Trust Center¶
Bemerkung
Snowflake-Lesekonten werden nicht unterstützt.
Sie können das Trust Center nutzen, um Ihr Konto auf Sicherheitsrisiken zu evaluieren und zu überwachen. Das Trust Center evaluiert Ihr Konto anhand von Empfehlungen, die nach einem Zeitplan in Scannern angegeben werden, wobei Sie die Häufigkeit der Scannerausführung ändern können. Wenn Ihr Konto gegen eine der Empfehlungen in einem der aktivierten Scanner verstößt, dann stellt das Trust Center eine Auflistung der Sicherheitsrisiken bereit und Informationen darüber, wie Sie diese Risiken verringern können.
Häufige Anwendungsfälle¶
Erforderliche Berechtigungen¶
Ein Benutzer mit der Rolle ACCOUNTADMIN muss Ihrer Rolle die Anwendungsrolle SNOWFLAKE.TRUST_CENTER_VIEWER oder SNOWFLAKE.TRUST_CENTER_ADMIN zuweisen, je nachdem, auf welche Registerkarte des Trust Centers Sie zugreifen möchten.
In der folgenden Tabelle finden Sie Informationen darüber, welche Anwendungsrollen Sie für den Zugriff auf bestimmte Registerkarten im Trust Center benötigen:
Trust Center-Registerkarte |
Erforderliche Anwendungsrollen |
|---|---|
Findings |
|
Scanner Packages |
|
Wenn Sie beispielsweise eine separate Rolle für den Zugriff auf die Registerkarte Findings und eine separate Rolle für den Zugriff auf die Registerkarte Scanner Packages erstellen und zuweisen möchten, können Sie die folgenden Befehle mit der Rolle ACCOUNTADMIN ausführen:
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Verwenden der privaten Konnektivität¶
Das Trust Center unterstützt private Konnektivität. Weitere Informationen finden Sie unter Verwendung der privaten Konnektivität.
Erkenntnisse¶
Das Trust Center verfügt über eine Registerkarte Findings, auf der Sie die folgenden Informationen finden:
Ein Diagramm der Scanner-Verstöße im zeitlichen Verlauf und farblich kodiert nach niedrigem, mittlerem, hohem und kritischem Schweregrad.
Eine interaktive Liste mit Empfehlungen für jeden gefundenen Verstoß. Jede Empfehlung enthält Details zu dem Verstoß, den Zeitpunkt der letzten Ausführung des Scanners und wie der Verstoß behoben werden kann.
Anhand der Ergebnisse können Sie Snowflake-Konfigurationen in dem Konto identifizieren, die gegen die Anforderungen von aktivierten Scanner-Paketen verstoßen. Für jeden Verstoß bietet das Trust Center eine Erläuterung, wie Sie den Verstoß beheben können. Nachdem Sie einen Verstoß behoben haben, wird der Verstoß weiterhin auf der Registerkarte Findings angezeigt, bis die nächste geplante Ausführung des Scanner-Pakets beginnt, das den Scanner enthält, der den Verstoß gemeldet hat, oder bis Sie das Scanner-Paket manuell ausführen.
Sie benötigen eine bestimmte Anwendungsrolle, um auf die Registerkarte Findings zugreifen zu können. Weitere Informationen dazu finden Sie unter Erforderliche Berechtigungen.
Scanner¶
Ein Scanner ist ein geplanter Hintergrundprozess, der Ihr Konto auf Sicherheitsrisiken überprüft, je nachdem, wie Sie Ihr Konto konfiguriert haben. Scanner sind in Scanner-Pakete zusammengefasst. Die Scanner enthalten Informationen darüber, auf welche Sicherheitsrisiken sie Ihrer Konto prüfen sollen, sowie das Scanner-Paket, das sie enthält.
Scanner-Pakete enthalten eine Beschreibung und eine Liste von Scannern, die ausgeführt werden, wenn Sie das Scanner-Paket aktivieren. Nachdem Sie ein Scanner-Paket aktiviert haben, wird das Paket sofort ausgeführt, unabhängig vom konfigurierten Zeitplan.
Standardmäßig sind Scanner-Pakete deaktiviert, mit Ausnahme des Pakets Security Essentials Scanner-Paket.
