Tri-Secret Secure avec comptes de zones de partage sécurisées dans Snowflake

Vue d’ensemble de Tri-Secret Secure

L’utilisation d’un modèle de chiffrement à double clé, associé à l’authentification utilisateur intégrée de Snowflake, permet les trois niveaux de protection des données appelés Tri-Secret Secure. Tri-Secret Secure vous offre un niveau de sécurité et de contrôle supérieur au chiffrement standard de Snowflake.

Notre modèle de chiffrement à double clé combine une clé gérée par Snowflake et une clé gérée par le client (CMK), que vous créez sur la plateforme du fournisseur Cloud qui héberge votre compte Snowflake. Le modèle crée une clé maîtresse composite qui protège vos données Snowflake. Cette clé maîtresse composite agit comme une clé maîtresse de compte en encapsulant toutes les clés de la hiérarchie de votre compte. La clé maîtresse composite n’est jamais utilisée pour chiffrer des données brutes. Par exemple, la clé master composite enveloppe les clés master des tables, qui sont utilisées pour dériver les clés de fichier qui chiffrent les données brutes.

Attention

Avant d’activer Tri-Secret Secure pour votre compte de zones de partage sécurisées, examinez attentivement votre responsabilité concernant la gestion de votre clé, comme décrit dans la section:ref:label-customer-managed-keys. Si la clé gérée par le client (CMK) dans la hiérarchie de la clé maîtresse composite est révoquée, vos données ne peuvent plus être déchiffrées par Snowflake.

Si vous avez des questions ou des préoccupations, contactez le support Snowflake.

Notez que Snowflake assume également la même responsabilité pour les clés que nous gérons. Comme pour tous les aspects liés à la sécurité de notre service, nous traitons cette responsabilité avec le plus grand soin et la plus grande vigilance.

Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC type 2 II, PCI-DSS, HIPAA et HITRUST CSF.

Compatibilité de Tri-Secret Secure avec les tables hybrides

Vous devez activer le mode stockage dédié si vous avez l’intention de créer des tables hybrides dans votre compte et si TSS est déjà activé ou sera activé. Pour plus d’informations, voir Mode de stockage dédié aux tables hybrides pour TSS.

Comprendre les comptes de zones de partage sécurisées

Lorsque vous publiez une annonce et que vous activez l’exécution automatique inter-Cloud, Snowflake peut automatiquement créer une ou plusieurs zones de partage sécurisées (SSA) dans les régions des consommateurs. Ces comptes SSA présentent les caractéristiques suivantes :

  • Vous appartiennent et vous sont facturés en tant que fournisseur.

  • Sont gérés par Snowflake. Vous ne pouvez pas y accéder directement.

  • Stockent des copies répliquées de votre produit de données afin que les consommateurs dans d’autres régions puissent y accéder.

Étant donné que les comptes SSA contiennent vos données, vous pouvez les protéger avec Tri-Secret Secure, tout comme vos comptes principaux. Cependant :

  • TSS doit être activé séparément sur chaque compte SSA.

  • Vous ne pouvez pas exécuter de commandes Snowflake directement à l’intérieur d’un compte SSA.

  • Vous pouvez tout de même souhaiter que les événements de l’API KMS (par exemple, GenerateDataKeyWithoutPlaintext et Decypt) pour ces comptes apparaissent de manière cohérente dans les journaux de votre fournisseur Cloud à des fins d’alerte et d’audit.

Identifier vos comptes SSA

Les comptes SSA pour l’exécution automatique suivent un modèle de dénomination standard et apparaissent comme comptes globaux dans votre organisation.

Pour lister vos comptes SSA, exécutez les commandes suivantes :

USE ROLE ORGADMIN;

SHOW GLOBAL ACCOUNTS LIKE '%AUTO_FULFILLMENT_AREA%' IN ORGANIZATION <org_name>;
Copy

La sortie renvoie tous les comptes dont les noms comprennent AUTO_FULFILLMENT_AREA ; par exemple :

  • AUTO_FULFILLMENT_AREA$PUBLIC_AWS_US_EAST_1

  • AUTO_FULFILLMENT_AREA$PUBLIC_AZURE_EASTUS2

Ces noms d’utilisateur sont les valeurs que vous transmettrez aux fonctions système Tri-Secret Secure lorsque vous travaillerez avec des comptes SSA.

Note

Les déploiements plus anciens peuvent encore contenir des comptes SSA dont les noms commencent par SNOWFLAKE_MANAGED$PUBLIC_<CLOUD>_<REGION>. Vous pouvez inclure les deux modèles dans vos filtres si nécessaire.

Comprendre Tri-Secret Secure avec comptes de zones de partage sécurisées

Vous pouvez utiliser Tri-Secret Secure avec des comptes SSA pour offrir une sécurité renforcée aux données partagées via les SSAs. Les comptes SSA bénéficient de la même protection de chiffrement à trois couches que les comptes standard, avec la clé gérée par le client (CMK) fournissant une couche supplémentaire de contrôle sur les clés de chiffrement.

Tri-Secret Secure avec comptes de zones de partage sécurisées offrent les avantages suivants :

  • Renforcement de la sécurité des données partagées via des zones de partage sécurisées

  • Contrôle des clés de chiffrement pour les données des zones de partage sécurisées

  • Conformité aux exigences réglementaires en matière de protection des données

  • Possibilité de révoquer l’accès aux données chiffrées en révoquant la CMK

Activer Tri-Secret Secure pour les comptes de zones de partage sécurisées

Pour activer Tri-Secret Secure pour un compte SSA, suivez les étapes suivantes. Ces étapes supposent que vous avez déjà enregistré votreCMK.

  1. Dans Snowflake, appelez la fonction système SYSTEM$GET_CMK_INFO pour voir les détails de la CMK que vous avez enregistrée, et incluez le nom d’utilisateur SSA.

  2. Dans Snowflake, appelez la fonction système SYSTEM$GET_CMK_CONFIG pour générer les informations requises pour le fournisseur cloud.

    Cette politique permet à Snowflake d’accéder à votre CMK.

    Note

    Si Microsoft Azure héberge votre compte Snowflake, vous devez transmettre la valeur tenant_id dans la fonction.

  3. Sur votre plateforme de fournisseur cloud, utilisez la sortie de la fonction SYSTEM$GET_CMK_CONFIG pour autoriser votre CMK.

  4. Dans Snowflake, appelez la fonction système SYSTEM$VERIFY_CMK_INFO et incluez le nom d’utilisateur SSA pour confirmer la connexion entre votre compte Snowflake et votre CMK.

  5. Dans Snowflake, appelez la fonction système SYSTEM$ACTIVATE_CMK_INFO pour activer Tri-Secret Secure pour votre compte de zones de partage sécurisées.

    Cette fonction système active Tri-Secret Secure avec votre CMK enregistrée. Cette fonction système démarre le processus de regénération des clés et génère un e-mail qui informe les administrateurs système lorsque le processus est terminé. Le processus de regénération des clés peut se terminer en moins d’une heure, mais peut nécessiter jusqu’à 24 heures.

    Avertissement

    Snowflake utilise l’ancienne CMK jusqu’à ce que le processus de regénération des clés soit terminé. Ne supprimez pas l’accès à l’ancienne CMK jusqu’à ce que vous receviez une notification par e-mail indiquant que le processus de re-saisie est terminé.

Afficher le statut de votre CMK

Vous pouvez appeler SYSTEM$GET_CMK_INFO à tout moment, pour vérifier le statut d’enregistrement et d’activation de votre CMK.

Par exemple, en fonction du moment où vous appelez SYSTEM$GET_CMK_INFO, la fonction renvoie la sortie suivante :

  • Immédiatement après l’activation de Tri-Secret Secure, elle renvoie ...is being activated.... Cela signifie que la resaisie n’est pas terminée.

  • Une fois que le processus d’activation de Tri-Secret Secure est terminé, la fonction renvoie une sortie qui comprend ...is activated.... Cela signifie que votre compte Snowflake utilise Tri-Secret Secure avec la CMK que vous avez enregistrée.

Modifier la CMK pour Tri-Secret Secure

Les fonctions système Snowflake prennent en charge la modification de votre clé gérée par le client (CMK), en fonction de vos besoins en matière de sécurité. Suivez les mêmes étapes pour enregistrer une nouvelle CMK comme étapes que vous avez suivies pour enregistrer votre première CMK. Lorsque vous effectuez à nouveau ces étapes avec une nouvelle clé, la sortie des fonctions système diffère. Lisez la sortie de chaque fonction système que vous appelez lors de l’enregistrement automatique pour confirmer que vous avez changé votre clé. Par exemple, lorsque vous changez votre CMK, puis que vous appelez la fonction SYSTEM$GET_CMK_INFO celle-ci renvoie un message contenant ...is being rekeyed....

Désactiver Tri-Secret Secure

Pour désactiver Tri-Secret Secure dans votre compte de zones de partage sécurisées, appelez la fonction système SYSTEM$DEACTIVATE_CMK_INFO.

Désenregistrer votre CMK actuelle

Vous ne pouvez enregistrer qu’une seule CMK à la fois avec Tri-Secret Secure. Lorsque vous enregistrez votre CMK, si la fonction SYSTEM$REGISTER_CMK_INFO échoue parce qu’un autre CMK existe, appelez la fonction système SYSTEM$DEREGISTER_CMK_INFO, comme indiqué.