tri-Secret Secure gibt sie ...is being activated... zurück. Das bedeutet, dass die Wiederverschlüsselung nicht abgeschlossen ist.

  • After the Tri-Secret Secure activation process completes, returns output that includes ...is activated.... This means that your Snowflake account is using Tri-Secret Secure with the CMK that you registered.

Change the CMK for Tri-Secret Secure

Snowflake-Systemfunktionen unterstützen basierend auf Ihren Sicherheitsanforderungen das Ändern Ihres kundenverwalteten Schlüssels (CMK). Um einen neuen CMK zu registrieren, führen Sie die gleichen Schritte aus, die Sie auch zur Registrierung Ihres ersten CMK ausgeführt haben. Wenn Sie diese Schritte mit einem neuen Schlüssel erneut ausführen, unterscheidet sich die Ausgabe der Systemfunktionen. Lesen Sie die Ausgabe jeder Systemfunktion, die Sie während der Selbstregistrierung aufrufen, um zu bestätigen, dass Sie Ihren Schlüssel geändert haben. Wenn Sie beispielsweise Ihren CMK ändern, wird durch Aufrufen der SYSTEM$GET_CMK_INFO-Funktion eine Nachricht zurückgegeben, die ...is being rekeyed... enthält.

Integrate Tri-Secret Secure with AWS external key stores

Snowflake unterstützt die Integration von Tri-Secret Secure mit externen AWS-Schlüsselspeichern, um einen vom Kunden verwalteten Schlüssel außerhalb von AWS sicher zu speichern und zu verwalten. Snowflake testet und unterstützt offiziell nur Thales Hardware-Sicherheitsmodule (HSM) und Datenverschlüsselungsprodukte von Thales CipherTrust Cloud Key Manager (CCKM).

For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.

Sprache: Deutsch