Scanner-Pakete werden nach einem Zeitplan ausgeführt. Sie können den Zeitplan des Scanner-Pakets Security Essentials Scanner-Paket nicht ändern, aber Sie können den Zeitplan der folgenden Scanner-Pakete ändern:
Sie müssen ein Scanner-Paket erst aktivieren, bevor Sie seinen Zeitplan ändern können.
Für den Zugriff auf die Registerkarte Scanner Packages benötigen Sie (eine) bestimmte Anwendungsrolle(n). Weitere Informationen finden Sie in der Tabelle unter Anforderungen.
Die folgenden Scanner-Pakete sind verfügbar:
Security Essentials Scanner-Paket¶
Das Scanner-Paket Security Essentials ist ein kostenloses Scanner-Paket, für das keine Kosten anfallen. Dieses Scanner-Paket überprüft Ihr Konto auf die von Snowflake empfohlenen Kontokonfigurationen und stellt sicher, dass die mehrstufige Authentifizierung (MFA) für alle Benutzer aktiviert ist, die eine Authentifizierung mit Kennwörtern verwenden.
Mit diesem Scanner werden nur Benutzer gescannt, deren Eigenschaft TYPE auf PERSON oder NULL eingestellt ist.
Dieses Scanner-Paket läuft alle zwei Wochen, und Sie können den Zeitplan nicht ändern.
Standardmäßig ist dieses Scanner-Paket aktiviert und kann nicht deaktiviert werden.
Das Scanner-Paket Security Essentials verursacht keine serverlosen Computekosten.
CIS Benchmarks Scanner-Paket¶
Sie können auf zusätzliche Sicherheitsinformationen zugreifen, indem Sie das Scanner-Paket CIS Benchmarks aktivieren, das Scanner enthält, die Ihr Konto anhand der Snowflake Benchmarks des Center for Internet Security (CIS) evaluieren. Die CIS Snowflake Benchmarks sind eine Liste von Best Practices für die Konfiguration von Snowflake-Konten, um Sicherheitslücken zu schließen. Die CIS Snowflake Benchmarks wurden durch die Zusammenarbeit der Community und den Konsens der Fachexperten erstellt.
Eine Kopie des CIS Snowflake Benchmarks-Dokuments erhalten Sie auf der CIS Snowflake Benchmark-Website.
Die Empfehlungen, die Sie in den CIS Snowflake Benchmarks finden, sind nach Abschnitt und Empfehlung nummeriert. So ist beispielsweise die erste Empfehlung des ersten Abschnitts mit 1.1 nummeriert. Auf der Registerkarte Findings bietet das Trust Center Abschnittsnummern für jeden Verstoß, wenn Sie auf die Snowflake CIS Benchmarks verweisen möchten.
Dieses Scanner-Paket wird standardmäßig einmal täglich ausgeführt. Sie können den Zeitplan ändern.
Informationen über die Aktivierung von Scanner-Paketen, die Kosten, die durch aktivierte Scanner entstehen können, und wie Sie den Zeitplan eines Scanner-Pakets ändern können, finden Sie unter den folgenden Referenzen:
Bemerkung
Für bestimmte Snowflake-CIS-Benchmarks ermittelt Snowflake nur, ob Sie eine bestimmte Sicherheitsmaßnahme implementiert haben, evaluiert aber nicht, ob die Sicherheitsmaßnahme so implementiert wurde, dass ihr Ziel erreicht wird. Bei diesen Benchmarks ist das Ausbleiben eines Verstoßes keine Garantie dafür, dass die Sicherheitsmaßnahme wirksam umgesetzt wird. Die folgenden Benchmarks evaluieren entweder nicht, ob Ihre Sicherheitsimplementierungen so umgesetzt wurden, dass sie ihr Ziel erreichen, oder das Trust Center führt keine Prüfungen für sie durch:
Alles aus Abschnitt 2: Überwachen und Alarmieren
3.1: Stellen Sie sicher, dass eine Netzwerkrichtlinie auf Kontoebene konfiguriert wurde, die den Zugriff nur von vertrauenswürdigen IP-Adressen erlaubt. Trust Center zeigt einen Verstoß an, wenn Sie keine Netzwerkrichtlinie auf Kontoebene haben, bewertet aber nicht, ob die entsprechenden IP-Adressen zugelassen oder blockiert wurden.
