Tri-Secret Secure in Snowflake

Vue d’ensemble de Tri-Secret Secure

L’utilisation d’un modèle de chiffrement à double clé, associé à l’authentification utilisateur intégrée de Snowflake, permet les trois niveaux de protection des données appelés Tri-Secret Secure. Tri-Secret Secure vous offre un niveau de sécurité et de contrôle supérieur au chiffrement standard de Snowflake.

Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.

Attention

Before engaging with Snowflake to enable Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in Clés gérées par le client. If the customer managed key (CMK) in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.

Si vous avez des questions ou des préoccupations, contactez le support Snowflake.

Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.

Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC type 2 II, PCI-DSS, HIPAA et HITRUST CSF.

Compatibilité de Tri-Secret Secure avec les tables hybrides

Vous devez activer le mode stockage dédié si vous avez l’intention de créer des tables hybrides dans votre compte et si TSS est déjà activé ou sera activé. Pour plus d’informations, voir Mode de stockage dédié aux tables hybrides pour TSS.

Understanding CMK self-registration with support activation of Tri-Secret Secure

You can register a CMK for use with Tri-Secret Secure using Snowflake system functions. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. After you self-register your CMK, you can contact Snowflake Support to enable your Snowflake account to use Tri-Secret Secure with your CMK.

CMK self-registration with support activation provides the following benefits to you:

  • Simplifie les étapes d’enregistrement et d’autorisation de votre CMK.

  • Permet de connaître le statut de l’enregistrement de votre CMK et de votre activation avec Tri-Secret Secure.

  • Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.

  • Enables you to rotate your CMK and register the new CMK for use with Tri-Secret Secure.

La liste suivante montre comment l’enregistrement automatique de la CMK avec l’activation du support fonctionne :

  1. As the customer, you do the following actions:

    1. Créez l’CMK.

    2. Enregistrez le CMK.

    3. Générez des informations pour le fournisseur cloud.

    4. Appliquez la politique de KMS.

    5. Confirmez la connectivité entre votre compte Snowflake et votre CMK.

    6. Contactez le support Snowflake pour permettre à votre compte Snowflake d’utiliser Tri-Secret Secure.

  2. Le support Snowflake permet à votre compte Snowflake d’utiliser Tri-Secret Secure en fonction du CMK que vous enregistrez.

The steps in the following section avoid terms like Amazon Resource Number (ARN) to keep the procedure cloud agnostic. The steps are the same regardless of the cloud platform that hosts your Snowflake account. However, the system function arguments for some of the steps are different because each cloud platform service is different.

Self-register a CMK

To self-register your CMK for use with Tri-Secret Secure, complete the following steps:

  1. Sur le fournisseur cloud : créez une CMK.

    Do this step in the key management service (KMS) on the cloud platform that hosts your Snowflake account.

  2. Dans Snowflake, appelez la fonction système SYSTEM$REGISTER_CMK_INFO pour enregistrer votre CMK avec l’intégration KMS.

    Vérifiez deux fois les arguments de la fonction système de la plateforme cloud qui héberge votre compte Snowflake.

  3. In Snowflake, call the SYSTEM$GET_CMK_INFO system function to view the details for the CMK that you registered.

  4. In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function to generate the required information for the cloud provider.

    Cette politique permet à Snowflake d’accéder à votre CMK.

    Note

    If Microsoft Azure hosts your Snowflake account, you must pass the tenant_id value into the function.

  5. In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function to confirm the connectivity between your Snowflake account and your CMK.

  6. Contactez le support Snowflake et demandez que votre compte Snowflake soit autorisé à utiliser Tri-Secret Secure.

    Veillez à mentionner le compte spécifique que vous souhaitez utiliser avec Tri-Secret Secure.

Si vous souhaitez activer la connectivité privée pour une CMK qui est déjà activée avec Tri-Secret Secure, reportez-vous à Activer un point de terminaison de connectivité privée pour une CMK active pour plus d’informations.

Afficher le statut de votre CMK

You can call SYSTEM$GET_CMK_INFO at any time, to check the registration and activation status of your CMK.

Par exemple, en fonction du moment où vous appelez SYSTEM$GET_CMK_INFO, la fonction renvoie la sortie suivante :

  • Immédiatement après l’activation de Tri-Secret Secure, elle renvoie ...is being activated.... Cela signifie que la resaisie n’est pas terminée.

  • After the Tri-Secret Secure activation process completes, returns output that includes ...is activated.... This means that your Snowflake account is using Tri-Secret Secure with the CMK that you registered.

Change the CMK for Tri-Secret Secure

Les fonctions système Snowflake prennent en charge la modification de votre clé gérée par le client (CMK), en fonction de vos besoins en matière de sécurité. Suivez les mêmes étapes pour enregistrer une nouvelle CMK comme étapes que vous avez suivies pour enregistrer votre première CMK. Lorsque vous effectuez à nouveau ces étapes avec une nouvelle clé, la sortie des fonctions système diffère. Lisez la sortie de chaque fonction système que vous appelez lors de l’enregistrement automatique pour confirmer que vous avez changé votre clé. Par exemple, lorsque vous changez votre CMK, puis que vous appelez la fonction SYSTEM$GET_CMK_INFO celle-ci renvoie un message contenant ...is being rekeyed....

Integrate Tri-Secret Secure with AWS external key stores

Snowflake prend également en charge l’intégration de Tri-Secret Secure avec les magasins de clés externes AWS pour stocker et gérer en toute sécurité une clé gérée par le client en dehors d’AWS. Snowflake teste et prend en charge officiellement uniquement les modules de sécurité matérielle Thales (HSM) et les produits de chiffrement de données Thales CipherTrust Cloud Key Manager (CCKM).

For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.

Langage: Français