Centre de confiance¶
Note
Les comptes de lecteur Snowflake ne sont pas pris en charge.
Vous pouvez utiliser le Centre de confiance pour évaluer et surveiller les risques de sécurité de votre compte. Le Trust Center évalue votre compte par rapport aux recommandations spécifiées dans les scanners selon une planification, mais vous pouvez modifier la fréquence d’exécution des scanners. Si votre compte ne respecte pas l’une des recommandations de l’un des scanners activés , le Trust Center fournit alors une liste des risques de sécurité, et des informations sur la façon d’atténuer ces risques.
Cas d’utilisation courants¶
Privilèges requis¶
Un utilisateur ayant le rôle ACCOUNTADMIN doit accorder à votre rôle le rôle d’application SNOWFLAKE.TRUST_CENTER_VIEWER
ou SNOWFLAKE.TRUST_CENTER_ADMIN
, en fonction de l’onglet du Centre de confiance auquel vous souhaitez accéder.
Consultez la table suivante pour obtenir des informations sur les rôles d’application dont vous avez besoin pour accéder à des onglets spécifiques du Trust Center :
Onglet Centre de confiance |
Rôles requis pour l’application |
---|---|
Findings |
|
Scanner Packages |
|
Par exemple, pour créer et attribuer un rôle distinct pour l’accès à l’onglet Findings et un rôle distinct pour l’accès à l’onglet Scanner Packages vous pouvez exécuter les commandes suivantes à l’aide du rôle ACCOUNTADMIN :
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Utilisation de la connectivité privée¶
Le Trust Center prend en charge la connectivité privée. Pour plus d’informations, voir Utilisation de la connectivité privée.
Résultats¶
Le Trust Center dispose d’un onglet Findings qui fournit les informations suivantes :
Un graphique des violations de scanner au fil du temps, avec un code couleur pour les degrés de gravité faible, moyen, élevé et critique.
Une liste interactive de recommandations pour chaque violation constatée. Chaque recommandation contient des détails sur la violation, la date de la dernière exécution de l’analyseur et la manière de remédier à la violation.
Les violations vous permettent d’identifier les configurations Snowflake dans le compte qui violent les exigences des paquets de scanners activés. Pour chaque violation, le Centre de confiance explique comment y remédier. Après avoir remédié à une violation, celle-ci apparaît toujours dans l’onglet Findings jusqu’au début de la prochaine exécution planifiée du module d’analyse contenant le scanner qui a signalé la violation, ou jusqu’à ce que vous exécutiez manuellement le paquet de scanner.
Vous devez avoir un rôle d’application spécifique pour accéder à l’onglet Findings. Pour plus d’informations, voir Privilèges requis.
Scanners¶
Un scanner est un processus d’arrière-plan planifié qui vérifie si votre compte présente des risques de sécurité, en fonction de la manière dont vous avez configuré votre compte. Les scanners sont regroupés en paquets de scanners. Les scanners contiennent des informations sur les risques de sécurité qu’ils vérifient dans votre compte, ainsi que sur le paquet de scanners qui les contient.
Les paquets de scanners contiennent une description et une liste des scanners qui s’exécutent lorsque vous activez le paquet de scanners. Une fois que vous avez activé un paquet de scanner, celui-ci s’exécute immédiatement, quelle que soit la planification configurée.
Par défaut, les paquets de scanners sont désactivés, à l’exception du Paquet de scanner Security Essentials.
Les paquets de scanners s’exécutent selon un calendrier. Vous devez activer un paquet de scanners avant de pouvoir modifier sa planification, si ce paquet de scanners vous permet de modifier la planification.
Après avoir activé un paquet de scanners, vous pouvez activer ou désactiver individuellement les scanners de ce paquet de scanners. Vous pouvez également modifier individuellement la planification des scanners présents dans le paquet de scanners.
Vous avez besoin de rôles d’application spécifiques pour accéder à l’onglet Scanner Packages. Pour plus d’informations, voir la table dans les exigences.
