Snowflake의 Tri-Secret Secure 이해하기

Tri-Secret Secure 는 Snowflake 데이터 보호를 위한 복합 마스터 키를 생성하기 위해 Snowflake 계정을 호스팅하는 클라우드 공급자 플랫폼에 있는 Snowflake 관리 키와 고객 관리 키를 조합입니다. 복합 마스터 키는 계정 마스터 키 역할을 하며 계층 구조의 모든 키를 래핑하지만, 복합 마스터 키는 결코 원시 데이터를 암호화하지 않습니다.

복합 마스터 키 계층 구조의 고객 관리 키가 해제되면 Snowflake가 데이터의 암호를 더 이상 해독할 수 없으므로 Snowflake의 표준 암호화보다 높은 수준의 보안 및 제어가 제공됩니다. 이러한 이중 키 암호화 모델을 통해 Snowflake의 기본 제공 사용자 인증과 함께 Tri-Secret Secure 가 제공하는 3가지 수준의 데이터 보호가 가능합니다.

주의

계정에 Tri-Secret Secure 를 활성화하기 위해 Snowflake를 사용하기 전에 고객 관리 키 의 설명과 같이 키를 안전하게 보호할 책임을 신중하게 고려해야 합니다. 궁금한 점이나 우려되는 점이 있으면 Snowflake 지원 에 문의하십시오.

Snowflake도 자체적으로 유지 관리하는 키에 대해 동일한 책임을 진다는 점에 유의하십시오. 서비스의 모든 보안 관련 측면과 마찬가지로, Snowflake는 이러한 책임과 관련하여 최대한 주의하고 경계합니다.

Snowflake의 모든 키는 최고의 보안 인증을 획득할 수 있도록 SOC 2 타입 II, PCI-DSS, HIPAA 및 HITRUST CSF 등과 같은 엄격한 정책에 따라 유지됩니다.

기능 호환성

다음 기능은 Tri-Secret Secure 와 호환되지 않습니다.

자체 등록 개요

CMK 자체 등록 프로세스를 사용하여 Tri-Secret Secure 와 함께 사용할 CMK를 등록하고 활성화할 수 있습니다. 또한, CMK를 Tri-Secret Secure 로 바꿔 사용하기로 결정한 경우, 자체 등록 프로세스를 통해 새로운 CMK의 등록 및 활성화 여부를 알 수 있습니다. 자체 등록 절차를 완료한 후 Snowflake 지원에 연락하여 Snowflake 계정에서 Tri-Secret Secure 를 사용할 수 있도록 설정할 수 있습니다.

자체 등록 프로세스는 다음과 같은 이점을 제공합니다.

  • CMK의 등록 및 인증 단계를 간소화합니다.

  • Tri-Secret Secure 를 통한 CMK 등록 및 활성화 상태에 대한 투명성을 제공합니다.

  • Snowflake 계정을 호스팅하는 클라우드 플랫폼에서 키 관리 서비스(KMS) 서비스와의 작업을 촉진합니다.

  • Tri-Secret Secure 와 함께 사용할 새 CMK를 등록하며 CMK를 순환시킬 수 있습니다.

자체 등록 프로시저

자체 등록 프로시저는 다음과 같습니다.

  1. 고객으로, 다음을 수행합니다.

    1. CMK를 만듭니다.

    2. CMK를 등록합니다.

    3. 클라우드 공급자에 대한 정보를 생성합니다.

    4. KMS 정책을 적용합니다.

    5. Snowflake 계정과 CMK 간의 연결을 확인합니다.

    6. Snowflake 지원에 문의하여 Snowflake 계정에서 Tri-Secret Secure 를 사용하도록 설정합니다.

  2. Snowflake 지원을 통해 등록한 CMK에 따라 Snowflake 계정에서 Tri-Secret Secure 를 사용할 수 있습니다.

이 섹션의 단계에서는 프로시저가 클라우드에 종속되지 않도록 하기 위해 “Amazon Resource Number”(ARN)와 같은 용어를 사용하지 않습니다. Snowflake 계정을 호스팅하는 클라우드 플랫폼에 관계없이 단계는 동일합니다. 그러나 각 클라우드 플랫폼 서비스가 다르기 때문에 일부 단계에 대한 시스템 함수 인자는 다릅니다.

다음 단계를 완료하여 Tri-Secret Secure 에 사용할 CMK를 직접 등록합니다.

  1. Snowflake 계정을 호스팅하는 클라우드 플랫폼의 KMS 서비스에서 CMK를 만듭니다.

  2. Snowflake에서 SYSTEM$REGISTER_CMK_INFO 시스템 함수를 호출하여 KMS 통합에 CMK를 등록합니다.

    Snowflake 계정을 호스팅하는 클라우드 플랫폼에 대한 시스템 함수 인자를 다시 한 번 확인합니다.

  3. SYSTEM$GET_CMK_INFO 시스템 함수를 호출하여 등록한 CMK의 세부 정보를 확인합니다.

  4. SYSTEM$GET_CMK_CONFIG 시스템 함수를 호출하여 클라우드 공급자에게 필요한 정보를 생성합니다.

    이 정책을 통해 Snowflake가 사용자의 CMK에 액세스할 수 있습니다.

    Snowflake 계정이 Microsoft Azure 에 위치한 경우 tenant_id 값을 함수에 전달합니다.

  5. SYSTEM$VERIFY_CMK_INFO 시스템 함수를 호출하여 Snowflake 계정과 CMK의 연결을 확인합니다.

  6. Snowflake 지원 에 문의하여 Snowflake 계정에서 Tri-Secret Secure 를 사용할 수 있도록 설정해 달라고 요청합니다.

    이 때, Tri-Secret Secure 를 사용할 특정 계정을 언급해야 합니다.

Snowflake 지원에 문의한 후 SYSTEM$GET_CMK_INFO 시스템 함수를 호출하여 활성화 상태를 확인할 수 있습니다.

Snowflake 지원을 통해 Snowflake 계정에서 Tri-Secret Secure 를 사용할 수 있게 되면 SYSTEM$GET_CMK_INFO 함수의 출력에 is activated 가 포함됩니다. 이는 사용자의 Snowflake 계정에서 등록한 CMK와 함께 Tri-Secret Secure 가 사용되고 있음을 의미합니다.

Tri-Secret Secure 에 다른 CMK 설정하기

셀프 등록 프로세스를 통해 보안 요구 사항에 따라 다른 CMK를 등록할 수 있습니다. 새로운 CMK를 등록하는 프로세스는 초기 CMK를 등록하고 활성화하기 위해 사용했던 자체 등록 프로세스와 동일합니다.

언제든지 자체 등록 프로세스를 완료하여 사용 중인 CMK를 Tri-Secret Secure 로 업데이트하거나 바꿀 수 있습니다. 새로운 키로 다시 자체 등록 프로세스를 거치면 시스템 함수의 출력이 달라집니다. 차이점은 이미 Tri-Secret Secure 에 등록되어 사용 중인 CMK가 있고 새로운 CMK를 활성화하는 중이라는 점입니다. 자세한 내용은 각 시스템 함수에 대한 가능한 출력을 참조하십시오.

언어: 한국어