Tri-Secret Secure self-service in Snowflake

Tri-Secret Secure overview

Using a dual-key encryption model together with Snowflake’s built-in user authentication enables three levels of data protection, known as Tri-Secret Secure. Tri-Secret Secure offers you a level of security and control above Snowflake’s standard encryption.

Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.

Achtung

Before enabling Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in Kundenverwaltete Schlüssel. If the CMK in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.

Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.

Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.

Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und HITRUST CSF.

Tri-Secret Secure-Kompatibilität mit Hybridtabellen

Sie müssen den dedizierten Speichermodus aktivieren, wenn Sie beabsichtigen, Hybridtabellen in Ihrem Konto zu erstellen und TSS bereits aktiviert ist oder aktiviert wird. Weitere Informationen dazu finden Sie unter Dedizierter Speichermodus in Hybridtabellen für TSS.

Understanding Tri-Secret Secure self-service

You can use Snowflake system functions to first register a CMK and then activate Tri-Secret Secure to use the CMK. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. You can continue to use your account during the rekeying process.

Tri-Secret Secure self-service provides the following benefits to you:

  • Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.

  • Vereinfacht die Schritte zur Registrierung und Autorisierung Ihres CMK.

  • Bietet Transparenz für Ihre CMK-Registrierung und den Tri-Secret Secure-Aktivierungsstatus

  • Ermöglicht Ihnen das Verwalten von Tri-Secret Secure ohne Ausfallzeiten Ihres Snowflake-Kontos.

Activate Tri-Secret Secure

Dieses Verfahren funktioniert auf allen Cloudanbieter-Plattformen, die Snowflake unterstützt. Informationen zu den Schritten auf der Cloudanbieter-Plattform finden Sie in der Dokumentation Ihres Cloudanbieters.

Um Ihren CMK zu erstellen und zu registrieren und anschließend Tri-Secret Secure zu aktivieren, führen Sie die folgenden Schritte aus:

  1. On the cloud provider, create a CMK.

    Führen Sie diesen Schritt im Key Management Service (KMS) auf der Cloudplattform aus, die Ihr Snowflake-Konto hostet.

  2. In Snowflake, call the SYSTEM$REGISTER_CMK_INFO system function.

    • Diese Systemfunktion registriert Ihren CMK mit Ihrem Snowflake-Konto.

    • Überprüfen Sie noch einmal die Systemfunktionsargumente, um sicherzustellen, dass sie für die Cloudplattform, die Ihr Snowflake-Konto hostet, korrekt sind.

    • Wenn Sie die SYSTEM$REGISTER_CMK_INFO-Funktion aufrufen, sendet Snowflake eine E-Mail-Nachricht an die Kontoadministratoren, die über eine validierte E-Mail-Adresse verfügen. Die Meldung benachrichtigt den Kontoadministrator, wenn er die SYSTEM$ACTIVATE_CMK_INFO-Funktion aufrufen muss, um Tri-Secret Secure zu aktivieren.

    Wichtig

    You must wait 72 hours before activating Tri-Secret Secure (step 6). If you attempt to activate Tri-Secret Secure during this waiting period, you see an error message that advises you to wait.

  3. In Snowflake, call the SYSTEM$GET_CMK_INFO system function.

    Diese Systemfunktion gibt den Registrierungsstatus und die Details für den CMK zurück, den Sie registriert haben.

  4. In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function.

    Diese Systemfunktion generiert die Informationen, die Ihr Cloudanbieter benötigt, um Snowflake den Zugriff auf Ihren CMK zu ermöglichen.

    Bemerkung

    Wenn Microsoft Azure Ihr Snowflake-Konto hostet, müssen Sie den tenant_id-Wert an die Funktion übergeben.

  5. In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function.

    Diese Systemfunktion bestätigt die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK.