4.3: Stellen Sie sicher, dass der Parameter DATA_RETENTION_TIME_IN_DAYS für kritische Daten auf 90 eingestellt ist. Trust Center zeigt einen Verstoß an, wenn der Parameter DATA_RETENTION_TIME_IN_DAYS in Verbindung mit Time Travel für das Konto oder mindestens ein Objekt nicht auf 90 Tage gesetzt ist, bewertet aber nicht, welche Daten als kritisch gelten.
4.10: Stellen Sie sicher, dass die Datenmaskierung für sensible Daten aktiviert ist. Trust Center zeigt einen Verstoß an, wenn das Konto nicht über mindestens eine Maskierungsrichtlinie verfügt, bewertet aber nicht, ob sensible Daten angemessen geschützt sind. Das Trust Center evaluiert nicht, ob eine Maskierungsrichtlinie mindestens einer Tabelle oder Ansicht zugewiesen ist.
4.11: Stellen Sie sicher, dass die Zeilenzugriffsrichtlinien für sensible Daten konfiguriert sind. Trust Center zeigt einen Verstoß an, wenn das Konto nicht über mindestens eine Zeilenzugriffsrichtlinie verfügt, bewertet aber nicht, ob sensible Daten geschützt sind. Das Trust Center wertet nicht aus, ob eine Zeilenzugriffsrichtlinie mindestens einer Tabelle oder Ansicht zugewiesen ist.
Threat Intelligence Scanner-Paket¶
Sie können auf zusätzliche Sicherheitsinformationen zugreifen, indem Sie das Scanner-Paket Threat Intelligence aktivieren, mit dem Sie riskante Benutzer anhand der verwendeten Benutzer TYPE oder ADMIN_USER_TYPE, Authentifizierungsmethoden, Authentifizierungsrichtlinien und Netzwerkrichtlinien erkennen können. Dieses Scanner-Paket liefert für jeden risikobehafteten Benutzer einen Risikoschweregrad, damit Sie Prioritäten setzen können, um welche Benutzer Sie sich zuerst kümmern müssen.
Dieses Scanner-Paket scannt alle Arten von Benutzern und stuft sie je nach Typ und Bedingungen als riskant oder nicht riskant ein.
Jede Art von Benutzer gilt als riskant, wenn alle der folgenden Kriterien zutreffen:
Sie verwenden ein Kennwort oder einen öffentlichen Schlüssel zur RSA-Authentifizierung.
Sie sind nicht durch eine Authentifizierungsrichtlinie dazu verpflichtet, MFA zu verwenden.
Sie sind nicht durch eine Netzwerkrichtlinie eingeschränkt.
Jeder riskante Benutzer hat einen Schweregrad, der auf seinem TYPE basiert und darauf, ob eine restriktive Netzwerkrichtlinie verwendet wird oder nicht.
In der folgenden Tabelle finden Sie eine Liste der Benutzertypen und Angaben dazu, welche Schweregrade unter welchen Bedingungen gemeldet werden:
TYPE oder ADMIN_USER_TYPE |
Bedingung |
Schweregrad des Risikos |
|---|---|---|
PERSON oder NULL |
Sie verfügen nicht über eine Authentifizierung, die MFA erzwingt, und haben keine Netzwerkrichtlinie, die sie einschränkt. |
CRITICAL |
Sie verfügen nicht über eine Authentifizierung, die MFA erzwingt, haben jedoch eine Netzwerkrichtlinie, die sie einschränkt. |
HIGH |
|
SERVICE oder LEGACY_SERVICE |
Sie verfügen nicht über eine Authentifizierung, die MFA erzwingt, und haben keine Netzwerkrichtlinie, die sie einschränkt. |
CRITICAL |
Sie verfügen nicht über eine Authentifizierung, die MFA erzwingt, haben jedoch eine Netzwerkrichtlinie, die sie einschränkt. |
MEDIUM |
Dieses Scanner-Paket wird standardmäßig einmal täglich ausgeführt. Sie können den Zeitplan ändern.
Informationen über die Aktivierung von Scanner-Paketen, die Kosten, die durch aktivierte Scanner entstehen können, und wie Sie den Zeitplan eines Scanner-Pakets ändern können, finden Sie unter den folgenden Referenzen: