Tri-Secret Secure dans Snowflake

Vue d’ensemble de Tri-Secret Secure

L’utilisation d’un modèle de chiffrement à double clé, associé à l’authentification utilisateur intégrée de Snowflake, permet les trois niveaux de protection des données appelés Tri-Secret Secure. Tri-Secret Secure vous offre un niveau de sécurité et de contrôle supérieur au chiffrement standard de Snowflake.

Notre modèle de chiffrement à double clé combine une clé gérée par Snowflake et une clé gérée par le client (CMK), que vous créez sur la plateforme du fournisseur Cloud qui héberge votre compte Snowflake. Le modèle crée une clé maîtresse composite qui protège vos données Snowflake. Cette clé maîtresse composite agit comme une clé maîtresse de compte en englobant toutes les clés dans la hiérarchie de vos comptes. La clé maîtresse composite n’est jamais utilisée pour chiffrer des données brutes. Par exemple, la clé maîtresse composite enveloppe les clés maîtresses de table, qui sont utilisées pour dériver des clés de fichier qui chiffrent les données brutes.

Attention

Avant de vous engager avec Snowflake pour activer Tri-Secret Secure pour votre compte, nous vous conseillons d’évaluer votre responsabilité concernant la gestion de votre clé comme expliqué dans Clés gérées par le client. Si la clé gérée par le client (CMK) dans la hiérarchie de la clé maîtresse composite est révoquée, vos données ne peuvent plus être déchiffrées par Snowflake.

Si vous avez des questions ou des préoccupations, contactez le support Snowflake.

Notez que Snowflake assume également la même responsabilité pour les clés que nous gérons. Comme pour tous les aspects liés à la sécurité de notre service, nous traitons cette responsabilité avec le plus grand soin et la plus grande vigilance.

Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC type 2 II, PCI-DSS, HIPAA et HITRUST CSF.

Compatibilité de Tri-Secret Secure avec les tables hybrides

Vous devez activer le mode stockage dédié si vous avez l’intention de créer des tables hybrides dans votre compte et TSS est déjà activé ou sera activé. Pour plus d’informations, voir Mode de stockage dédié aux tables hybrides pour TSS.

Compréhension de l’auto-enregistrement CMK avec activation de la prise en charge de Tri-Secret Secure

Vous pouvez enregistrer une CMK pour l’utiliser avec Tri-Secret Secure en ayant recours aux fonctions système Snowflake Si vous décidez de remplacer une CMK pour l’utiliser avec Tri-Secret Secure, la fonction SYSTEM$GET_CMK_INFO vous informe si votre nouvelle CMK est enregistrée et activée. Après l’enregistrement automatique de votre CMK, vous pouvez contacter le support Snowflake pour permettre à votre compte Snowflake d’utiliser Tri-Secret Secure avec votre CMK.

L’enregistrement automatique de CMK avec activation du support vous offre les avantages suivants :

  • Simplifie les étapes d’enregistrement et d’autorisation de votre CMK.

  • Permet de connaître le statut de l’enregistrement de votre CMK et de votre activation avec Tri-Secret Secure.

  • Facilite le travail avec le service de gestion des clés (KMS) de la plateforme cloud qui héberge votre compte Snowflake.

  • Permet de faire pivoter votre CMK et d’enregistrer la nouvelle CMK pour l’utiliser avec Tri-Secret Secure.

La liste suivante montre comment l’enregistrement automatique de la CMK avec l’activation du support fonctionne :

  1. En tant que client, vous effectuez les actions suivantes :

    1. Créez l’CMK.

    2. Enregistrez le CMK.

    3. Générez des informations pour le fournisseur cloud.

    4. Appliquez la politique de KMS.

    5. Confirmez la connectivité entre votre compte Snowflake et votre CMK.

    6. Contactez le support Snowflake pour permettre à votre compte Snowflake d’utiliser Tri-Secret Secure.

  2. Le support Snowflake permet à votre compte Snowflake d’utiliser Tri-Secret Secure en fonction du CMK que vous enregistrez.

Les étapes de la section suivante évitent les termes tels que « Amazon Resource Number » (ARN) afin que la procédure ne soit pas orientée cloud. Les étapes sont les mêmes quelle que soit la plateforme cloud qui héberge votre compte Snowflake. Cependant, les arguments de la fonction système pour certaines étapes sont différents, car chaque service de plateforme cloud est différent.

Enregistrer automatiquement une CMK

Suivez les étapes suivantes pour enregistrer votre CMK et l’utiliser avec Tri-Secret Secure :

  1. Sur le fournisseur cloud : créez une CMK.

    Effectuez cette étape dans le service de gestion des clés (KMS) sur la plateforme Cloud qui héberge votre compte Snowflake.

  2. Dans Snowflake, appelez la fonction système SYSTEM$REGISTER_CMK_INFO pour enregistrer votre CMK avec l’intégration KMS.

    Vérifiez deux fois les arguments de la fonction système de la plateforme cloud qui héberge votre compte Snowflake.

  3. Appelez la fonction système SYSTEM$GET_CMK_INFO pour voir les détails de la CMK que vous avez enregistrée.

  4. Dans Snowflake, appelez la fonction système SYSTEM$GET_CMK_CONFIG pour générer les informations requises pour le fournisseur cloud.

    Cette politique permet à Snowflake d’accéder à votre CMK.

    Note

    Si Microsoft Azure héberge votre compte Snowflake, vous devez transmettre la valeur tenant_id dans la fonction.

  5. Dans Snowflake, appelez la fonction système SYSTEM$VERIFY_CMK_INFO pour confirmer la connectivité entre votre compte Snowflake et votre CMK.

  6. Contactez le support Snowflake et demandez que votre compte Snowflake soit autorisé à utiliser Tri-Secret Secure.

    Veillez à mentionner le compte spécifique que vous souhaitez utiliser avec Tri-Secret Secure.

Si vous souhaitez activer la connectivité privée pour une CMK qui est déjà activée avec Tri-Secret Secure, reportez-vous à Activer un point de terminaison de connectivité privée pour une CMK active pour plus d’informations.

Afficher le statut de votre CMK

Vous pouvez appeler SYSTEM$GET_CMK_INFO à tout moment, pour vérifier le statut d’enregistrement et d’activation de votre CMK.

Par exemple, en fonction du moment où vous appelez SYSTEM$GET_CMK_INFO, la fonction renvoie la sortie suivante :

  • Immédiatement après l’activation de Tri-Secret Secure, elle renvoie ...is being activated.... Cela signifie que la resaisie n’est pas terminée.

  • Une fois que le processus d’activation de Tri-Secret Secure est terminé, la fonction renvoie une sortie qui comprend ...is activated.... Cela signifie que votre compte Snowflake utilise Tri-Secret Secure avec la CMK que vous avez enregistrée.

Modifier la CMK pour Tri-Secret Secure

Les fonctions système Snowflake prennent en charge la modification de votre clé gérée par le client (CMK), en fonction de vos besoins en matière de sécurité. Suivez les mêmes étapes pour enregistrer une nouvelle CMK comme étapes que vous avez suivies pour enregistrer votre première CMK. Lorsque vous effectuez à nouveau ces étapes avec une nouvelle clé, la sortie des fonctions système diffère. Lisez la sortie de chaque fonction système que vous appelez lors de l’enregistrement automatique pour confirmer que vous avez changé votre clé. Par exemple, lorsque vous changez votre CMK, puis que vous appelez la fonction SYSTEM$GET_CMK_INFO celle-ci renvoie un message contenant ...is being rekeyed....

Intégrer Tri-Secret Secure avec les magasins de clés externes AWS

Snowflake prend également en charge l’intégration de Tri-Secret Secure avec les magasins de clés externes AWS pour stocker et gérer en toute sécurité une clé gérée par le client en dehors d’AWS. Snowflake teste et prend en charge officiellement uniquement les modules de sécurité matérielle Thales (HSM) et les produits de chiffrement de données Thales CipherTrust Cloud Key Manager (CCKM).

Pour plus d’informations sur la configuration et le paramétrage de Tri-Secret Secure avec les solutions Thales, consultez ` Comment utiliser Thales External Key Store pour Tri-Secret Secure sur un compte AWS Snowflake<https://community.snowflake.com/s/article/thales-xks-for-tss-aws#e3>`_

Langage: Français