Trust Center¶
참고
Snowflake 독자 계정은 지원되지 않습니다.
Trust Center를 사용하여 계정의 보안 위험을 평가하고 모니터링할 수 있습니다. Trust Center는 일정에 따라 스캐너 에 지정된 권장 사항에 따라 계정을 평가하지만, 스캐너 실행 빈도 는 사용자가 변경할 수 있습니다. 계정이 활성화된 스캐너의 권장 사항을 위반하는 경우 Trust Center에서 보안 위험 목록 과 해당 위험을 완화하는 방법을 제공합니다.
일반적인 사용 사례¶
필수 권한¶
ACCOUNTADMIN 역할 이 있는 사용자는 액세스하려는 Trust Center 탭에 따라 해당 역할에 SNOWFLAKE.TRUST_CENTER_VIEWER 또는 SNOWFLAKE.TRUST_CENTER_ADMIN 애플리케이션 역할 을 부여해야 합니다.
Trust Center의 특정 탭에 액세스하는 데 필요한 애플리케이션 역할에 대한 정보는 다음 테이블을 참조하십시오.
Trust Center 탭 |
필수 애플리케이션 역할 |
|---|---|
Findings |
|
Scanner Packages |
|
예를 들어, Findings 탭에 액세스하는 별도의 역할과 Scanner Packages 탭에 액세스하는 별도의 역할을 만들고 부여하려면 ACCOUNTADMIN 역할을 사용하여 다음 명령을 실행하면 됩니다.
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
비공개 연결 사용하기¶
Trust Center는 비공개 연결을 지원합니다. 자세한 내용은 비공개 연결 사용하기 섹션을 참조하십시오.
결과¶
Trust Center는 다음 정보를 제공하는 Findings 탭을 제공합니다.
낮음, 중간, 높음, 심각도별로 색상이 구분된 시간 경과에 따른 스캐너 위반 그래프.
발견된 각 위반 사항에 대한 권장 사항을 담은 대화형 목록. 각 권장 사항에는 위반 사항, 스캐너를 마지막으로 실행한 날짜 및 위반 사항을 수정하는 방법에 대한 세부 정보가 포함되어 있습니다.
검색 결과를 통해 활성화된 스캐너 패키지 의 요구 사항을 위반하는 계정 내 Snowflake 구성을 식별할 수 있습니다. Trust Center는 각 위반 사항에 대해 위반 사항을 시정하는 방법을 설명합니다. 위반 사항을 수정한 후에도 위반 사항을 보고한 스캐너가 포함된 스캐너 패키지의 다음 예약 실행이 시작되거나 스캐너 패키지를 수동으로 실행 할 때까지 위반 사항이 Findings 탭에 계속 표시됩니다.
Findings 탭에 액세스하려면 특정 애플리케이션 역할이 필요합니다. 자세한 내용은 필수 권한 섹션을 참조하십시오.
스캐너¶
스캐너는 계정을 구성한 방식에 따라 계정의 보안 위험을 검사하는 예약된 백그라운드 프로세스입니다. 스캐너는 스캐너 패키지로 그룹화됩니다. 스캐너에는 계정에서 어떤 보안 위험을 검사하는지에 대한 정보와 해당 위험이 포함된 스캐너 패키지에 대한 정보가 포함되어 있습니다.
스캐너 패키지에는 스캐너 패키지를 활성화 할 때 실행되는 스캐너에 대한 설명과 목록이 포함되어 있습니다. 스캐너 패키지를 활성화하면 구성된 일정에 관계없이 스캐너 패키지가 즉시 실행됩니다.
기본적으로 스캐너 패키지는 Security Essentials 스캐너 패키지 를 제외하고 비활성화되어 있습니다.
스캐너 패키지는 일정에 따라 실행됩니다. Security Essentials 스캐너 패키지 스캐너 패키지의 일정은 변경할 수 없지만, 다음 스캐너 패키지의 일정은 변경할 수 있습니다.
일정을 변경하려면 먼저 스캐너 패키지를 활성화해야 합니다.
Scanner Packages 탭에 액세스하려면 특정 애플리케이션 역할이 필요합니다. 자세한 내용은 요구 사항 의 테이블을 참조하십시오.
다음과 같은 스캐너 패키지를 사용할 수 있습니다.
Security Essentials 스캐너 패키지¶
Security Essentials 스캐너 패키지는 비용이 발생하지 않는 무료 스캐너 패키지입니다. 이 스캐너 패키지는 계정을 스캔하여 Snowflake에서 권장하는 계정 구성을 확인하고, 비밀번호 인증을 사용하는 모든 사용자에 대해 다단계 인증(MFA)이 켜져 있는지 확인합니다.
이 스캐너는 TYPE 속성이 PERSON 또는 NULL로 설정된 사용자만 스캔합니다.
이 스캐너 패키지는 2주마다 실행되며 일정을 변경할 수 없습니다.
기본적으로 이 스캐너 패키지는 활성화되어 있으며 비활성화할 수 없습니다.
Security Essentials 스캐너 패키지에는 서버리스 컴퓨팅 비용이 발생하지 않습니다.
CIS Benchmarks 스캐너 패키지¶
인터넷 보안 센터(CIS) Snowflake Benchmarks에 대해 계정을 평가하는 스캐너가 포함된 CIS Benchmarks 스캐너 패키지를 활성화하여 추가 보안 인사이트에 액세스할 수 있습니다. CIS Snowflake 벤치마크는 보안 취약성을 줄이기 위한 Snowflake 계정 구성의 모범 사례 목록입니다. CIS Snowflake 벤치마크는 커뮤니티의 협업과 주제별 전문가들의 합의를 통해 생성되었습니다.
CIS Snowflake Benchmarks 문서의 사본을 얻으려면 CIS Snowflake Benchmark 웹사이트 를 참조하십시오.
CIS Snowflake Benchmarks의 권장 사항은 섹션 및 권장 사항별로 번호가 매겨져 있습니다. 예를 들어, 첫 번째 섹션의 첫 번째 권장 사항은 1.1 로 번호가 지정됩니다. Findings 탭에서 Trust Center는 각 위반 사항에 대한 섹션 번호를 제공하여 Snowflake CIS Benchmarks를 참조할 수 있도록 합니다.
이 스캐너 패키지는 기본적으로 하루에 한 번 실행되며, 일정을 변경할 수 있습니다.
스캐너 패키지 활성화에 대한 정보, 활성화된 스캐너에서 발생할 수 있는 비용, 스캐너 패키지 일정을 변경하는 방법에 대한 자세한 내용은 다음 참조 자료를 참조하십시오.
참고
특정 Snowflake CIS 벤치마크의 경우, Snowflake는 특정 보안 조치를 구현했는지 여부만 확인하고, 보안 조치가 목적을 달성하는 방식으로 구현되었는지 여부는 평가하지 않습니다. 이러한 벤치마크의 경우 위반 사례가 없다고 해서 보안 조치가 효과적인 방식으로 구현되었다고 보장할 수 없습니다. 다음 벤치마크는 보안 구현이 목표를 달성하는 방식으로 구현되었는지 평가하지 않거나, Trust Center에서 해당 벤치마크에 대한 검사를 수행하지 않습니다.
섹션 2 모두: 모니터링 및 경고
3.1: 신뢰할 수 있는 IP 주소에서만 액세스를 허용하도록 계정 수준의 네트워크 정책을 구성했는지 확인하세요. 계정 수준 네트워크 정책 이 없는 경우 Trust Center는 위반을 표시하지만, 적절한 IP 주소가 허용되었는지 또는 차단되었는지는 평가하지 않습니다.
4.3: 중요한 데이터의 경우 DATA_RETENTION_TIME_IN_DAYS 매개 변수가 90으로 설정되어 있는지 확인합니다. Time Travel 과 관련된 DATA_RETENTION_TIME_IN_DAYS 매개 변수가 계정 또는 적어도 하나의 오브젝트에 대해 90일로 설정되어 있지 않지만, 어떤 데이터가 중요한 것으로 간주되는지 평가하지 않는 경우 Trust Center에서 위반을 표시합니다.
4.10: 민감한 데이터에 대해 데이터 마스킹이 활성화되어 있는지 확인합니다. 계정에 마스킹 정책 이 하나 이상 없지만, 민감한 데이터가 적절하게 보호되고 있는지 평가하지 않는 경우 Trust Center에서 위반을 표시합니다. Trust Center는 마스킹 정책이 적어도 하나의 테이블이나 뷰에 할당되었는지 평가하지 않습니다.
4.11: 민감한 데이터에 대한 행 액세스 정책이 구성되어 있는지 확인합니다. 계정에 행 액세스 정책 이 하나 이상 없지만, 민감한 데이터가 보호되고 있는지 평가하지 않는 경우 Trust Center에서 위반을 표시합니다. Trust Center는 행 액세스 정책이 적어도 하나의 테이블이나 뷰에 할당되었는지 평가하지 않습니다.
Threat Intelligence 스캐너 패키지¶
Threat Intelligence 스캐너 패키지를 활성화하여 추가 보안 인사이트에 액세스할 수 있습니다. 이를 사용하여 TYPE 또는 ADMIN_USER_TYPE, 인증 메서드, 인증 정책 및 네트워크 정책 을 사용한 사용자를 기반으로 위험 사용자를 찾을 수 있습니다. 이 스캐너 패키지는 의심스러운 각 사용자에 대한 위험 심각도를 제공하여 어떤 사용자를 먼저 처리할지 우선순위를 정할 수 있도록 도와줍니다.
이 스캐너 패키지는 모든 유형의 사용자를 스캔하고, 사용자의 유형과 조건에 따라 위험 여부에 따라 위험군과 위험군 외의 사용자를 분류합니다.
다음 기준이 모두 참인 경우 모든 유형의 사용자는 위험한 것으로 간주됩니다.
이러한 사용자는 비밀번호 또는 RSA 공개 키를 사용하여 인증합니다.
그리고 인증 정책에 의해 MFA를 사용하도록 강제 적용되지 않습니다.
네트워크 정책에 의해 제한을 받지 않습니다.
각 위험 사용자는 TYPE과 제한적인 네트워크 정책 사용 여부에 따라 심각도가 정해집니다.
아래 테이블에서 사용자 유형 목록과 어떤 조건에서 어떤 심각도 수준이 보고되는지 확인합니다.
조건 |
위험 심각도 |
|
|---|---|---|
PERSON 또는 NULL |
이러한 사용자에게는 MFA를 적용하는 인증 정책이 없으며, 이를 제한하는 네트워크 정책도 없습니다. |
CRITICAL |
MFA를 강제하는 인증 정책은 없지만, 이를 제한하는 네트워크 정책은 있습니다. |
HIGH |
|
SERVICE 또는 LEGACY_SERVICE |
이러한 사용자에게는 MFA를 적용하는 인증 정책이 없으며, 이를 제한하는 네트워크 정책도 없습니다. |
CRITICAL |
MFA를 강제하는 인증 정책은 없지만, 이를 제한하는 네트워크 정책은 있습니다. |
MEDIUM |
이 스캐너 패키지는 기본적으로 하루에 한 번 실행되며, 일정을 변경할 수 있습니다.
스캐너 패키지 활성화에 대한 정보, 활성화된 스캐너에서 발생할 수 있는 비용, 스캐너 패키지 일정을 변경하는 방법에 대한 자세한 내용은 다음 참조 자료를 참조하십시오.