Centre de confiance¶
Note
Les comptes de lecteur Snowflake ne sont pas pris en charge.
Vous pouvez utiliser le Centre de confiance pour évaluer et surveiller les risques de sécurité de votre compte. Le Trust Center évalue votre compte par rapport aux recommandations spécifiées dans les scanners selon une planification, mais vous pouvez modifier la fréquence d’exécution des scanners. Si votre compte ne respecte pas l’une des recommandations de l’un des scanners activés , le Trust Center fournit alors une liste des risques de sécurité, et des informations sur la façon d’atténuer ces risques.
Cas d’utilisation courants¶
Privilèges requis¶
Un utilisateur ayant le rôle ACCOUNTADMIN doit accorder à votre rôle le rôle d’application :code:`SNOWFLAKE.TRUST_CENTER_VIEWER ou SNOWFLAKE.TRUST_CENTER_ADMIN <label-native_apps_app_roles_about>`, en fonction de l’onglet du Centre de confiance auquel vous souhaitez accéder.
Reportez-vous au tableau suivant pour obtenir des informations sur les rôles d’application dont vous avez besoin pour accéder à des onglets spécifiques du Trust Center :
Onglet Centre de confiance |
Rôles requis pour l’application |
|---|---|
Findings |
|
Scanner Packages |
|
Par exemple, pour créer et attribuer un rôle distinct pour l’accès à l’onglet Findings et un rôle distinct pour l’accès à l’onglet Scanner Packages vous pouvez exécuter les commandes suivantes à l’aide du rôle ACCOUNTADMIN :
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Utilisation de la connectivité privée¶
Le Trust Center prend en charge la connectivité privée. Pour plus d’informations, voir Utilisation de la connectivité privée.
Résultats¶
Le Trust Center dispose d’un onglet Findings qui fournit les informations suivantes :
Un graphique des violations de scanner au fil du temps, avec un code couleur pour les degrés de gravité faible, moyen, élevé et critique.
Une liste interactive de recommandations pour chaque violation constatée. Chaque recommandation contient des détails sur la violation, la date de la dernière exécution de l’analyseur et la manière de remédier à la violation.
Les résultats vous permettent d’identifier les configurations de Snowflake dans le compte qui violent les exigences des paquets de scanners activés. Pour chaque violation, le Centre de confiance explique comment y remédier. Après avoir remédié à une violation, celle-ci apparaît toujours dans l’onglet Findings jusqu’au début de la prochaine exécution planifiée du module d’analyse contenant le scanner qui a signalé la violation, ou jusqu’à ce que vous exécutiez manuellement le paquet de scanner.
Vous avez besoin d’un rôle d’application spécifique pour accéder à l’onglet Findings. Pour plus d’informations, voir Privilèges requis.
Scanners¶
Un scanner est un processus d’arrière-plan planifié qui vérifie si votre compte présente des risques de sécurité, en fonction de la manière dont vous avez configuré votre compte. Les scanners sont regroupés en paquets de scanners. Les scanners contiennent des informations sur les risques de sécurité qu’ils vérifient dans votre compte, ainsi que sur le paquet de scanners qui les contient.
Les paquets de scanners contiennent une description et une liste des scanners qui s’exécutent lorsque vous activez le paquet de scanners. Une fois que vous avez activé un paquet de scanner, celui-ci s’exécute immédiatement, quelle que soit la planification configurée.
Par défaut, les paquets de scanners sont désactivés, à l’exception du Paquet de scanner Security Essentials.
Les paquets de scanners s’exécutent selon un calendrier. Vous ne pouvez pas modifier le calendrier du paquet de scanner Paquet de scanner Security Essentials, mais vous pouvez modifier la planification des paquets de scanners suivants :
Vous devez d’abord activer un paquet de scanner avant de pouvoir modifier sa planification.
Vous avez besoin de rôles d’application spécifiques pour accéder à l’onglet Scanner Packages. Pour plus d’informations, voir la table dans les exigences.
Les paquets de scanner suivants sont disponibles :
Paquet de scanner Security Essentials¶
Le paquet de scanner Security Essentials est un paquet de scanner gratuit qui n’entraîne aucun coût. Ce paquet de scanner analyse votre compte pour vérifier les configurations de compte recommandées par Snowflake et vérifie que l’authentification multifactorielle (MFA) est activée pour tous les utilisateurs qui utilisent l’authentification par mot de passe.
Ce scanner scanne uniquement les utilisateurs avec leur TYPE propriété définie sur PERSON ou NULL.
Ce paquet de scanner s’exécute toutes les deux semaines et vous ne pouvez pas modifier le calendrier.
Par défaut, ce paquet de scanner est activé et ne peut pas être désactivé.
Le paquet de scanner Security Essentials n’entraîne pas de frais de calcul sans serveur.
Paquet de scanners CIS Benchmarks¶
Vous pouvez accéder à des insights de sécurité supplémentaires en activant le paquet de scanner CIS Benchmarks, qui contient des scanners évaluant votre compte par rapport aux critères des Benchmarks pour Snowflake de Center for Internet Security (CIS). Les CIS Benchmarks pour Snowflake sont une liste des meilleures pratiques pour la configuration des comptes Snowflake visant à réduire les vulnérabilités en matière de sécurité. Les CIS Benchmarks pour Snowflake ont été créés grâce à la collaboration de la communauté et au consensus d’experts en la matière.
Pour obtenir une copie du document CIS Benchmarks pour Snowflake, consultez le site Web CIS Benchmark pour Snowflake.
Les recommandations contenues dans les CIS Benchmarks pour Snowflake sont numérotées par section et par recommandation. Par exemple, la première recommandation de la première section est numérotée 1.1. Dans l’onglet Findings, le Centre de confiance fournit des numéros de section pour chaque violation si vous souhaitez faire référence aux CIS Benchmarks de Snowflake.
Ce paquet de scanner s’exécute une fois par jour par défaut et vous pouvez modifier la planification.
Pour plus d’informations sur l’activation de paquets de scanners, le coût pouvant résulter de l’activation des scanners et la façon de modifier la planification d’un paquet de scanner, consultez les références suivantes :
Note
Pour certains CIS Benchmarks pour Snowflake, Snowflake détermine uniquement si vous avez mis en œuvre une mesure de sécurité spécifique, mais n’évalue pas si la mesure de sécurité a été mise en œuvre de manière à atteindre son objectif. Pour ces benchmarks, l’absence de violation ne garantit pas que la mesure de sécurité est mise en œuvre de manière efficace. Les benchmarks suivants n’évaluent pas si vos mesures de sécurité ont été mises en œuvre de manière à atteindre leur objectif, ou bien le Centre de confiance n’effectue pas de vérifications à leur sujet :
Toute la section 2 : Surveillance et alerte
3.1 : assurez-vous qu’une politique réseau au niveau du compte a été configurée pour n’autoriser l’accès qu’à partir d’adresses IP de confiance. Le Trust Center affiche une violation si vous n’avez pas de politique réseau au niveau du compte, mais n’évalue pas si les adresses IP appropriées ont été autorisées ou bloquées.
4.3 : assurez-vous que le paramètre DATA_RETENTION_TIME_IN_DAYS est défini sur 90 pour les données critiques. Le Trust Center affiche une violation si le paramètre DATA_RETENTION_TIME_IN_DAYS associé à Time Travel n’est pas défini sur 90 jours pour le compte ou au moins un objet, mais n’évalue pas quelles données sont considérées comme critiques.
4.10 : assurez-vous que le masquage des données est activé pour les données sensibles. Le Trust Center affiche une violation si le compte n’a pas au moins une politique de masquage, mais n’évalue pas si les données sensibles sont protégées de manière appropriée. Le Centre de confiance n’évalue pas si une politique de masquage est affectée à au moins une table ou une vue.
4.11 : assurez-vous que les politiques d’accès aux lignes sont configurées pour les données sensibles. Le Trust Center affiche une violation si le compte n’a pas au moins une politique d’accès aux lignes, mais n’évalue pas si les données sensibles sont protégées. Le Centre de confiance n’évalue pas si une politique d’accès aux lignes est affectée à au moins une table ou une vue.
Paquet de scanners Threat Intelligence¶
Vous pouvez accéder à des insights de sécurité supplémentaires en activant le paquet de scanner Threat Intelligence, ce qui vous permet de découvrir les utilisateurs à risque en fonction de l’utilisateur TYPE ou ADMIN_USER_TYPE, des méthodes d’authentification, des politiques d’authentification et des politiques réseau utilisés. Ce paquet de scanner fournit une gravité de risque pour chaque utilisateur à risque, pour vous aider à prioriser les utilisateurs à traiter en premier.
Ce paquet de scanner analyse tous les types d’utilisateurs et les classe comme risqués ou non risqués, en fonction de leur type et de leurs conditions.
Tout type d’utilisateur est considéré comme risqué si tous les critères suivants sont remplis :
Il utilise un mot de passe ou une clé publique RSA pour s’authentifier.
Il n’est pas obligé d’utiliser la MFA par une politique d’authentification.
Il n’est pas limité par une politique réseau.
Chaque utilisateur à risque comporte un niveau de gravité, en fonction de son TYPE et de si une politique réseau restrictive est utilisée ou non.
Consultez le tableau ci-dessous pour obtenir une liste des types d’utilisateurs et découvrir quels niveaux de gravité sont signalés dans quelles conditions :
Condition |
Gravité du risque |
|
|---|---|---|
PERSON ou NULL |
Il ne possède pas de politique d’authentification qui applique la MFA, et ne dispose pas d’une politique réseau qui le limite. |
CRITICAL |
Il ne possède pas de politique d’authentification qui applique la MFA, mais dispose d’une politique réseau qui le limite. |
HIGH |
|
SERVICE ou LEGACY_SERVICE |
Il ne possède pas de politique d’authentification qui applique la MFA, et ne dispose pas d’une politique réseau qui le limite. |
CRITICAL |
Il ne possède pas de politique d’authentification qui applique la MFA, mais dispose d’une politique réseau qui le limite. |
MEDIUM |
Ce paquet de scanner s’exécute une fois par jour par défaut et vous pouvez modifier la planification.
Pour plus d’informations sur l’activation de paquets de scanners, le coût pouvant résulter de l’activation des scanners et la façon de modifier la planification d’un paquet de scanner, consultez les références suivantes :