Tri-Secret Secure en libre-service dans Snowflake

L’utilisation d’un modèle de chiffrement à double clé conjointement avec l’authentification utilisateur intégrée de Snowflake permet de bénéficier de trois niveaux de protection des données, appelés Tri-Secret Secure. Tri-Secret Secure vous offre un niveau de sécurité et de contrôle supérieur au chiffrement standard de Snowflake.

Notre modèle de chiffrement à double clé combine une clé gérée par Snowflake et une clé gérée par le client (CMK) (que vous créez sur la plateforme du fournisseur de cloud qui héberge votre compte Snowflake) pour créer une clé maîtresse composite qui protège vos données Snowflake. Cette clé maîtresse composite agit comme une clé maîtresse de compte en encapsulant toutes les clés de la hiérarchie de votre compte. La clé maîtresse composite n’est jamais utilisée pour chiffrer des données brutes. Par exemple, la clé maîtresse composite encapsule les clés maîtresses de table, qui sont utilisées pour dériver les clés de fichier servant à chiffrer les données brutes.

Attention

En suivant la procédure décrite dans ce sujet, vous activerez Tri-Secret Secure à l’aide des fonctions système de Snowflake. Avant d’activer Tri-Secret Secure pour votre compte, examinez attentivement votre responsabilité dans la protection de votre clé, comme mentionné dans Clés gérées par le client. Si la CMK dans la hiérarchie de la clé maîtresse composite est révoquée, vos données ne peuvent plus être déchiffrées par Snowflake. Si vous avez des questions ou des préoccupations, contactez le support Snowflake.

Notez que Snowflake assume également la même responsabilité pour les clés que nous gérons. Comme pour tous les aspects liés à la sécurité de notre service, nous traitons cette responsabilité avec le plus grand soin et la plus grande vigilance.

Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC type 2 II, PCI-DSS, HIPAA et HITRUST CSF.

Compatibilité des fonctionnalités

Tables hybrides ne sont pas compatibles avec Tri-Secret Secure.

Vous ne pouvez pas utiliser de tableaux hybrides si votre compte Snowflake est activé de sorte à utiliser Tri-Secret Secure. Avant d’utiliser des tableaux hybrides, vérifiez si votre compte Snowflake est activé pour Tri-Secret Secure en contactant le support Snowflake.

Aperçu du libre-service

Vous pouvez utiliser la procédure en libre-service Tri-Secret Secure pour enregistrer d’abord une CMK, puis activer Tri-Secret Secure. Si vous décidez de remplacer une CMK pour une utilisation avec Tri-Secret Secure, la procédure en libre-service vous informe si votre nouvelle CMK est enregistrée et activée. Vous pouvez continuer à utiliser votre compte pendant le processus de regénération des clés.

Le libre-service vous permet de bénéficier de ces avantages :

  • Facilite le travail avec le service de gestion des clés (KMS) de la plateforme cloud qui héberge votre compte Snowflake.

  • Simplifie les étapes d’enregistrement et d’autorisation de votre CMK.

  • Fournit de la transparence sur l’enregistrement de votre CMKet l’état d’activation de Tri-Secret Secure.

  • Permet de gérer Tri-Secret Secure sans aucun temps d’arrêt de votre compte Snowflake.

Procédure en libre-service

Cette procédure fonctionne sur toutes les plateformes de fournisseurs de cloud prises en charge par Snowflake. Consultez la documentation de votre fournisseur Cloud spécifique pour toutes les étapes effectuées sur la plateforme du fournisseur Cloud.

Pour créer et enregistrer votre CMK, puis activer Tri-Secret Secure, procédez comme suit :

  1. Sur le fournisseur Cloud : créez une CMK.

    Effectuez cette étape dans le service de gestion des clés (KMS) sur la plateforme Cloud qui héberge votre compte Snowflake.

  2. Dans Snowflake : appelez la fonction système SYSTEM$REGISTER_CMK_INFO.

    • Cette fonction système enregistre votre CMK avec votre compte Snowflake

    • Vérifiez à nouveau les arguments de la fonction système pour vous assurer qu’ils sont corrects pour la plateforme cloud qui héberge votre compte Snowflake.

    • Lorsque vous appelez la fonction SYSTEM$REGISTER_CMK_INFO, Snowflake envoie un e-mail aux administrateurs du compte dont l’adresse e-mail a été vérifiée. Le message informe l’administrateur du compte du moment où il doit appeler la fonction SYSTEM$ACTIVATE_CMK_INFO pour activer Tri-Secret Secure.

    Important

    Vous devez attendre 72 heures avant de procéder à l’activation de Tri-Secret Secure (étape 6). Si vous tentez d’activer Tri-Secret Secure pendant cette période d’attente, vous verrez un message d’erreur qui vous invite à attendre.

  3. Dans Snowflake : appelez la fonction système SYSTEM$GET_CMK_INFO.

    Cette fonction système renvoie l’état d’enregistrement et les détails pour la CMK que vous avez enregistrée.

  4. Dans Snowflake : appelez la fonction système SYSTEM$GET_CMK_CONFIG.

    Cette fonction système génère les informations nécessaires à votre fournisseur Cloud pour permettre à Snowflake d’accéder à votre CMK.

    Note

    Si Microsoft Azure héberge votre compte Snowflake, vous devez transmettre la valeur tenant_id dans la fonction.

  5. Dans Snowflake : appelez la fonction système SYSTEM$VERIFY_CMK_INFO.

    Cette fonction système confirme la connexion entre votre compte Snowflake et votre CMK.

  6. Dans Snowflake : appelez la fonction système SYSTEM$ACTIVATE_CMK_INFO.

    Cette fonction système active Tri-Secret Secure avec votre CMK enregistrée. Cette fonction système démarre le processus de regénération des clés et génère un e-mail qui informe les administrateurs système lorsque le processus est terminé. Le processus de regénération des clés peut se terminer en moins d’une heure, mais peut nécessiter jusqu’à 24 heures.

    Avertissement

    Snowflake utilise l’ancienne CMK jusqu’à ce que le processus de regénération des clés soit terminé. Ne supprimez pas l’accès à l’ancien CMK jusqu’à la réception d’une notification par e-mail indiquant que le processus de regénération des clés est terminé.

Affichage de l’état de votre CMK

Vous pouvez, si vous le souhaitez, appeler la fonction système SYSTEM$GET_CMK_INFO avant ou après avoir terminé la procédure en libre-service, afin de vérifier l’état d’enregistrement et d’activation de votre CMK. Par exemple, l’appel de SYSTEM$GET_CMK_INFO immédiatement après l’appel de SYSTEM$ACTIVATE_CMK_INFO alors que Tri-Secret Secure est désactivé renvoie is being activated, ce qui indique que la régénération des clés n’est pas terminée. Une fois le processus terminé, la sortie de la fonction SYSTEM$GET_CMK_INFO comprend is activated. Cela signifie que votre compte Snowflake utilise Tri-Secret Secure avec le CMK que vous avez enregistré.

Modification de la CMK pour Tri-Secret Secure

Le processus en libre-service prend en charge la modification de votre CMK, en fonction de vos besoins en matière de sécurité. Suivez les mêmes étapes pour enregistrer une nouvelle CMK comme étapes que vous avez suivies pour enregistrer votre première CMK. Lorsque vous effectuez à nouveau ces étapes avec une nouvelle clé, la sortie des fonctions système diffère. Lisez la sortie de chaque fonction système que vous appelez pendant la procédure en libre-service pour confirmer que vous avez changé votre clé. Par exemple, lorsque vous modifiez votre CMK, l’appel de la fonction SYSTEM$GET_CMK_INFO renvoie ...is being rekeyed... .

Utiliser Tri-Secret Secure en libre-service avec rotation automatique des clés

Si vous utilisez la fonctionnalité de rotation automatique des clés de votre fournisseur de cloud pour gérer le cycle de vie de vos Clés gérées par le client, vous pouvez régénérer les clés avec la dernière version de votre CMK en appelant la fonction système SYSTEM$ACTIVATE_CMK_INFO et en fournissant l’argument 'REKEY_SAME_CMK'.

Désactivation de Tri-Secret Secure

Pour désactiver Tri-Secret Secure dans votre compte, appelez la fonction système SYSTEM$DEACTIVATE_CMK_INFO.

Suppression de votre CMK actuelle

Vous ne pouvez enregistrer qu’une seule CMK à la fois avec Tri-Secret Secure. Lorsque vous enregistrez votre CMK, si la fonction SYSTEM$REGISTER_CMK_INFO échoue parce qu’un autre CMK existe, appelez la fonction système SYSTEM$DEREGISTER_CMK_INFO, comme indiqué.

Intégration de Tri-Secret Secure avec les magasins de clés externes AWS

Snowflake prend également en charge l’intégration de Tri-Secret Secure (AWS) avec les magasins de clés externes pour stocker et gérer en toute sécurité une clé gérée par le client en dehors d’AWS. Snowflake teste et prend en charge officiellement uniquement les produits de chiffrement de données Thales HSM et Thales CCKM. Pour plus d’informations sur la configuration et le paramétrage de Tri-Secret Secure avec les solutions Thales, consultez ` Comment utiliser Thales External Key Store pour Tri-Secret Secure sur un compte AWS Snowflake<https://community.snowflake.com/s/article/thales-xks-for-tss-aws#e3>`_

Langage: Français