  6. In Snowflake, call the SYSTEM$ACTIVATE_CMK_INFO system function.

    Diese Systemfunktion aktiviert Tri-Secret Secure mit Ihrem registrierten CMK. Diese Systemfunktion startet den Wiederverschlüsselungsprozess und generiert eine E-Mail-Meldung, die Systemadministratoren benachrichtigt, wenn der Prozess abgeschlossen ist. Der Wiederverschlüsselungsprozess kann in weniger als einer Stunde abgeschlossen sein, kann aber auch bis zu 24 Stunden dauern.

    Warnung

    Snowflake verwendet den alten CMK, bis der Wiederverschlüsselungsprozess abgeschlossen ist. Entfernen Sie nicht den Zugriff auf den alten CMK, bis Sie eine E-Mail-Benachrichtigung erhalten, dass der Wiederverschlüsselungsprozess abgeschlossen ist.

Informationen darüber, wie Sie die private Konnektivität für einen CMK aktivieren, der bereits mit Tri-Secret Secure aktiviert ist, finden Sie unter Aktivieren eines privaten Konnektivitätsendpunkts für einen aktiven CMK.

View the status of your CMK

Sie können SYSTEM$GET_CMK_INFO jederzeit aufrufen, um den Registrierungs- und Aktivierungsstatus von Ihrem CMK zu überprüfen.

Beispielsweise gibt die Funktion abhängig davon, wann Sie SYSTEM$GET_CMK_INFO aufrufen, die folgende Ausgabe zurück:

  • Unmittelbar nach der Aktivierung von Tri-Secret Secure gibt sie ...is being activated... zurück. Das bedeutet, dass die Wiederverschlüsselung nicht abgeschlossen ist.

  • Nach Abschluss des Tri-Secret Secure-Aktivierungsprozesses gibt sie eine Ausgabe zurück, die ...is activated... enthält. Das bedeutet, dass Ihr Snowflake-Konto Tri-Secret Secure mit dem von Ihnen registrierten CMK verwendet.

Change the CMK for Tri-Secret Secure

Snowflake system functions support changing your customer-managed key (CMK), based on your security needs. Use the same steps to register a new CMK as the steps that you followed to register your initial CMK. When you complete those steps again by using a new key, the output of the system functions differs. Read the output from each system function that you call during self-registration to confirm that you have changed your key. For example, when you change your CMK, calling the SYSTEM$GET_CMK_INFO function returns a message that contains ...is being rekeyed....

Use Tri-Secret Secure self-service with automatic key rotation

If you use your cloud provider’s automatic key rotation feature to maintain the lifecycle of your customer-managed keys (CMKs), you can rekey with the latest version of your CMK by calling the SYSTEM$ACTIVATE_CMK_INFO function and providing the 'REKEY_SAME_CMK' argument.

Weitere Informationen dazu finden Sie unter Kundenverwaltete Schlüssel.

Deactivate Tri-Secret Secure

Zum Deaktivieren von Tri-Secret Secure in Ihrem Konto rufen Sie die SYSTEM$DEACTIVATE_CMK_INFO-Systemfunktion auf.

Deregister your current CMK

Sie können nur einen CMK gleichzeitig mit Tri-Secret Secure registrieren. Wenn Sie Ihren CMK registrieren, falls die SYSTEM$REGISTER_CMK_INFO-Funktion fehlschlägt, weil ein anderer CMK existiert, rufen Sie die SYSTEM$DEREGISTER_CMK_INFO-Systemfunktion wie gefordert auf.

Integrate Tri-Secret Secure with AWS external key stores

Snowflake unterstützt die Integration von Tri-Secret Secure mit externen AWS-Schlüsselspeichern, um einen vom Kunden verwalteten Schlüssel außerhalb von AWS sicher zu speichern und zu verwalten. Snowflake testet und unterstützt offiziell nur Thales Hardware-Sicherheitsmodule (HSM) und Datenverschlüsselungsprodukte von Thales CipherTrust Cloud Key Manager (CCKM).

For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.

Sprache: Deutsch