Les paquets de scanner suivants sont disponibles :
Paquet de scanner Security Essentials¶
Le paquet de scanners Security Essentials est un paquet de scanners gratuit qui n’entraîne aucun coût. Ce paquet de scanners analyse votre compte pour vérifier que vous avez configuré les recommandations suivantes :
Vous avez une politique d’authentification qui impose à tous les utilisateurs humains de souscrire un système d’authentification multifactorielle (MFA) s’ils utilisent des mots de passe pour s’authentifier.
Tous les utilisateurs humains sont inscrits sur à la MFA s’ils utilisent des mots de passe pour s’authentifier.
Vous avez défini une politique réseau au niveau du compte qui a été configurée pour n’autoriser l’accès qu’à partir d’adresses IP de confiance.
Vous avez configuré une table d’événements si votre compte a activé le partage d’événements pour une application native, afin que votre compte reçoive une copie des messages de journalisation et des informations sur les événements qui sont partagés avec le fournisseur d’applications.
Ce paquet de scanners analyse uniquement les utilisateurs humains (c’est-à-dire les objets utilisateur dont la propriété TYPE est définie sur PERSON ou NULL). Pour plus d’informations, voir Types d’utilisateurs.
Ce paquet de scanners s’exécute toutes les deux semaines et vous ne pouvez pas modifier la planification.
Par défaut, ce paquet de scanners est activé et ne peut pas être désactivé.
Le paquet de scanners Security Essentials n’entraîne pas de coût de calcul sans serveur.
Paquet de scanners CIS Benchmarks¶
Vous pouvez accéder à des insights de sécurité supplémentaires en activant le paquet de scanner CIS Benchmarks, qui contient des scanners évaluant votre compte par rapport aux critères des Benchmarks pour Snowflake de Center for Internet Security (CIS). Les CIS Benchmarks pour Snowflake sont une liste des meilleures pratiques pour la configuration des comptes Snowflake visant à réduire les vulnérabilités en matière de sécurité. Les CIS Benchmarks pour Snowflake ont été créés grâce à la collaboration de la communauté et au consensus d’experts en la matière.
Pour obtenir une copie du document CIS Benchmarks pour Snowflake, consultez le site Web CIS Benchmark pour Snowflake.
Les recommandations contenues dans les CIS Benchmarks pour Snowflake sont numérotées par section et par recommandation. Par exemple, la première recommandation de la première section est numérotée 1.1
. Dans l’onglet Findings, le Centre de confiance fournit des numéros de section pour chaque violation si vous souhaitez faire référence aux CIS Benchmarks de Snowflake.
Ce paquet de scanners s’exécute une fois par jour par défaut, mais vous pouvez modifier sa planification.
Pour plus d’informations sur l’activation de paquets de scanners, le coût pouvant résulter de l’activation des scanners et la façon de modifier la planification d’un paquet de scanner, consultez les références suivantes :
Note
Pour certains CIS Benchmarks pour Snowflake, Snowflake détermine uniquement si vous avez mis en œuvre une mesure de sécurité spécifique, mais n’évalue pas si la mesure de sécurité a été mise en œuvre de manière à atteindre son objectif. Pour ces benchmarks, l’absence de violation ne garantit pas que la mesure de sécurité est mise en œuvre de manière efficace. Les benchmarks suivants n’évaluent pas si vos mesures de sécurité ont été mises en œuvre de manière à atteindre leur objectif, ou bien le Centre de confiance n’effectue pas de vérifications à leur sujet :
All of section 2 : assurez-vous que les activités sont surveillées et fournissez des recommandations pour la configuration de Snowflake afin de traiter les activités qui requièrent une attention particulière. Ces scanners contiennent des requêtes complexes dont les violations n’apparaissent pas dans la console Snowsight.
