Tri-Secret Secure en libre-service dans Snowflake

Vue d’ensemble de Tri-Secret Secure

L’utilisation d’un modèle de chiffrement à double clé conjointement avec l’authentification utilisateur intégrée de Snowflake permet de bénéficier de trois niveaux de protection des données, appelés Tri-Secret Secure. Tri-Secret Secure vous offre un niveau de sécurité et de contrôle supérieur au chiffrement standard de Snowflake.

Notre modèle de chiffrement à double clé combine une clé gérée par Snowflake et une clé gérée par le client (CMK), que vous créez sur la plateforme du fournisseur Cloud qui héberge votre compte Snowflake. Le modèle crée une clé maîtresse composite qui protège vos données Snowflake. Cette clé maîtresse composite agit comme une clé maîtresse de compte en encapsulant toutes les clés de la hiérarchie de votre compte. La clé maîtresse composite n’est jamais utilisée pour chiffrer des données brutes. Par exemple, la clé master composite enveloppe les clés maîtresses de table, qui sont utilisées pour dériver des clés de fichier qui chiffrent les données brutes.

Attention

Avant d’activer Tri-Secret Secure pour votre compte, examinez attentivement votre responsabilité concernant la protection de votre clé, comme mentionné dans Clés gérées par le client. Si la CMK dans la hiérarchie de la clé maîtresse composite est révoquée, vos données ne peuvent plus être déchiffrées par Snowflake.

Si vous avez des questions ou des préoccupations, contactez le support Snowflake.

Notez que Snowflake assume également la même responsabilité pour les clés que nous gérons. Comme pour tous les aspects liés à la sécurité de notre service, nous traitons cette responsabilité avec le plus grand soin et la plus grande vigilance.

Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC type 2 II, PCI-DSS, HIPAA et HITRUST CSF.

Compatibilité de Tri-Secret Secure avec les tables hybrides

Vous devez activer le mode stockage dédié si vous avez l’intention de créer des tables hybrides dans votre compte et si TSS est déjà activé ou sera activé. Pour plus d’informations, voir Mode de stockage dédié aux tables hybrides pour TSS.

Fonctionnement de Tri-Secret Secure en libre-service

Vous pouvez utiliser les fonctions système Snowflake pour enregistrer d’abord une CMK, puis activez Tri-Secret Secure pour utiliser la CMK. Si vous décidez de remplacer une CMK pour l’utiliser avec Tri-Secret Secure, la fonction SYSTEM$GET_CMK_INFO vous informe si votre nouvelle CMK est enregistrée et activée. Vous pouvez continuer à utiliser votre compte pendant le processus de regénération des clés.

Tri-Secret Secure en libre-service vous offre les avantages suivants :

  • Facilite le travail avec le service de gestion des clés (KMS) de la plateforme cloud qui héberge votre compte Snowflake.

  • Simplifie les étapes d’enregistrement et d’autorisation de votre CMK.

  • Fournit de la transparence sur l’enregistrement de votre CMKet l’état d’activation de Tri-Secret Secure.

  • Permet de gérer Tri-Secret Secure sans aucun temps d’arrêt de votre compte Snowflake.

Activer Tri-Secret Secure

Cette procédure fonctionne sur toutes les plateformes de fournisseurs de cloud prises en charge par Snowflake. Consultez la documentation de votre fournisseur Cloud spécifique pour toutes les étapes effectuées sur la plateforme du fournisseur Cloud.

Pour créer et enregistrer votre CMK, puis activer Tri-Secret Secure, procédez comme suit :

  1. Sur le fournisseur cloud : créez une CMK.

    Effectuez cette étape dans le service de gestion des clés (KMS) sur la plateforme Cloud qui héberge votre compte Snowflake.

  2. Dans Snowflake :appelez la fonction système SYSTEM$REGISTER_CMK_INFO.

    • Cette fonction système enregistre votre CMK avec votre compte Snowflake

    • Vérifiez à nouveau les arguments de la fonction système pour vous assurer qu’ils sont corrects pour la plateforme cloud qui héberge votre compte Snowflake.

    • Lorsque vous appelez la fonction SYSTEM$REGISTER_CMK_INFO, Snowflake envoie un e-mail aux administrateurs du compte dont l’adresse e-mail a été vérifiée. Le message informe l’administrateur du compte du moment où il doit appeler la fonction SYSTEM$ACTIVATE_CMK_INFO pour activer Tri-Secret Secure.

    Important

    Vous devez attendre 72 heures avant de procéder à l’activation de Tri-Secret Secure (étape 6). Si vous tentez d’activer Tri-Secret Secure pendant cette période d’attente, vous verrez un message d’erreur qui vous invite à attendre.

  3. Dans Snowflake :appelez la fonction système SYSTEM$GET_CMK_INFO.

    Cette fonction système renvoie l’état d’enregistrement et les détails pour la CMK que vous avez enregistrée.

