Tri-Secret Secure en libre-service avec connectivité privée dans Snowflake¶
Vue d’ensemble de Tri-Secret Secure¶
L’utilisation d’un modèle de chiffrement à double clé, associé à l’authentification utilisateur intégrée de Snowflake, permet les trois niveaux de protection des données appelés Tri-Secret Secure. Tri-Secret Secure vous offre un niveau de sécurité et de contrôle supérieur au chiffrement standard de Snowflake.
Notre modèle de chiffrement à double clé combine une clé gérée par Snowflake et une clé gérée par le client (CMK), que vous créez sur la plateforme du fournisseur Cloud qui héberge votre compte Snowflake. Le modèle crée une clé maîtresse composite qui protège vos données Snowflake. Cette clé maîtresse composite agit comme une clé maîtresse de compte en encapsulant toutes les clés de la hiérarchie de votre compte. La clé maîtresse composite n’est jamais utilisée pour chiffrer des données brutes. Par exemple, la clé master composite enveloppe les clés master des tables, qui sont utilisées pour dériver les clés de fichier qui chiffrent les données brutes.
Attention
Avant d’activer Tri-Secret Secure pour votre compte, examinez attentivement votre responsabilité concernant la protection de votre clé, comme mentionné dans Clés gérées par le client. Si la CMK dans la hiérarchie de la clé maîtresse composite est révoquée, vos données ne peuvent plus être déchiffrées par Snowflake.
Si vous avez des questions ou des préoccupations, contactez le support Snowflake.
Notez que Snowflake assume également la même responsabilité pour les clés que nous gérons. Comme pour tous les aspects liés à la sécurité de notre service, nous traitons cette responsabilité avec le plus grand soin et la plus grande vigilance.
Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC 2 Type II, PCI-DSS, HIPAA et HITRUST CSF.
Compatibilité de Tri-Secret Secure avec les tables hybrides¶
Vous devez activer le mode stockage dédié si vous avez l’intention de créer des tables hybrides dans votre compte et si Tri-Secret Secure est déjà activé ou sera activé. Pour plus d’informations, voir Mode de stockage dédié aux tables hybrides pour TSS.
Compréhension de Tri-Secret Secure en libre-service avec connectivité privée¶
Vous pouvez utiliser les fonctions système Snowflake pour enregistrer une CMK, provisionnez des points de terminaison privés, puis activez une CMK pour l’utiliser avec Tri-Secret Secure via ces points de terminaison. Si vous décidez de remplacer une CMK pour l’utiliser avec Tri-Secret Secure, la fonction SYSTEM$GET_CMK_INFO vous informe si votre nouvelle CMK est enregistrée et activée. Vous pouvez continuer à utiliser votre compte pendant le processus de regénération des clés.
Tri-Secret Secure en libre-service avec connectivité privée offre les avantages suivants :
Facilite le travail avec le service de gestion des clés (KMS) de la plateforme cloud qui héberge votre compte Snowflake.
Simplifie les étapes d’enregistrement et d’autorisation de votre CMK.
Fournit de la transparence sur l’enregistrement de votre CMKet l’état d’activation de Tri-Secret Secure.
Permet de gérer Tri-Secret Secure sans aucun temps d’arrêt de votre compte Snowflake.
Permet la communication entre votre clé gérée par Snowflake et le coffre-fort de clés de votre fournisseur de Cloud via vos points de terminaison privés.
Activer Tri-Secret Secure avec la connectivité privée¶
Cette procédure fonctionne sur toutes les plateformes de fournisseurs de cloud|AWS| et Microsoft Azure prises en charge par Snowflake. Consultez la documentation de votre fournisseur Cloud spécifique pour toutes les étapes effectuées sur la plateforme du fournisseur Cloud. Pour activer la connectivité privée pour une CMK déjà activée avec Tri-Secret Secure, voir Activer un point de terminaison de connectivité privée pour une CMK active.
Pour activer Tri-Secret Secure avec une connectivité privée, procédez comme suit :
Sur le fournisseur cloud : créez une CMK.
Exécuter cette étape dans KMS sur la plateforme cloud qui héberge votre compte Snowflake.
Dans Snowflake, appelez SYSTEM$PROVISION_PRIVATELINK_ENDPOINT_TSS.
Cette fonction système provisionne un point de terminaison privé à utiliser avec votre KMS et Tri-Secret Secure.
