Trust Center overview¶
Trust Center를 사용하여 Snowflake 계정의 잠재적인 보안 위험을 평가, 모니터링, 축소할 수 있습니다. Trust Center는 :ref:`스캐너<label-trust_center_scanners>`에 지정된 권장 사항에 대해 각 Snowflake 계정을 평가합니다. 스캐너는 *조사 결과*를 생성할 수 있습니다. :ref:`label-trust_center_findings`는 Snowflake 계정에서 잠재적인 보안 위험을 줄이는 방법에 대한 정보를 제공합니다. 모든 스캐너 실행에서 결과가 생성되는 것은 아닙니다. 보안 문제를 찾지 못하는 스캐너를 실행하면 Trust Center에 결과가 생성되지 않습니다. Trust Center를 사용하여 계정의 보안 위험을 모니터링하는 데 도움이 되는 :doc:`사전 알림을 구성</user-guide/trust-center/notifications-trust-center>`할 수도 있습니다.
Common Trust Center use cases¶
Trust Center를 사용하여 Snowflake 계정의 보안 위험을 줄이는 방법에 대한 자세한 내용은 다음 항목을 참조하세요.
제한 사항¶
Snowflake reader accounts aren’t supported.
Required roles¶
To view or manage scanners and their findings by using the Trust Center, a user with the ACCOUNTADMIN role
must grant the SNOWFLAKE.TRUST_CENTER_VIEWER or SNOWFLAKE.TRUST_CENTER_ADMIN application role to your role.
다음 테이블에는 Trust Center 사용자 인터페이스를 사용하여 수행하는 일반적인 작업 및 이러한 작업을 수행하는 데 필요한 최소한의 애플리케이션 역할이 나열되어 있습니다.
참고
:doc:`조직 계정</user-guide/organization-accounts>`에서 Trust Center를 사용하는 경우 ACCOUNTADMIN이 아닌 GLOBALORGADMIN 역할을 사용하여 Trust Center 애플리케이션 역할을 부여합니다.
Trust Center의 특정 탭에 액세스하는 데 필요한 애플리케이션 역할에 대한 정보는 다음 테이블을 참조하십시오.
작업 |
Trust Center 탭 |
Minimum required application role |
참고 |
|---|---|---|---|
Detections |
|
|
|
Violations |
|
|
|
Violations |
|
없습니다. |
|
Manage scanners |
|
없습니다. |
|
Manage scanners |
|
없습니다. |
|
Organization |
|
The Organization tab is visible only in an Organization account. |
Violations 및 Detections 에 대한 뷰 전용 액세스 권한을 제공하는 사용자 지정 역할을 생성할 수 있습니다. Violations 및 Manage scanners 탭을 사용하여 위반 사항 및 스캐너를 관리하는 별도의 관리자 수준 역할을 생성할 수도 있습니다. 예를 들어, 이러한 두 개의 서로 다른 역할을 생성하려면 다음 명령을 실행합니다.
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
참고
이 예제는 Trust Center를 사용하기 위한 완전한 역할 계층 구조를 권장하기 위한 것이 아닙니다. 자세한 내용은 :doc:`/user-guide/trust-center/using-the-trust-center`의 각 하위 섹션을 참조하세요.
Using private connectivity with Trust Center¶
Trust Center는 비공개 연결을 지원합니다. 자세한 내용은 비공개 연결 사용하기 섹션을 참조하십시오.
Trust Center findings¶
Trust Center findings include two kinds of findings: violations and detections. Both findings are generated by scanners as they run in your Snowflake accounts.
You can review findings at the organization level or you can examine more closely the findings for a specific account.
참고
현재는 조직 수준에서 감지 사항 조사 결과를 볼 수 없습니다.
Organization-level findings¶
The Organization tab provides insights into the violation findings that are generated in all of the accounts in the organization. This tab includes the following information:
조직의 위반 수.
가장 심각한 위반 사항이 있는 계정.
조직의 각 계정에 대한 위반 수. 계정을 선택하여 계정의 개별 위반 사항을 드릴다운할 수 있습니다.
참고
You can’t use the Organization tab to resolve or reopen violations. To perform these actions, sign in to the account with the violation, and then access the Violations tab.
Organization 탭에 액세스하려면 다음 요구 사항을 충족해야 합니다.
계정 수준 결과¶
label-trust_center_scanners`는 Trust Center를 통해 위반 사항 및 감지 사항 조사 결과를 찾아 보고합니다. 위반 사항은 시간이 지나도 지속되며 스캐너의 요구 사항을 준수하지 않는 구성을 나타냅니다. 감지 사항은 한 번 발생하며 고유한 이벤트를 나타냅니다. Trust Center를 사용하여 계정에 대한 결과를 보고 관리할 수 있습니다. 자세한 내용은 :doc:/user-guide/trust-center/using-the-trust-center` 섹션을 참조하십시오.
위반¶
스캐너는 언제든지 엔터티를 검사하고 현재 구성을 기반으로만 엔터티가 위반인지 여부를 결정할 수 있습니다. 위반 사항을 수정하도록 구성을 변경하지 않는 한 스캐너는 위반 사항을 계속 보고합니다. 예를 들어, 일부 사용자가 다단계 인증(MFA)을 구성하지 않은 경우 스캐너는 위반 사항을 보고합니다.
The Violations tab provides account-level information about scanner results. It includes the following information:
낮음, 중간, 높음, 심각도별로 색상이 구분된 시간 경과에 따른 스캐너 위반 그래프.
An interactive list for each violation that is found. Each row in the list contains details about the violation, when the scanner was last run, and how to remediate the violation.
위반을 통해 활성화된 스캐너 패키지 의 요구 사항을 위반하는 계정 내 Snowflake 구성을 식별할 수 있습니다. Trust Center는 각 위반 사항에 대해 위반 사항을 시정하는 방법을 설명합니다. 위반 사항을 수정한 후에도 위반 사항을 보고한 스캐너가 포함된 스캐너 패키지의 다음 예약 실행이 시작되거나 스캐너 패키지를 수동으로 실행 할 때까지 위반 사항이 Violations 탭에 계속 표시됩니다.
When you are signed in to the account with the violations, you can use the Violations tab to perform the following actions:
자신에게 적용되는 위반 사항을 분류하고 증거 또는 진행률 노트를 기록합니다.
이유와 관계없이 위반 사항을 해결하거나 다시 시작하고, 감사 필요성을 위해 타당성을 기록합니다.
Sort or filter violations by severity, scanner package, scanner version, scanned time, updated time, or status.
위반 상태 변경에 대한 이유를 추가하여 수행한 작업에 대한 명확한 기록을 유지합니다.
구성을 변경하여 위반 사항을 수정할 수 있습니다. Trust Center는 위반 사항에 대한 해결 방법을 제안합니다. 문제를 해결한 후에는 Trust Center에서 더 이상 위반 사항을 보고하지 않습니다. 해당 상태를 :ui:`Resolved`로 변경하여 :ref:`위반 사항 조사 결과의 수명 주기<label-managing_findings>`를 관리할 수도 있습니다. 해결된 위반 사항에 대해서는 이메일 알림이 차단됩니다. 이러한 차단을 통해, 기본 구성 오류를 수정하기 위해 작업하는 동안 불필요한 알림을 받지 않을 수 있습니다. 해결된 위반 사항 조사 결과는 더 이상 알림을 생성하지 않습니다.
감지¶
미리 보기 기능 — 공개
모든 계정에서 사용 가능합니다.
*감지*는 특정 시간에 발생한 이벤트를 나타냅니다. 다음 결과는 감지 사항으로 보고될 수 있는 이벤트의 예입니다.
인식할 수 없는 IP 주소에서 시작된 로그인 이벤트입니다.
대량의 데이터가 외부 스테이지로 전송되었습니다.
작업의 두 시점 사이에서 오류율이 높았습니다.
스캐너는 이벤트 트리거를 기반으로 각 감지 사항을 보고합니다. 예를 들어 스캐너는 의심스러운 로그인 이벤트를 감지하면 감지 사항을 보고하고 다른 시간에 다른 의심스러운 로그인 이벤트를 감지하면 별도의 감지 사항을 보고합니다. 감지의 경우 Trust Center는 이벤트에 대한 정보를 제공합니다. 이벤트는 고유하고 과거에 발생했으므로 감지 사항을 직접 수정할 수 없습니다.
Trust Center에서 제공하는 정보를 기반으로 감지 사항이 유의미한지 여부를 조사할 수 있습니다. 감지 사항이 유의미한 경우 향후 유사한 이벤트를 방지하기 위한 조치를 취할 수 있습니다.
참고
감지 사항을 보고한 스캐너가 다시 실행되면 유사한 감지 사항을 보고할 수도 있고 보고하지 않을 수도 있습니다. 현재는 감지 사항의 수명 주기를 관리할 수 없습니다.
감지 사항 관리에 대한 자세한 내용은 View detections 섹션을 참조하세요.
스캐너¶
*스캐너*는 다음 기준에 따라 계정의 보안 위험을 확인하는 백그라운드 프로세스입니다.
계정을 구성한 방법.
변칙 이벤트.
Trust Center는 스캐너를 :ref:`스캐너 패키지<label-trust_center_scanner_packages>`로 그룹화합니다. 스캐너 세부 정보는 스캐너가 계정에서 검사하는 보안 위험, 스캐너 실행 시간, 계정에 대한 스캐너의 조사 결과 알림을 받는 사용자의 정보를 제공합니다. 특정 스캐너에 대한 세부 정보를 보려면 :ref:`label-trust_center_view_scanner_detail_descriptions`의 지침을 따릅니다.
일정 기반 스캐너¶
Schedule-based scanners run at specific times, according to their schedules. You must enable a scanner package before you can change the schedule for a scanner. For more information about changing the schedule for a scanner, see Change the schedule for a scanner.
이벤트 기반 스캐너¶
미리 보기 기능 — 공개
모든 계정에서 사용 가능합니다.
*이벤트 기반 스캐너*는 관련 이벤트를 기반으로 감지를 생성합니다. 예를 들어 비정상적인 IP 주소에서 로그인을 감지하는 스캐너 및 민감한 매개 변수의 변경 사항을 감지하는 스캐너가 있습니다. 일정이 아닌 이벤트가 이벤트 기반 스캐너가 생성하는 감지를 구동하므로 이벤트 기반 스캐너를 예약할 수 없습니다. Trust Center는 이벤트 발생 시간으로부터 1시간 이내에 이벤트 기반 스캐너에서 생성된 감지 사항을 보고합니다.
이벤트 기반 스캐너는 일정 기반 스캐너가 놓칠 수 있는 이벤트를 감지할 수 있습니다. 예를 들어, 10분마다 한 번씩 부울 매개 변수의 TRUE 또는 FALSE 상태를 감지하는 일정 기반 스캐너를 생각해 보겠습니다. 해당 매개 변수의 값 상태를 :code:`TRUE`에서 :code:`FALSE`로 전환(상태를 변경)한 후 10분 이내에 :code:`TRUE`로 다시 돌아가면 일정 기반 스캐너에서 감지되지 않습니다. 각 상태 변경을 감지하는 이벤트 기반 스캐너는 두 이벤트를 모두 감지합니다.
For a current list of event-driven scanners, see Threat Intelligence 스캐너 패키지.
참고
이벤트 기반 스캐너는 :doc:`/sql-reference/account-usage/metering_history`에서 여러 항목으로 나타날 수 있습니다.
Scanner Packages¶
*스캐너 패키지*에는 스캐너 패키지를 활성화 할 수 있습니다. 역할에는 Manage scanners 탭을 사용하여 스캐너를 관리하기 위한 SNOWFLAKE.TRUST_CENTER_ADMIN 애플리케이션 역할이 있어야 합니다. 자세한 내용은 Required roles 섹션을 참조하십시오.
다음과 같은 스캐너 패키지를 사용할 수 있습니다.
For information about enabling scanner packages, the cost that can occur from enabled scanners, how to change the schedule for a scanner package, and how to view the list of current scanners in a package, see the following topics:
Scanner packages are deactivated by default, except for the Security Essentials 스캐너 패키지.
Security Essentials 스캐너 패키지¶
The Security Essentials scanner package scans your account to check whether you have set up the following recommendations:
You have an authentication policy that enforces all human users to enroll in MFA if they use passwords to authenticate.
모든 사람 사용자는 비밀번호를 사용하여 인증하는 경우 MFA 에 등록됩니다.
You set up an account-level network policy that was configured to only allow access from trusted IP addresses.
계정이 Native App에 대한 이벤트 공유를 활성화한 경우 이벤트 테이블을 설정하므로, 계정이 애플리케이션 공급자와 공유되는 로그 메시지 및 이벤트 정보의 복사본을 수신합니다.
This scanner package only scans users that are human users; that is, user objects with a TYPE property of PERSON or NULL. For more information, see 사용자 유형.
The Security Essentials scanner package:
기본적으로 활성화되어 있습니다. 비활성화할 수 없습니다.
Runs once a month. You can’t change this schedule.
Is a free scanner package that doesn’t incur serverless compute cost.
CIS Benchmarks 스캐너 패키지¶
인터넷 보안 센터(CIS) Snowflake Benchmarks에 대해 계정을 평가하는 스캐너가 포함된 CIS Benchmarks 스캐너 패키지를 활성화하여 추가 보안 인사이트에 액세스할 수 있습니다. CIS Snowflake 벤치마크는 보안 취약성을 줄이기 위한 Snowflake 계정 구성의 모범 사례 목록입니다. CIS Snowflake 벤치마크는 커뮤니티의 협업과 주제별 전문가들의 합의를 통해 생성되었습니다.
CIS Snowflake Benchmarks 문서의 사본을 얻으려면 CIS Snowflake Benchmark 웹사이트 를 참조하십시오.
CIS Snowflake Benchmarks의 권장 사항은 섹션 및 권장 사항별로 번호가 매겨져 있습니다. 예를 들어, 첫 번째 섹션의 첫 번째 권장 사항은 1.1 로 번호가 지정됩니다. Violations 탭에서 Trust Center는 각 위반 사항에 대한 섹션 번호를 제공하여 Snowflake CIS Benchmarks를 참조할 수 있도록 합니다.
이 스캐너 패키지는 기본적으로 하루에 한 번 실행되지만 예약을 변경할 수 있습니다.
For information about enabling scanner packages, the cost that can occur from enabled scanners, how to change the schedule for a scanner package, and how to view the list of current scanners in a package, see the following topics:
참고
특정 Snowflake CIS 벤치마크의 경우, Snowflake는 특정 보안 조치를 구현했는지 여부만 확인하고, 보안 조치가 목적을 달성하는 방식으로 구현되었는지 여부는 평가하지 않습니다. 이러한 벤치마크의 경우 위반 사례가 없다고 해서 보안 조치가 효과적인 방식으로 구현되었다고 보장할 수 없습니다. 다음 벤치마크는 보안 구현이 목표를 달성하는 방식으로 구현되었는지 평가하지 않거나, Trust Center에서 해당 벤치마크에 대한 검사를 수행하지 않습니다.
섹션 2의 모든 항목: 활동을 모니터링하고 주의가 필요한 활동을 해결하기 위해 Snowflake를 구성하기 위한 권장 사항을 제공합니다. 이러한 스캐너에는 위반 사항이 Snowsight 콘솔에 나타나지 않는 복잡한 쿼리가 포함되어 있습니다.
