TLS 暗号スイート要件の変更

クラス最高のトランスポートレイヤーセキュリティ(TLS)を提供するというSnowflakeの継続的なコミットメントの一環として、 トラフィック管理のためのSnowflakeによるEnvoyへの移行 に説明されているように、コネクタ、ドライバー、または SQL API クライアントによって使用されるすべてのエンドポイントを、オープンソースのEnvoy Proxyに基づく新しい負荷分散スタックに移行しています。

この移行はほとんどのお客様にとって透過的であることが予想されますが、お客様固有の構成によっては、対応が必要となる変更が2つあります。

  1. TLS のサーバーサイド実装の変更。

  2. TLS 1.3 の有効化と、脆弱な TLS 1.2暗号スイートの廃止。

詳細は次のとおりです。

  1. Envoyを使用して終端の TLS にリージョンを切り替えた場合、カスタムセキュリティプロバイダー構成のある一部のSnowflake Javaベースのクライアントで、 TLS 接続の確立に問題が発生することがあります。このような構成はあまり多くありません。接続の問題を減らすために、Javaクライアントは、 SunECBouncyCastleProvider などの楕円曲線暗号(ECC)をサポートするセキュリティプロバイダーが、 java.security ファイルで有効になっていることを確認する必要があります。 SunEC はデフォルトで有効になっています。

    互換性があるようにクライアントが設定されていることを確認する方法の詳細については、Snowflakeナレッジベース記事、 Envoy移行の更新 をご参照ください。

  2. リージョンがEnvoyに移行されると、 TLS 1.3が自動的に利用可能になり、対応可能なクライアントはこの最新バージョンの TLS を使って接続交渉を開始します。TLS 1.2は引き続きサポートされます。

    当初は、できるだけ多くのお客様の後方互換性を維持するため、以下の TLS 1.2暗号スイートがマルチテナントリージョンで引き続きサポートされます。

    強力な暗号スイート(優先。クライアントがサポートしている場合は常に使用):

    • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    脆弱な暗号スイート(後方互換性用。 US 政府リージョンでは利用不可)

    • TLS_RSA_WITH_AES_128_GCM_SHA256

    • TLS_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA

    • TLS_RSA_WITH_AES_128_CBC_SHA256

    • TLS_RSA_WITH_AES_256_CBC_SHA256

    TLS 1.3が有効になってから約1か月後:

    1. この期間中、 TLS 1.3または上記の優先 TLS 1.2暗号スイートのみを使用して接続していることが確認されたアカウント、および新規に作成されたすべてのアカウントについては、パブリック IP アドレスを使用してSnowflakeに接続する際に、 TLS 1.3または強力な暗号スイートを使用した TLS 1.2が必須です。脆弱な TLS 1.2暗号スイートは、オプションではなくなりました。

    2. TLS 1.2暗号スイートで接続していることが確認されたアカウントには、 TLS 1.3または強力な TLS 1.2暗号へのクライアント側のアップグレードを推奨する通信が送信されます。これらのアカウントでは、対象となる通知から最長3か月間、従来の暗号スイートを使用し続けることができます。

    3. 3か月の通知期間終了後、パブリック IP、Private Link/Private Service Connectの両アクセスにおいて、強力な TLS 1.2暗号スイートまたは TLS 1.3の選択が必要になります。

現時点では対応の必要はありませんが、この情報は、アップグレードを必要とするターゲットの通信に先立ち、クライアントが TLS クライアントの実装を積極的にアップグレードできるように、今提供されます。

TLS 1.3では、 TLS ハンドシェイクの高速化や、よりシンプルでセキュアな暗号スイートなど、複数の改良が施されています。これらの変更により、パフォーマンスが向上し、セキュリティが強化されました。TLS 1.3互換クライアントへのアップグレードを強くお勧めします。

この変更の時期

TLS サーバーの実装変更は、2024年7月からすべてのクラウドとリージョンで順次展開されており、現在も進行中です。

影響を受けるお客様には、 TLS の脆弱な暗号スイートがアカウント/リージョンで2025年3月1日までにグローバルで無効化が完了する前に、対象となる通知が送信されます。

参照: 1727

言語: 日本語