Sur le fournisseur cloud, approuvez le point de terminaison privé.
Effectuer cette étape dans le portail Azure en tant que propriétaire de la ressource Azure API Management ou dans la console Amazon VPC. Pour plus d’information, voir la documentation Microsoft Azure ou AWS.
Dans Snowflake, appelez SYSTEM$REGISTER_CMK_INFO.
Cette fonction système enregistre votre CMK avec votre compte Snowflake
Vérifiez à nouveau les arguments de la fonction système pour vous assurer qu’ils sont corrects pour la plateforme cloud qui héberge votre compte Snowflake.
Lorsque vous appelez la fonction SYSTEM$REGISTER_CMK_INFO, Snowflake envoie un e-mail aux administrateurs du compte dont l’adresse e-mail a été vérifiée. Le message notifie l’administrateur du compte quand il peut appeler ACTIVATE_CMK_INFO pour activer Tri-Secret Secure.
Important
Vous devez attendre 72 heures avant de procéder à l’activation de Tri-Secret Secure (étape 8). Si vous tentez d’activer Tri-Secret Secure pendant cette période d’attente, vous verrez un message d’erreur qui vous invite à attendre.
Dans Snowflake, appelez SYSTEM$GET_CMK_INFO.
Cette fonction système renvoie l’état d’enregistrement et les détails pour la CMK que vous avez enregistrée.
Dans Snowflake, appelez SYSTEM$GET_CMK_CONFIG.
Cette fonction système génère les informations nécessaires à votre fournisseur Cloud pour permettre à Snowflake d’accéder à votre CMK.
Note
Si Microsoft Azure héberge votre compte Snowflake, vous devez transmettre la valeur
tenant_iddans la fonction.Dans Snowflake, appelez SYSTEM$VERIFY_CMK_INFO.
Cette fonction système confirme la connexion entre votre compte Snowflake et votre CMK.
Dans Snowflake, appelez SYSTEM$ACTIVATE_CMK_INFO.
Cette fonction système active Tri-Secret Secure avec votre CMK enregistrée. Cette fonction système démarre le processus de regénération des clés et génère un e-mail qui informe les administrateurs système lorsque le processus est terminé. Le processus de regénération des clés peut se terminer en moins d’une heure, mais peut nécessiter jusqu’à 24 heures.
Avertissement
Snowflake utilise l’ancienne CMK jusqu’à ce que le processus de regénération des clés soit terminé. Ne supprimez pas l’accès à l’ancienne CMK jusqu’à la réception d’une notification par e-mail indiquant que le processus de regénération des clés est terminé.
Afficher le statut de votre CMK¶
Vous pouvez appeler SYSTEM$GET_CMK_INFO à tout moment, pour vérifier le statut d’enregistrement et d’activation de votre CMK.
Par exemple, en fonction du moment où vous appelez SYSTEM$GET_CMK_INFO, la fonction renvoie la sortie suivante :
Immédiatement après l’activation de Tri-Secret Secure, elle renvoie
...is being activated.... Cela signifie que la resaisie n’est pas terminée.Une fois que le processus d’activation de Tri-Secret Secure est terminé, la fonction renvoie une sortie qui comprend
...is activated.... Cela signifie que votre compte Snowflake utilise Tri-Secret Secure avec la CMK que vous avez enregistrée.
Si vous avez activé la connectivité privée, le fait d’appeler SYSTEM$GET_CMK_INFO renvoie des informations sur le statut d’enregistrement et d’activation de votre point de terminaison de connectivité privée et de Tri-Secret Secure.
Modifier la CMK pour Tri-Secret Secure¶
Les fonctions système Snowflake prennent en charge la modification de votre clé gérée par le client (CMK), en fonction de vos besoins en matière de sécurité. Suivez les mêmes étapes pour enregistrer une nouvelle CMK comme étapes que vous avez suivies pour enregistrer votre première CMK. Lorsque vous effectuez à nouveau ces étapes avec une nouvelle clé, la sortie des fonctions système diffère. Lisez la sortie de chaque fonction système que vous appelez lors de l’enregistrement automatique pour confirmer que vous avez changé votre clé. Par exemple, lorsque vous changez votre CMK, puis que vous appelez la fonction SYSTEM$GET_CMK_INFO celle-ci renvoie un message contenant ...is being rekeyed....
Activer un point de terminaison de connectivité privée pour une CMK active¶
Si vous avez une CMK active et que vous souhaitez activer la connectivité privée pour celle-ci sans aucune activité de re-saisie, procédez comme suit :
Dans Snowflake, appelez SYSTEM$PROVISION_PRIVATELINK_ENDPOINT_TSS.
Cette fonction système provisionne un point de terminaison privé à utiliser avec votre service de gestion de clés (KMS) et Tri-Secret Secure.
Sur le fournisseur cloud, approuvez le point de terminaison privé.
Effectuer cette étape dans le portail Azure en tant que propriétaire de la ressource Azure API Management ou dans la console Amazon VPC. Pour plus d’information, voir la documentation Microsoft Azure ou AWS.
Dans Snowflake, appelez SYSTEM$REGISTER_CMK_INFO en utilisant les deux arguments, comme indiqué dans l’exemple suivant :
SELECT SYSTEM$REGISTER_CMK_INFO('<your_cmk_value>', 'true');
Cette fonction système enregistre votre CMK avec votre compte Snowflake
Vérifiez à nouveau les arguments de la fonction système pour vous assurer qu’ils sont corrects pour la plateforme cloud qui héberge votre compte Snowflake.
Dans Snowflake, appelez SYSTEM$ACTIVATE_CMK_INFO en fournissant l’argument
UPDATE_PRIVATELINK, comme le montre l’exemple suivant :SELECT SYSTEM$ACTIVATE_CMK_INFO('UPDATE_PRIVATELINK');
Lorsque vous exécutez la fonction SYSTEM$ACTIVATE_CMK_INFO avec l’argument UPDATE_PRIVATELINK, il lit la valeur du précédent appel de SYSTEM$REGISTER_CMK_INFO. Aucune resaisie ne se produit, la fonction est donc rapidement exécutée. Éventuellement, appelez à nouveau la fonction SYSTEM$GET_CMK_INFO, pour voir votre statut de connectivité privée.
Fournir un point de terminaison de connexion privée pour Tri-Secret Secure¶
Pour empêcher Snowflake de se connecter à une ressource externe KMS à l’aide de la connectivité privée, appelez la fonction SYSTEM$DEPROVISION_PRIVATELINK_ENDPOINT_TSS.
Rétablir un point de terminaison de connectivité privée pour Tri-Secret Secure¶
Pour rétablir la connectivité de Snowflake vers une ressource KMS externe à l’aide d’un point de terminaison de connectivité privée déprovisionné, appelez. la fonction SYSTEM$RESTORE_PRIVATELINK_ENDPOINT_TSS.
Utiliser Tri-Secret Secure en libre-service avec rotation automatique des clés¶
Si vous utilisez la fonctionnalité de rotation automatique des clés de votre fournisseur de cloud pour gérer le cycle de vie de vos clés gérées par le client (CMKs), vous pouvez régénérer les clés avec la dernière version de votre CMK en appelant la fonction SYSTEM$ACTIVATE_CMK_INFO et en fournissant l’argument 'REKEY_SAME_CMK'.
Pour plus d’informations, voir Clés gérées par le client.
Désactiver Tri-Secret Secure¶
Pour désactiver Tri-Secret Secure dans votre compte, appelez la fonction système SYSTEM$DEACTIVATE_CMK_INFO.
Désenregistrer votre CMK actuelle¶
Vous ne pouvez enregistrer qu’une seule CMK à la fois avec Tri-Secret Secure. Lorsque vous enregistrez votre CMK, si la fonction SYSTEM$REGISTER_CMK_INFO échoue, car une autre CMK existe déjà, appelez la fonction SYSTEM$DEREGISTER_CMK_INFO, comme indiqué.
Intégrer Tri-Secret Secure avec les magasins de clés externes AWS¶
Snowflake prend également en charge l’intégration de Tri-Secret Secure avec les magasins de clés externes AWS pour stocker et gérer en toute sécurité une clé gérée par le client en dehors d’AWS. Snowflake teste et prend en charge officiellement uniquement les modules de sécurité matérielle Thales (HSM) et les produits de chiffrement de données Thales CipherTrust Cloud Key Manager (CCKM).
Pour plus d’informations sur la configuration et le paramétrage de Tri-Secret Secure avec les solutions Thales, consultez ` Comment utiliser Thales External Key Store pour Tri-Secret Secure sur un compte AWS Snowflake<https://community.snowflake.com/s/article/thales-xks-for-tss-aws#e3>`_