보안 담당자는
snowflake.trust_center.findings뷰에 대해 다음 쿼리를 실행하여 섹션 2 스캐너에서 유용한 인사이트를 도출할 수 있습니다.SELECT start_timestamp, end_timestamp, scanner_id, scanner_short_description, impact, severity, total_at_risk_count, AT_RISK_ENTITIES FROM snowflake.trust_center.findings WHERE scanner_type = 'Threat' AND completion_status = 'SUCCEEDED' ORDER BY event_id DESC;
출력의
AT_RISK_ENTITIES열에는 검토 또는 수정이 필요한 활동에 대한 세부 정보가 포함된 JSON 내용이 포함됩니다. 예를 들어, CIS_BENCHMARKS_CIS2_1 스캐너는 높은 권한 부여를 모니터링하며, 보안 담당자는 이 스캐너가 보고하는 다음 샘플 이벤트와 같은 이벤트를 주의 깊게 검토해야 합니다.[ { "entity_detail": { "granted_by": joe_smith, "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "modified_on": "2025-01-01 07:00:00.000 Z", "role_granted": "ACCOUNTADMIN" }, "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_object_type": "ROLE" } ]
Snowflake는 섹션 2 스캐너에 대한 다음과 같은 모범 사례를 제안합니다.
충분한 모니터링 조치가 마련되어 있다고 확신하지 않는 한 섹션 2 스캐너를 비활성화하지 마십시오.
Inspect the violations of section 2 scanners on a regular cadence or configure a monitoring task for detections. Specifically, configure monitoring as described in the
SUGGESTED_ACTIONcolumn of thesnowflake.trust_center.findingsview.
3.1: Ensure that an account-level network policy was configured to only allow access from trusted IP addresses. Trust Center displays a violation if you don’t have an account-level network policy, but doesn’t evaluate whether the appropriate IP addresses have been allowed or blocked.
4.3: 중요한 데이터의 경우 DATA_RETENTION_TIME_IN_DAYS 매개 변수가 90으로 설정되어 있는지 확인하십시오. Time Travel 과 관련된 DATA_RETENTION_TIME_IN_DAYS 매개 변수가 계정 또는 적어도 하나의 오브젝트에 대해 90일로 설정되어 있지 않지만, 어떤 데이터가 중요한 것으로 간주되는지 평가하지 않는 경우 Trust Center에서 위반을 표시합니다.
4.10: 민감한 데이터에 대해 데이터 마스킹이 활성화되어 있는지 확인합니다. 계정에 마스킹 정책 이 하나 이상 없지만, 민감한 데이터가 적절하게 보호되고 있는지 평가하지 않는 경우 Trust Center에서 위반을 표시합니다. Trust Center는 마스킹 정책이 적어도 하나의 테이블이나 뷰에 할당되었는지 평가하지 않습니다.
4.11: 민감한 데이터에 대해 행 액세스 정책이 구성되어 있는지 확인합니다. 계정에 행 액세스 정책 이 하나 이상 없지만, 민감한 데이터가 보호되고 있는지 평가하지 않는 경우 Trust Center에서 위반을 표시합니다. Trust Center는 행 액세스 정책이 적어도 하나의 테이블이나 뷰에 할당되었는지 평가하지 않습니다.
Threat Intelligence 스캐너 패키지¶
Threat Intelligence 스캐너 패키지를 활성화하여 Trust Center에서 추가적인 보안 인사이트에 액세스할 수 있습니다. 이 패키지는 다음 기준에 따라 위험을 식별합니다.
사용자 유형: Snowflake 계정 사용자가 사람인지 서비스인지 여부.
Authentication methods or policies: Whether a user logs in to their account with a password without being enrolled in MFA.
로그인 활동: 사용자가 최근에 로그인하지 않았는지 여부.
비정상적인 실패율: 사용자의 인증 실패 또는 작업 오류가 많은지 여부.
새로운! 감지 사항 조사 결과: 감지 사항 조사 결과를 보고하는 모든 새 스캐너.
