Self-Service Tri-Secret Secure in Snowflake

Die Verwendung eines Verschlüsselungsmodells mit dualen Schlüsseln zusammen mit der integrierten Benutzerauthentifizierung von Snowflake ermöglicht drei Ebenen des Datenschutzes, bekannt als Tri-Secret Secure. Tri-Secret Secure bietet Ihnen ein Maß an Sicherheit und Kontrolle über die Standardverschlüsselung von Snowflake hinaus.

Unser Verschlüsselungsmodell mit dualen Schlüsseln kombiniert einen von Snowflake verwalteten Schlüssel und einen vom Kunden verwalteten Schlüssel (CMK) (die Sie auf der Cloudanbieter-Plattform erstellen, die Ihr Snowflake-Konto hostet), um einen zusammengesetzten Hauptschlüssel zu erstellen, der Ihre Snowflake-Daten schützt. Dieser zusammengesetzte Hauptschlüssel fungiert als Kontohauptschlüssel, indem er alle Schlüssel in Ihrer Kontohierarchie umschließt. Der zusammengesetzte Hauptschlüssel wird niemals zur Verschlüsselung von Rohdaten verwendet. Beispielsweise umschließt der zusammengesetzte Hauptschlüssel Tabellenhauptschlüssel, die verwendet werden, um Dateischlüssel abzuleiten, die die Rohdaten verschlüsseln.

Achtung

Wenn Sie die in diesem Thema beschriebene Prozedur verwenden, werden Sie Tri-Secret Secure mithilfe von Snowflake-Systemfunktionen aktivieren. Bevor Sie Tri-Secret Secure für Ihr Konto aktivieren, prüfen Sie sorgfältig Ihre Verantwortung für den Schutz Ihres Schlüssels, wie unter Kundenverwaltete Schlüssel erläutert. Wenn der CMK in der zusammengesetzten Hauptschlüsselhierarchie widerrufen wird, können Ihre Daten nicht mehr von Snowflake entschlüsselt werden. Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.

Beachten Sie, dass Snowflake die gleiche Verantwortung für die von uns gewarteten Schlüssel trägt. Wie bei allen sicherheitsrelevanten Aspekten unseres Services stellen wir uns mit größter Sorgfalt und Wachsamkeit dieser Verantwortung.

Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und HITRUST CSF.

Feature-Kompatibilität

Hybridtabellen sind nicht mit Tri-Secret Secure kompatibel.

Sie können keine Hybridtabellen verwenden, wenn Ihr Snowflake-Konto für die Verwendung von Tri-Secret Secure aktiviert ist. Bevor Sie Hybridtabellen verwenden, überprüfen Sie, ob Ihr Snowflake-Konto für Tri-Secret Secure aktiviert ist. Wenden Sie sich dazu an den Snowflake-Support.

Übersicht zum Self-Service

Sie können die Tri-Secret Secure-Self-Service-Prozedur verwenden, um zuerst einen CMK zu registrieren und dann Tri-Secret Secure aktivieren. Wenn Sie sich dazu entschließen, einen CMK zur Verwendung mit Tri-Secret Secure zu ersetzen, informiert Sie das Self-Service-Verfahren darüber, ob Ihr neuer CMK registriert und aktiviert wurde. Sie können Ihr Konto während des Wiederverschlüsselungsprozesses weiterhin verwenden.

Der Self-Service bietet Ihnen folgende Vorteile:

  • Erleichtert die Arbeit mit dem Schlüsselverwaltungsdienst (KMS) der Cloudplattform, die Ihr Snowflake-Konto hostet.

  • Vereinfacht die Schritte zur Registrierung und Autorisierung Ihres CMK.

  • Bietet Transparenz für Ihre CMK-Registrierung und den Tri-Secret Secure-Aktivierungsstatus

  • Ermöglicht Ihnen das Verwalten von Tri-Secret Secure ohne Ausfallzeiten Ihres Snowflake-Kontos.

Self-Service-Verfahren

Dieses Verfahren funktioniert auf allen Cloudanbieter-Plattformen, die Snowflake unterstützt. Informationen zu den Schritten auf der Cloudanbieter-Plattform finden Sie in der Dokumentation Ihres Cloudanbieters.

Um Ihren CMK zu erstellen und zu registrieren und anschließend Tri-Secret Secure zu aktivieren, führen Sie die folgenden Schritte aus:

  1. Beim Cloudanbieter: Erstellen Sie einen CMK.

    Führen Sie diesen Schritt im Key Management Service (KMS) auf der Cloudplattform aus, die Ihr Snowflake-Konto hostet.

  2. In Snowflake: Rufen Sie die SYSTEM$REGISTER_CMK_INFO-Systemfunktion auf.

    • Diese Systemfunktion registriert Ihren CMK mit Ihrem Snowflake-Konto.

    • Überprüfen Sie noch einmal die Systemfunktionsargumente, um sicherzustellen, dass sie für die Cloudplattform, die Ihr Snowflake-Konto hostet, korrekt sind.

    • Wenn Sie die SYSTEM$REGISTER_CMK_INFO-Funktion aufrufen, sendet Snowflake eine E-Mail-Nachricht an die Kontoadministratoren, die über eine validierte E-Mail-Adresse verfügen. Die Meldung benachrichtigt den Kontoadministrator, wenn er die SYSTEM$ACTIVATE_CMK_INFO-Funktion aufrufen muss, um Tri-Secret Secure zu aktivieren.

    Wichtig

    Sie müssen 72 Stunden warten, bevor Sie Tri-Secret Secure (Schritt 6) aktivieren. Wenn Sie versuchen, Tri-Secret Secure während dieser Wartezeit zu aktivieren, wird eine Fehlermeldung angezeigt, die Ihnen rät, zu warten.

  3. In Snowflake: Rufen Sie die SYSTEM$GET_CMK_INFO-Systemfunktion auf.

    Diese Systemfunktion gibt den Registrierungsstatus und die Details für den CMK zurück, den Sie registriert haben.

  4. In Snowflake: Rufen Sie die SYSTEM$GET_CMK_CONFIG-Systemfunktion auf.

    Diese Systemfunktion generiert die Informationen, die Ihr Cloudanbieter benötigt, um Snowflake den Zugriff auf Ihren CMK zu ermöglichen.

    Bemerkung

    Wenn Microsoft Azure Ihr Snowflake-Konto hostet, müssen Sie den tenant_id-Wert an die Funktion übergeben.

  5. In Snowflake: Rufen Sie die SYSTEM$VERIFY_CMK_INFO-Systemfunktion auf.

    Diese Systemfunktion bestätigt die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK.

  6. In Snowflake: Rufen Sie die SYSTEM$ACTIVATE_CMK_INFO-Systemfunktion auf.

    Diese Systemfunktion aktiviert Tri-Secret Secure mit Ihrem registrierten CMK. Diese Systemfunktion startet den Wiederverschlüsselungsprozess und generiert eine E-Mail-Meldung, die Systemadministratoren benachrichtigt, wenn der Prozess abgeschlossen ist. Der Wiederverschlüsselungsprozess kann in weniger als einer Stunde abgeschlossen sein, kann aber auch bis zu 24 Stunden dauern.

    Warnung

    Snowflake verwendet den alten CMK, bis der Wiederverschlüsselungsprozess abgeschlossen ist. Entfernen Sie nicht den Zugriff auf den alten CMK, bis Sie eine E-Mail-Benachrichtigung erhalten, dass der Wiederverschlüsselungsprozess abgeschlossen ist.

Den Status Ihres CMK anzeigen

Optional können Sie die SYSTEM$GET_CMK_INFO-Systemfunktion vor oder nach Abschluss des Self-Service-Verfahrens aufrufen, um den Registrierungs- und Aktivierungsstatus Ihres CMK zu überprüfen. Beispiel: Das Aufrufen von SYSTEM$GET_CMK_INFO unmittelbar nach dem Aufruf von SYSTEM$ACTIVATE_CMK_INFO während Tri-Secret Secure deaktiviert ist, gibt is being activated zurück, was anzeigt, dass die Wiederverschlüsselung nicht abgeschlossen ist. Nachdem der Prozess abgeschlossen ist, enthält die SYSTEM$GET_CMK_INFO-Funktionsausgabe is activated. Das bedeutet, dass Ihr Snowflake-Konto Tri-Secret Secure mit dem von Ihnen registrierten CMK verwendet.

CMK für Tri-Secret Secure ändern

Das Self-Service-Verfahren unterstützt die Änderung Ihres CMK basierend auf Ihren Sicherheitsanforderungen. Um einen neuen CMK zu registrieren, führen Sie die gleichen Schritte aus, die Sie auch zur Registrierung Ihres ersten CMK ausgeführt haben. Wenn Sie diese Schritte mit einem neuen Schlüssel erneut ausführen, unterscheidet sich die Ausgabe der Systemfunktionen. Lesen Sie die Ausgabe jeder Systemfunktion, die Sie während des Self-Service-Verfahrens aufrufen, um zu bestätigen, dass Sie Ihren Schlüssel geändert haben. Beispiel: Wenn Sie Ihren CMK ändern, wird durch Aufrufen der SYSTEM$GET_CMK_INFO-Funktion ...is being rekeyed... zurückgegeben.

Tri-Secret Secure-Self-Service mit automatischer Schlüsselrotation verwenden

Wenn Sie das Feature der automatischen Schlüsselrotation Ihres Cloudanbieters verwenden, um den Lebenszyklus Ihrer Kundenverwaltete Schlüssel in Stand zu halten, können Sie mit der neuesten Version Ihres CMK neu verschlüsseln, indem Sie die SYSTEM$ACTIVATE_CMK_INFO-Systemfunktion aufrufen und das 'REKEY_SAME_CMK'-Argument bereitstellen.

Tri-Secret Secure deaktivieren

Zum Deaktivieren von Tri-Secret Secure in Ihrem Konto rufen Sie die SYSTEM$DEACTIVATE_CMK_INFO-Systemfunktion auf.

Aktuellen CMK deregistrieren

Sie können nur einen CMK gleichzeitig mit Tri-Secret Secure registrieren. Wenn Sie Ihren CMK registrieren, falls die SYSTEM$REGISTER_CMK_INFO-Funktion fehlschlägt, weil ein anderer CMK existiert, rufen Sie die SYSTEM$DEREGISTER_CMK_INFO-Systemfunktion wie gefordert auf.

Integration von Tri-Secret Secure mit AWS-externen Schlüsselspeichern

Snowflake unterstützt auch die Integration von Tri-Secret Secure mit AWS-externen Schlüsselspeichern, um einen vom Kunden verwalteten Schlüssel außerhalb von AWS sicher zu speichern und zu verwalten. Snowflake testet und unterstützt offiziell nur die Datenverschlüsselungsprodukte von Thales HSM und Thales CCKM. Weitere Informationen zum Einrichten und Konfigurieren von Tri-Secret Secure mit den Lösungen von Thales finden Sie unter Verwendung des externen Schlüsselspeichers von Thales für Tri-Secret Secure auf einem AWS Snowflake-Konto.

Sprache: Deutsch