Tri-Secret Secure in Snowflake

Tri-Secret Secure 개요

Snowflake의 기본 제공 사용자 인증과 함께 이중 키 암호화 모델을 사용하면 *Tri-Secret Secure*라고 하는 3단계의 데이터 보호가 가능합니다. Tri-Secret Secure는 Snowflake의 표준 암호화보다 높은 수준의 보안과 제어를 제공합니다.

Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.

주의

Before engaging with Snowflake to enable Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in 고객 관리 키. If the customer managed key (CMK) in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.

궁금한 점이나 우려 사항이 있는 경우 `Snowflake 지원`_에 문의하세요.

Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.

Snowflake의 모든 키는 최고의 보안 인증을 획득할 수 있도록 SOC 2 타입 II, PCI-DSS, HIPAA 및 HITRUST CSF 등과 같은 엄격한 정책에 따라 유지됩니다.

하이브리드 테이블과의 Tri-Secret Secure 호환성

계정에서 하이브리드 테이블을 생성하고자 하며 TSS가 이미 활성화되어 있거나 활성화할 예정인 경우 전용 저장소 모드를 활성화해야 합니다. 자세한 내용은 TSS용 하이브리드 테이블 전용 저장소 모드 섹션을 참조하십시오.

Understanding CMK self-registration with support activation of Tri-Secret Secure

You can register a CMK for use with Tri-Secret Secure using Snowflake system functions. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. After you self-register your CMK, you can contact Snowflake Support to enable your Snowflake account to use Tri-Secret Secure with your CMK.

CMK self-registration with support activation provides the following benefits to you:

  • CMK의 등록 및 인증 단계를 간소화합니다.

  • Tri-Secret Secure 를 통한 CMK 등록 및 활성화 상태에 대한 투명성을 제공합니다.

  • Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.

  • Enables you to rotate your CMK and register the new CMK for use with Tri-Secret Secure.

다음 목록은 지원 활성화를 통한 CMK 자체 등록이 작동하는 방식을 보여줍니다.

  1. As the customer, you do the following actions:

    1. CMK를 만듭니다.

    2. CMK를 등록합니다.

    3. 클라우드 공급자에 대한 정보를 생성합니다.

    4. KMS 정책을 적용합니다.

    5. Snowflake 계정과 CMK 간의 연결을 확인합니다.

    6. Snowflake 지원에 문의하여 Snowflake 계정에서 Tri-Secret Secure 를 사용하도록 설정합니다.

  2. Snowflake 지원을 통해 등록한 CMK에 따라 Snowflake 계정에서 Tri-Secret Secure 를 사용할 수 있습니다.

The steps in the following section avoid terms like Amazon Resource Number (ARN) to keep the procedure cloud agnostic. The steps are the same regardless of the cloud platform that hosts your Snowflake account. However, the system function arguments for some of the steps are different because each cloud platform service is different.

Self-register a CMK

To self-register your CMK for use with Tri-Secret Secure, complete the following steps:

  1. 클라우드 공급자에서 CMK를 생성합니다.

    Do this step in the key management service (KMS) on the cloud platform that hosts your Snowflake account.

  2. Snowflake에서 SYSTEM$REGISTER_CMK_INFO 시스템 함수를 호출하여 KMS 통합에 CMK를 등록합니다.

    Snowflake 계정을 호스팅하는 클라우드 플랫폼에 대한 시스템 함수 인자를 다시 한 번 확인합니다.

  3. In Snowflake, call the SYSTEM$GET_CMK_INFO system function to view the details for the CMK that you registered.

  4. In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function to generate the required information for the cloud provider.

    이 정책을 통해 Snowflake가 사용자의 CMK에 액세스할 수 있습니다.

    참고

    If Microsoft Azure hosts your Snowflake account, you must pass the tenant_id value into the function.

  5. In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function to confirm the connectivity between your Snowflake account and your CMK.

  6. Snowflake 지원 에 문의하여 Snowflake 계정에서 Tri-Secret Secure 를 사용할 수 있도록 설정해 달라고 요청합니다.

    이 때, Tri-Secret Secure 를 사용할 특정 계정을 언급해야 합니다.

|tri-secret-secure|를 통해 이미 활성화된 CMK에 대한 비공개 연결을 활성화하려는 경우 자세한 내용은 활성 CMK에 대한 비공개 연결 엔드포인트 활성화 섹션을 참조하세요.

CMK 상태 보기

You can call SYSTEM$GET_CMK_INFO at any time, to check the registration and activation status of your CMK.

예를 들어, SYSTEM$GET_CMK_INFO 호출 시점에 따라 이 함수는 다음 출력을 반환합니다.

  • Tri-Secret Secure 활성화 직후 ``…is being activated…``를 반환합니다. 즉, 키 재생성이 완료되지 않았습니다.

  • After the Tri-Secret Secure activation process completes, returns output that includes ...is activated.... This means that your Snowflake account is using Tri-Secret Secure with the CMK that you registered.

Change the CMK for Tri-Secret Secure

Snowflake 시스템 함수는 보안 요구 사항에 따라 고객 관리형 키(CMK)를 변경하도록 지원합니다. 초기 CMK 등록에 사용한 단계와 동일한 단계를 사용하여 새 CMK를 등록합니다. 새 키를 사용하여 해당 단계를 다시 완료하면 시스템 함수의 출력이 달라집니다. 자체 등록 중에 호출하는 각 시스템 함수의 출력을 읽고 키가 변경되었는지 확인합니다. 예를 들어, CMK를 변경하고 SYSTEM$GET_CMK_INFO 함수를 호출하면 ``…is being rekeyed…``가 포함된 메시지가 반환됩니다.

Integrate Tri-Secret Secure with AWS external key stores

Snowflake는 |tri-secret-secure|와 AWS 외부 키 저장소를 통합하여 고객 관리형 키를 AWS 외부에서 안전하게 저장하고 관리할 수 있도록 지원합니다. Snowflake는 Thales HSM(Hardware Security Module) 및 Thales CCKM(CipherTrust Cloud Key Manager) 데이터 암호화 제품만 공식적으로 테스트하고 지원합니다.

For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.

언어: 한국어