Specific scanners in the Threat Intelligence package identify users that demonstrate potentially risky behavior as risky. The following table provides examples:
Threat Intelligence scanners¶
Scanner |
타입 |
설명 |
|---|---|---|
비밀번호 전용 로그인에서 인간 사용자 마이그레이션하기 |
일정 기반 |
Identifies human users who (a) haven’t set up MFA and signed in with a password at least once in the past 90 days and (b) have a password but haven’t set up MFA and haven’t signed in for 90 days. |
비밀번호 전용 로그인에서 레거시 서비스 사용자 마이그레이션하기 |
일정 기반 |
Identifies legacy service users who have a password and (a) have signed in with only a password at least once in the past 90 days and (b) haven’t signed in for 90 days. |
인증 실패 횟수가 많은 사용자 식별하기 |
일정 기반 |
Identifies users with a high number of authentication failures or job errors, which might indicate attempted takeovers of an account, misconfigurations, exceeded quotas, or permission issues. Provides a risk-severity finding and a risk-mitigation recommendation. |
New Threat Intelligence scanners¶
미리 보기 기능 — 공개
모든 계정에서 사용 가능합니다.
일정 기반 스캐너 및 :ref:`이벤트 기반 스캐너<label-trust_center_scanners_event_driven>`는 모두 감지 사항을 보고할 수 있습니다. 이 미리 보기에는 두 가지 유형의 새 스캐너가 추가됩니다. 추가된 모든 스캐너는 위반 사항 대신 감지 사항 조사 결과를 생성합니다.
This preview adds the following new scanners to the Threat Intelligence 스캐너 패키지:
Scanner |
타입 |
설명 |
|---|---|---|
인증 정책 변경 사항 |
이벤트 기반 |
계정 수준과 사용자 수준 모두에서 :doc:`인증 정책</user-guide/authentication-policies>`에 대한 변경 사항을 찾습니다. |
휴면 사용자 로그인 |
이벤트 기반 |
로그인 기록 이벤트를 분석하고 지난 90일 동안 로그인하지 않은 사용자의 로그인에 플래그를 지정합니다. |
장기 실행 쿼리가 있는 엔터티 |
일정 기반 |
지난 7일 동안의 평균 쿼리 지속 시간 또는 스캐너가 마지막으로 실행된 시간 중 더 최근 시점에서 2 표준편차 이상 벗어난 지속 시간이 있는 쿼리인 장기 실행 쿼리와 관련된 사용자와 쿼리 IDs를 찾습니다. 이 스캐너를 하루에 한 번 실행하도록 설정하는 것이 좋습니다. 이 스캐너는 30일 캐시를 구축한 후 저장하므로 처음에는 비용이 더 많이 들 수 있습니다. Trust Center는 이 스캐너가 처음 실행될 때 감지 이벤트를 보고합니다. |
로그인 보호 |
이벤트 기반 |
비정상적인 IP 주소에서 최근 로그인을 찾습니다. 중요 이러한 이벤트는 :doc:`악성 IP 보호 서비스</user-guide/malicious-ip-protection>`에서 발생하며 즉각적인 주의가 필요합니다. |
민감한 매개 변수 보호 |
이벤트 기반 |
다음과 같은 민감한 계정 수준 매개 변수의 비활성화를 보고합니다. PREVENT_UNLOAD_TO_INLINE_URL, REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_CREATION 및 REQUIRE_STORAGE_INTEGRATION_FOR_STAGE_OPERATION. 이 스캐너는 최상의 보안 상태를 위해 기본적으로 :code:`TRUE`로 설정된 해당 매개변수에 대해 :code:`TRUE`에서 :code:`FALSE`로의 변경 감지만 보고합니다. |
관리자 권한이 있는 사용자 |
일정 기반 |
기본 역할이 관리자 역할인 새로 생성된 사용자 및 기존 사용자에게 관리자 역할을 부여하는 최근 권한 부여를 찾습니다. |
세션에서 사용되는 비정상적인 애플리케이션이 있는 사용자 |
일정 기반 |
Snowflake에 연결하는 비정상적인 클라이언트 애플리케이션을 사용한 사용자를 찾습니다. |
Threat Intelligence 스캐너 패키지는 기본적으로 하루에 한 번 실행되지만, 일정을 변경할 수 있습니다.
For information about enabling scanner packages, the cost that can occur from enabled scanners, how to change the schedule for a scanner package, and how to view the list of current scanners in a package, see the following topics: