Trust Center

Bemerkung

Snowflake-Lesekonten werden nicht unterstützt.

Sie können das Trust Center nutzen, um Ihr Konto auf Sicherheitsrisiken zu evaluieren und zu überwachen. Das Trust Center evaluiert Ihr Konto anhand von Empfehlungen, die nach einem Zeitplan in Scannern angegeben werden, wobei Sie die Häufigkeit der Scannerausführung ändern können. Wenn Ihr Konto gegen eine der Empfehlungen in einem der aktivierten Scanner verstößt, dann stellt das Trust Center eine Auflistung der Sicherheitsrisiken bereit und Informationen darüber, wie Sie diese Risiken verringern können.

Häufige Anwendungsfälle

Erforderliche Berechtigungen

Ein Benutzer mit der Rolle ACCOUNTADMIN muss Ihrer Rolle die Anwendungsrolle SNOWFLAKE.TRUST_CENTER_VIEWER oder SNOWFLAKE.TRUST_CENTER_ADMIN zuweisen, je nachdem, auf welche Registerkarte des Trust Centers Sie zugreifen möchten.

In der folgenden Tabelle finden Sie Informationen darüber, welche Anwendungsrollen Sie für den Zugriff auf bestimmte Registerkarten im Trust Center benötigen:

Trust Center-Registerkarte

Erforderliche Anwendungsrollen

Findings

SNOWFLAKE.TRUST_CENTER_VIEWER oder SNOWFLAKE.TRUST_CENTER_ADMIN

Scanner Packages

SNOWFLAKE.TRUST_CENTER_ADMIN

Wenn Sie beispielsweise eine separate Rolle für den Zugriff auf die Registerkarte Findings und eine separate Rolle für den Zugriff auf die Registerkarte Scanner Packages erstellen und zuweisen möchten, können Sie die folgenden Befehle mit der Rolle ACCOUNTADMIN ausführen:

USE ROLE ACCOUNTADMIN;

CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;

CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;

GRANT ROLE trust_center_admin_role TO USER example_admin_user;

GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Copy

Verwenden der privaten Konnektivität

Das Trust Center unterstützt private Konnektivität. Weitere Informationen finden Sie unter Verwendung der privaten Konnektivität.

Erkenntnisse

Das Trust Center verfügt über eine Registerkarte Findings, auf der Sie die folgenden Informationen finden:

  • Ein Diagramm der Scanner-Verstöße im zeitlichen Verlauf und farblich kodiert nach niedrigem, mittlerem, hohem und kritischem Schweregrad.

  • Eine interaktive Liste mit Empfehlungen für jeden gefundenen Verstoß. Jede Empfehlung enthält Details zu dem Verstoß, den Zeitpunkt der letzten Ausführung des Scanners und wie der Verstoß behoben werden kann.

Anhand der Ergebnisse können Sie Snowflake-Konfigurationen in dem Konto identifizieren, die gegen die Anforderungen von aktivierten Scanner-Paketen verstoßen. Für jeden Verstoß bietet das Trust Center eine Erläuterung, wie Sie den Verstoß beheben können. Nachdem Sie einen Verstoß behoben haben, wird der Verstoß weiterhin auf der Registerkarte Findings angezeigt, bis die nächste geplante Ausführung des Scanner-Pakets beginnt, das den Scanner enthält, der den Verstoß gemeldet hat, oder bis Sie das Scanner-Paket manuell ausführen.

Sie benötigen eine bestimmte Anwendungsrolle, um auf die Registerkarte Findings zugreifen zu können. Weitere Informationen dazu finden Sie unter Erforderliche Berechtigungen.

Scanner

Ein Scanner ist ein geplanter Hintergrundprozess, der Ihr Konto auf Sicherheitsrisiken überprüft, je nachdem, wie Sie Ihr Konto konfiguriert haben. Scanner sind in Scanner-Pakete zusammengefasst. Die Scanner enthalten Informationen darüber, auf welche Sicherheitsrisiken sie Ihrer Konto prüfen sollen, sowie das Scanner-Paket, das sie enthält.

Scanner-Pakete enthalten eine Beschreibung und eine Liste von Scannern, die ausgeführt werden, wenn Sie das Scanner-Paket aktivieren. Nachdem Sie ein Scanner-Paket aktiviert haben, wird das Paket sofort ausgeführt, unabhängig vom konfigurierten Zeitplan.

Standardmäßig sind Scanner-Pakete deaktiviert, mit Ausnahme des Pakets Security Essentials Scanner-Paket.

Scanner-Pakete werden nach einem Zeitplan ausgeführt. Sie müssen ein Scanner-Paket zuerst aktivieren, bevor Sie seinen Zeitplan ändern können, sofern das Scanner-Paket dies zulässt.

Für den Zugriff auf die Registerkarte Scanner Packages benötigen Sie (eine) bestimmte Anwendungsrolle(n). Weitere Informationen finden Sie in der Tabelle unter Anforderungen.

Die folgenden Scanner-Pakete sind verfügbar:

Security Essentials Scanner-Paket

Das Security Essentials Scanner-Paket ist ein kostenloses Scanner-Paket, für das keine Kosten anfallen. Dieses Scanner-Paket durchsucht Ihr Konto, um zu überprüfen, ob Sie die folgenden Empfehlungen eingerichtet haben:

  • Sie verfügen über eine Authentifizierungsrichtlinie, die alle menschlichen Benutzer dazu zwingt, sich für die mehrstufige Authentifizierung (MFA) anzumelden, wenn sie zur Authentifizierung Kennwörter verwenden.

  • Alle menschlichen Benutzer sind bei MFA angemeldet, wenn sie Kennwörter zur Authentifizierung verwenden.

  • Sie richten eine Netzwerkrichtlinie auf Kontoebene ein, die so konfiguriert wurde, dass sie nur den Zugriff von vertrauenswürdigen IP-Adressen erlaubt.

  • Sie richten eine Ereignistabelle ein, wenn Ihr Konto die Freigabe von Ereignissen für eine native App aktiviert hat, sodass Ihr Konto eine Kopie der Protokollnachrichten und Ereignisinformationen erhält, die mit dem Anbieter der App geteilt werden.

Dieses Scanner-Paket scannt nur Benutzer, bei denen die Eigenschaft TYPE auf PERSON oder NULL gesetzt ist.

Dieses Scanner-Paket läuft alle zwei Wochen, und Sie können den Zeitplan nicht ändern.

Standardmäßig ist dieses Scanner-Paket aktiviert und kann nicht deaktiviert werden.

Das Scanner-Paket Security Essentials verursacht keine serverlosen Computekosten.

CIS Benchmarks Scanner-Paket

Sie können auf zusätzliche Sicherheitsinformationen zugreifen, indem Sie das Scanner-Paket CIS Benchmarks aktivieren, das Scanner enthält, die Ihr Konto anhand der Snowflake Benchmarks des Center for Internet Security (CIS) evaluieren. Die CIS Snowflake Benchmarks sind eine Liste von Best Practices für die Konfiguration von Snowflake-Konten, um Sicherheitslücken zu schließen. Die CIS Snowflake Benchmarks wurden durch die Zusammenarbeit der Community und den Konsens der Fachexperten erstellt.

Eine Kopie des CIS Snowflake Benchmarks-Dokuments erhalten Sie auf der CIS Snowflake Benchmark-Website.

Die Empfehlungen, die Sie in den CIS Snowflake Benchmarks finden, sind nach Abschnitt und Empfehlung nummeriert. So ist beispielsweise die erste Empfehlung des ersten Abschnitts mit 1.1 nummeriert. Auf der Registerkarte Findings bietet das Trust Center Abschnittsnummern für jeden Verstoß, wenn Sie auf die Snowflake CIS Benchmarks verweisen möchten.

Dieses Scanner-Paket wird standardmäßig einmal täglich ausgeführt. Sie können den Zeitplan ändern.

Informationen über die Aktivierung von Scanner-Paketen, die Kosten, die durch aktivierte Scanner entstehen können, und wie Sie den Zeitplan eines Scanner-Pakets ändern können, finden Sie unter den folgenden Referenzen:

Bemerkung

Für bestimmte Snowflake-CIS-Benchmarks ermittelt Snowflake nur, ob Sie eine bestimmte Sicherheitsmaßnahme implementiert haben, evaluiert aber nicht, ob die Sicherheitsmaßnahme so implementiert wurde, dass ihr Ziel erreicht wird. Bei diesen Benchmarks ist das Ausbleiben eines Verstoßes keine Garantie dafür, dass die Sicherheitsmaßnahme wirksam umgesetzt wird. Die folgenden Benchmarks evaluieren entweder nicht, ob Ihre Sicherheitsimplementierungen so umgesetzt wurden, dass sie ihr Ziel erreichen, oder das Trust Center führt keine Prüfungen für sie durch:

  • Alles aus Abschnitt 2: Überwachen und Alarmieren

  • 3.1: Stellen Sie sicher, dass eine Netzwerkrichtlinie auf Kontoebene konfiguriert wurde, die den Zugriff nur von vertrauenswürdigen IP-Adressen erlaubt. Trust Center zeigt einen Verstoß an, wenn Sie keine Netzwerkrichtlinie auf Kontoebene haben, bewertet aber nicht, ob die entsprechenden IP-Adressen zugelassen oder blockiert wurden.

  • 4.3: Stellen Sie sicher, dass der Parameter DATA_RETENTION_TIME_IN_DAYS für kritische Daten auf 90 eingestellt ist. Trust Center zeigt einen Verstoß an, wenn der Parameter DATA_RETENTION_TIME_IN_DAYS in Verbindung mit Time Travel für das Konto oder mindestens ein Objekt nicht auf 90 Tage gesetzt ist, bewertet aber nicht, welche Daten als kritisch gelten.

  • 4.10: Stellen Sie sicher, dass die Datenmaskierung für sensible Daten aktiviert ist. Trust Center zeigt einen Verstoß an, wenn das Konto nicht über mindestens eine Maskierungsrichtlinie verfügt, bewertet aber nicht, ob sensible Daten angemessen geschützt sind. Das Trust Center evaluiert nicht, ob eine Maskierungsrichtlinie mindestens einer Tabelle oder Ansicht zugewiesen ist.

  • 4.11: Stellen Sie sicher, dass die Zeilenzugriffsrichtlinien für sensible Daten konfiguriert sind. Trust Center zeigt einen Verstoß an, wenn das Konto nicht über mindestens eine Zeilenzugriffsrichtlinie verfügt, bewertet aber nicht, ob sensible Daten geschützt sind. Das Trust Center wertet nicht aus, ob eine Zeilenzugriffsrichtlinie mindestens einer Tabelle oder Ansicht zugewiesen ist.

Threat Intelligence Scanner-Paket

Sie können auf zusätzliche Sicherheitsinformationen zugreifen, indem Sie das Scanner-Paket Threat Intelligence aktivieren, mit dem Sie riskante Benutzer anhand der verwendeten Benutzer TYPE oder ADMIN_USER_TYPE, Authentifizierungsmethoden, Authentifizierungsrichtlinien und Netzwerkrichtlinien erkennen können. Dieses Scanner-Paket liefert für jeden risikobehafteten Benutzer einen Risikoschweregrad, damit Sie Prioritäten setzen können, um welche Benutzer Sie sich zuerst kümmern müssen.

Dieses Scanner-Paket scannt alle Arten von Benutzern und stuft sie als riskant oder nicht riskant ein. Jeder risikobehaftete Benutzer hat einen bestimmten Schweregrad, der sich nach seiner TYPE oder ADMIN_USER_TYPE und den festgelegten Konfigurationen richtet.

Das folgende Diagramm zeigt Ihnen, welche Kombination von Benutzertypen (PERSON, NULL, SERVICE und LEGACY_SERVICE) und Bedingungen einen Benutzer risikoreich machen und wie hoch das von jedem Benutzer ausgehende Risiko ist:

Ein Diagramm mit einem Flussdiagramm für Benutzer des Typs PERSON oder NULL, Benutzer des Typs SERVICE und Benutzer des Typs LEGACY_SERVICE. Jedes Flussdiagramm kategorisiert Benutzer als nicht riskant oder mit einem bestimmten Risikograd. Benutzer des Typs PERSON oder NULL dürfen weder ein Kennwort noch einen öffentlichen RSA-Schlüssel haben, um nicht als riskant zu gelten. Wenn sie ein Kennwort oder einen öffentlichen RSA-Schlüssel haben, müssen sie durch eine Authentifizierungsrichtlinie dazu gezwungen werden, sich bei MFA anzumelden, um nicht als riskant zu gelten. Wenn sie nicht durch eine Authentifizierungsrichtlinie dazu gezwungen werden, sich bei MFA anzumelden, dann müssen sie bei MFA angemeldet sein, um nicht als riskant zu gelten. Wenn sie nicht bei MFA angemeldet sind, aber durch eine Netzwerkrichtlinie eingeschränkt sind, dann gelten sie als hohes Risiko. Wenn sie nicht durch eine Netzwerkrichtlinie eingeschränkt sind, werden sie als kritisches Risiko eingestuft. SERVICE-Benutzer dürfen keinen öffentlichen RSA-Schlüssel haben, um als nicht riskant zu gelten. Wenn sie einen öffentlichen RSA-Schlüssel haben, aber durch eine Netzwerkrichtlinie eingeschränkt sind, werden sie als mittleres Risiko eingestuft. Wenn sie nicht durch eine Netzwerkrichtlinie eingeschränkt sind, werden sie als kritisches Risiko betrachtet. Benutzer des Typs LEGACY_SERVICE dürfen weder ein Kennwort noch einen öffentlichen RSA-Schlüssel haben, um als nicht riskant zu gelten. Wenn sie über ein Kennwort oder einen öffentlichen RSA-Schlüssel verfügen, aber durch eine Netzwerkrichtlinie eingeschränkt sind, werden sie als mittleres Risiko eingestuft. Wenn sie nicht durch eine Netzwerkrichtlinie eingeschränkt sind, werden sie als kritisches Risiko betrachtet.

Dieses Scanner-Paket wird standardmäßig einmal täglich ausgeführt. Sie können den Zeitplan ändern.

Informationen über die Aktivierung von Scanner-Paketen, die Kosten, die durch aktivierte Scanner entstehen können, und wie Sie den Zeitplan eines Scanner-Pakets ändern können, finden Sie unter den folgenden Referenzen:

Nächste Schritte

Sprache: Deutsch