Un responsable de la sécurité peut obtenir des informations précieuses sur les scanners de la section 2 en exécutant la requête suivante sur la vue
snowflake.trust_center.findings
:SELECT start_timestamp, end_timestamp, scanner_id, scanner_short_description, impact, severity, total_at_risk_count, AT_RISK_ENTITIES FROM snowflake.trust_center.findings WHERE scanner_type = 'Threat' AND completion_status = 'SUCCEEDED' ORDER BY event_id DESC;
Dans la sortie, la colonne
AT_RISK_ENTITIES
contient le contenu de JSON avec des détails sur les activités qui nécessitent une révision ou une remédiation. Par exemple, le scanner CIS_BENCHMARKS_CIS2_1 surveille les octrois de privilèges élevés et les responsables de la sécurité doivent examiner attentivement les événements signalés par ce scanner, tels que l’exemple d’événement suivant :[ { "entity_detail": { "granted_by": joe_smith, "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "modified_on": "2025-01-01 07:00:00.000 Z", "role_granted": "ACCOUNTADMIN" }, "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_object_type": "ROLE" } ]
Snowflake propose les meilleures pratiques suivantes pour les scanners de la section 2 :
Ne désactivez pas les scanners de la section 2 si vous n’êtes pas sûr d’avoir mis en place des mesures de surveillance suffisantes.
Inspectez les violations des scanners de la section 2 à intervalles réguliers ou configurez une tâche de surveillance pour les alertes. Plus précisément, configurez la surveillance comme décrit dans la colonne
SUGGESTED_ACTION
de la vuesnowflake.trust_center.findings
.
3.1 : assurez-vous qu’une politique réseau au niveau du compte a été configurée pour n’autoriser l’accès qu’à partir d’adresses IP de confiance. Le Trust Center affiche une violation si vous n’avez pas de politique réseau au niveau du compte, mais n’évalue pas si les adresses IP appropriées ont été autorisées ou bloquées.
4.3 : veillez à ce que le paramètre DATA_RETENTION_TIME_IN_DAYS soit défini sur 90 pour les données critiques. Le Trust Center affiche une violation si le paramètre DATA_RETENTION_TIME_IN_DAYS associé à Time Travel n’est pas défini sur 90 jours pour le compte ou au moins pour un objet, mais n’évalue pas quelles données sont considérées comme critiques.
4.10 : assurez-vous que le masquage des données est activé pour les données sensibles. Le Trust Center affiche une violation si le compte n’a pas au moins une politique de masquage, mais n’évalue pas si les données sensibles sont protégées de manière appropriée. Le Centre de confiance n’évalue pas si une politique de masquage est affectée à au moins une table ou une vue.
4.11 : veillez à ce que les politiques d’accès aux lignes soient configurées pour les données sensibles. Le Trust Center affiche une violation si le compte n’a pas au moins une politique d’accès aux lignes, mais n’évalue pas si les données sensibles sont protégées. Le Centre de confiance n’évalue pas si une politique d’accès aux lignes est affectée à au moins une table ou une vue.
Paquet de scanners Threat Intelligence¶
Vous pouvez accéder à des informations de sécurité supplémentaires en activant le paquet de scanners Threat Intelligence. Celui-ci vous permet de découvrir les utilisateurs à risque en fonction du type d’utilisateur, des méthodes d’authentification et des politiques d’authentification. Le paquet Threat Intelligence identifie les utilisateurs comment étant à risque s’ils répondent à l’un des critères suivants :
Utilisateurs humains à risque (TYPE : PERSON ou NULL) :
Ils n’ont pas paramétré la MFA et ne se sont pas connectés avec un mot de passe au moins une fois au cours des 90 derniers jours.
Ils ont un mot de passe mais n’ont pas paramétré la MFA et ne se sont pas connectés depuis 90 jours.
Utilisateurs de services à risque (TYPE : LEGACY_SERVICE) :
Ils ont un mot de passe et se sont connectés avec uniquement un mot de passe au cours des 90 derniers jours ou plus.
Ils ont un mot de passe mais ne se sont pas connectés depuis 90 jours.
Ce paquet de scanners s’exécute une fois par jour par défaut, mais vous pouvez modifier sa planification.
Pour plus d’informations sur l’activation de paquets de scanners, le coût pouvant résulter de l’activation des scanners et la façon de modifier la planification d’un paquet de scanner, consultez les références suivantes :