  4. Dans Snowflake :appelez la fonction système SYSTEM$GET_CMK_CONFIG.

    Cette fonction système génère les informations nécessaires à votre fournisseur Cloud pour permettre à Snowflake d’accéder à votre CMK.

    Note

    Si Microsoft Azure héberge votre compte Snowflake, vous devez transmettre la valeur tenant_id dans la fonction.

  5. Dans Snowflake :appelez la fonction système SYSTEM$VERIFY_CMK_INFO.

    Cette fonction système confirme la connexion entre votre compte Snowflake et votre CMK.

  6. Dans Snowflake :appelez la fonction système SYSTEM$ACTIVATE_CMK_INFO.

    Cette fonction système active Tri-Secret Secure avec votre CMK enregistrée. Cette fonction système démarre le processus de regénération des clés et génère un e-mail qui informe les administrateurs système lorsque le processus est terminé. Le processus de regénération des clés peut se terminer en moins d’une heure, mais peut nécessiter jusqu’à 24 heures.

    Avertissement

    Snowflake utilise l’ancienne CMK jusqu’à ce que le processus de regénération des clés soit terminé. Ne supprimez pas l’accès à l’ancien CMK jusqu’à la réception d’une notification par e-mail indiquant que le processus de regénération des clés est terminé.

Pour activer la connectivité privée pour une CMK déjà activée avec Tri-Secret Secure, voir Activer un point de terminaison de connectivité privée pour une CMK active.

Afficher le statut de votre CMK

Vous pouvez appeler SYSTEM$GET_CMK_INFO à tout moment, pour vérifier le statut d’enregistrement et d’activation de votre CMK.

Par exemple, en fonction du moment où vous appelez SYSTEM$GET_CMK_INFO, la fonction renvoie la sortie suivante :

  • Immédiatement après l’activation de Tri-Secret Secure, elle renvoie ...is being activated.... Cela signifie que la resaisie n’est pas terminée.

  • Une fois que le processus d’activation de Tri-Secret Secure est terminé, la fonction renvoie une sortie qui comprend ...is activated.... Cela signifie que votre compte Snowflake utilise Tri-Secret Secure avec la CMK que vous avez enregistrée.

Modifier la CMK pour Tri-Secret Secure

Les fonctions système Snowflake prennent en charge la modification de votre clé gérée par le client (CMK), en fonction de vos besoins en matière de sécurité. Suivez les mêmes étapes pour enregistrer une nouvelle CMK comme étapes que vous avez suivies pour enregistrer votre première CMK. Lorsque vous effectuez à nouveau ces étapes avec une nouvelle clé, la sortie des fonctions système diffère. Lisez la sortie de chaque fonction système que vous appelez lors de l’enregistrement automatique pour confirmer que vous avez changé votre clé. Par exemple, lorsque vous changez votre CMK, puis que vous appelez la fonction SYSTEM$GET_CMK_INFO celle-ci renvoie un message contenant ...is being rekeyed....

Utiliser Tri-Secret Secure en libre-service avec rotation automatique des clés

Si vous utilisez la fonctionnalité de rotation automatique des clés de votre fournisseur de cloud pour gérer le cycle de vie de vos clés gérées par le client (CMKs), vous pouvez régénérer les clés avec la dernière version de votre CMK en appelant la fonction SYSTEM$ACTIVATE_CMK_INFO et en fournissant l’argument 'REKEY_SAME_CMK'.

Pour plus d’informations, voir Clés gérées par le client.

Désactiver Tri-Secret Secure

Pour désactiver Tri-Secret Secure dans votre compte, appelez la fonction système SYSTEM$DEACTIVATE_CMK_INFO.

Désenregistrer votre CMK actuelle

Vous ne pouvez enregistrer qu’une seule CMK à la fois avec Tri-Secret Secure. Lorsque vous enregistrez votre CMK, si la fonction SYSTEM$REGISTER_CMK_INFO échoue parce qu’un autre CMK existe, appelez la fonction système SYSTEM$DEREGISTER_CMK_INFO, comme indiqué.

Intégrer Tri-Secret Secure avec les magasins de clés externes AWS

Snowflake prend également en charge l’intégration de Tri-Secret Secure avec les magasins de clés externes AWS pour stocker et gérer en toute sécurité une clé gérée par le client en dehors d’AWS. Snowflake teste et prend en charge officiellement uniquement les modules de sécurité matérielle Thales (HSM) et les produits de chiffrement de données Thales CipherTrust Cloud Key Manager (CCKM).

Pour plus d’informations sur la configuration et le paramétrage de Tri-Secret Secure avec les solutions Thales, consultez ` Comment utiliser Thales External Key Store pour Tri-Secret Secure sur un compte AWS Snowflake<https://community.snowflake.com/s/article/thales-xks-for-tss-aws#e3>`_

Langage: Français