Autoatendimento de Tri-Secret Secure no Snowflake¶
Visão geral do Tri-Secret Secure¶
Usando este modelo de criptografia de chave dupla com a autenticação de usuário integrada do Snowflake, você habilita os três níveis de proteção de dados oferecidos pelo Tri-Secret Secure. O Tri-Secret Secure oferece um nível de segurança e controle superior à criptografia padrão do Snowflake.
Nosso modelo de criptografia de chave dupla combina uma chave mantida pelo Snowflake e uma chave gerenciada pelo cliente (CMK) que você cria na plataforma do provedor de nuvem que hospeda sua conta Snowflake. O modelo cria uma chave mestra composta que protege seus dados no Snowflake. Essa chave mestra composta atua como uma chave mestra de conta, envolvendo todas as chaves na hierarquia da sua conta. A chave mestra composta nunca é usada para criptografar dados brutos. Por exemplo, a chave mestra composta envolve as chaves mestras de tabela, que são usadas para derivar chaves de arquivo que criptografam os dados brutos.
Atenção
Antes de ativar o Tri-Secret Secure para sua conta, considere cuidadosamente sua responsabilidade de proteger sua chave, conforme mencionado em Chaves gerenciadas pelo cliente. Se o CMK na hierarquia de chaves mestras compostas for revogado, seus dados não poderão mais ser descriptografados pelo Snowflake.
Se você tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.
A Snowflake também tem a mesma responsabilidade pelas chaves que mantemos. Como em todos os aspectos relacionados à segurança de nossos serviços, tratamos esta responsabilidade com o máximo cuidado e vigilância.
Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.
Compatibilidade do Tri-Secret Secure com tabelas híbridas¶
Você deve habilitar o modo de armazenamento dedicado se pretende criar tabelas híbridas em sua conta e TSS já estiver ativado ou será ativado. Para obter mais informações, consulte Modo de armazenamento dedicado de tabelas híbridas para TSS.
Autoatendimento do Tri-Secret Secure¶
Você pode usar as funções do sistema Snowflake para primeiro registrar uma CMK e depois ativar Tri-Secret Secure para usar a CMK. Se você decidir substituir uma CMK para usar com o Tri-Secret Secure, a função SYSTEM$GET_CMK_INFO informará se a nova CMK está registrada e ativada. Você pode continuar a usar sua conta durante o processo de rechaveamento.
O autoatendimento do Tri-Secret Secure oferece os seguintes benefícios para você:
Facilita o trabalho com o serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.
Simplifica os passos para registrar e autorizar sua CMK.
Proporciona transparência ao seu registro CMK e ao status de ativação do Tri-Secret Secure.
Permite que você gerencie o Tri-Secret Secure sem qualquer tempo de inatividade da sua conta Snowflake.
Ativar Tri-Secret Secure¶
Esse procedimento funciona em todas as plataformas de provedores de nuvem compatíveis com o Snowflake. Consulte a documentação específica do seu provedor de nuvem para saber as etapas realizadas na plataforma do provedor de nuvem.
Para criar e registrar sua CMK e, em seguida, ativar o Tri-Secret Secure, conclua as seguintes etapas:
No provedor de nuvem, crie uma CMK.
Execute esta etapa no serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.
No Snowflake, chame a função de sistema SYSTEM$REGISTER_CMK_INFO.
Esta função de sistema registra sua CMK na sua conta Snowflake.
Verifique novamente os argumentos da função do sistema para garantir que estejam corretos para a plataforma de nuvem que hospeda sua conta Snowflake.
Quando você chama a função SYSTEM$REGISTER_CMK_INFO, o Snowflake envia uma mensagem de e-mail aos administradores da conta que têm um endereço de e-mail validado. A mensagem notifica o administrador da conta sobre o momento de chamar a função SYSTEM$ACTIVATE_CMK_INFO para ativar Tri-Secret Secure.
Importante
Você deve aguardar 72 horas antes de ativar o Tri-Secret Secure (etapa 6). Se você tentar ativar o Tri-Secret Secure durante esse período de espera, verá uma mensagem de erro solicitando que aguarde.
No Snowflake, chame a função de sistema SYSTEM$GET_CMK_INFO.
Essa função do sistema retorna o status de registro e os detalhes do CMK que você registrou.
No Snowflake, chame a função de sistema SYSTEM$GET_CMK_CONFIG.
Essa função do sistema gera as informações necessárias para que seu provedor de nuvem permita que o Snowflake acesse seu CMK.
Nota
Se o Microsoft Azure hospeda sua conta Snowflake, você deve passar o valor
tenant_idpara a função.No Snowflake, chame a função de sistema SYSTEM$VERIFY_CMK_INFO.
Essa função do sistema confirma a conectividade entre sua conta Snowflake e seu CMK.
No Snowflake, chame a função de sistema SYSTEM$ACTIVATE_CMK_INFO.
Essa função do sistema ativa o Tri-Secret Secure com seu CMK registrado. Essa função do sistema inicia o processo de rechaveamento e gera uma mensagem de e-mail que notifica os administradores do sistema quando o processo é concluído. O processo de rechaveamento pode ser concluído em menos de uma hora, mas pode levar até 24 horas.
Aviso
O Snowflake usa a CMK antiga até que o processo de rechaveamento seja concluído. Não remova o acesso à CMK antiga até receber uma notificação por e-mail informando que o processo de rechaveamento foi concluído.
Para habilitar a conectividade privada para uma CMK já ativada com Tri-Secret Secure, consulte Habilitação de um ponto de extremidade de conectividade privada para uma CMK ativa.
Visualizar o status de sua CMK¶
Você pode chamar SYSTEM$GET_CMK_INFO a qualquer momento para verificar o status de registro e ativação de sua CMK.
Por exemplo, dependendo de quando você chamar SYSTEM$GET_CMK_INFO, a função retornará o seguinte:
Imediatamente após ativar Tri-Secret Secure, retorna
...is being activated.... Isso significa que o rechaveamento não foi concluído.Após o processo de ativação do Tri-Secret Secure ser concluído, a saída retornada incluirá
...is activated.... Isso significa que sua conta Snowflake está usando Tri-Secret Secure com a CMK que você registrou.
Alterar a CMK para Tri-Secret Secure¶
As funções do sistema Snowflake oferecem suporte à alteração de chave gerenciada pelo cliente (CMK), com base nas suas necessidades de segurança. Para registrar uma nova CMK, siga as mesmas etapas que você seguiu para registrar a CMK inicial. Ao executar essas etapas novamente usando uma nova chave, a saída das funções do sistema será diferente. Leia a saída de cada função do sistema que você chama durante o autorregistro para confirmar que você alterou sua chave. Por exemplo, quando você altera sua CMK, chamar a função SYSTEM$GET_CMK_INFO retorna uma mensagem que contém ...is being rekeyed....
Usar o autoatendimento do Tri-Secret Secure com rotação automática de chaves¶
Se você usar o recurso de rotação automática de chaves do seu provedor de nuvem para manter o ciclo de vida das suas CMKs gerenciadas pelo cliente, poderá rechavear usando a versão mais recente da sua CMK chamando a função SYSTEM$ACTIVATE_CMK_INFO e fornecendo o argumento 'REKEY_SAME_CMK'.
Para obter mais informações, consulte Chaves gerenciadas pelo cliente.
Desativar o Tri-Secret Secure¶
Para desativar o Tri-Secret Secure na sua conta, chame a função do sistema SYSTEM$DEACTIVATE_CMK_INFO.
Cancelar o registro de sua CMK atual¶
Você só pode registrar uma CMK por vez no Tri-Secret Secure. Quando você registra sua CMK, se a função SYSTEM$REGISTER_CMK_INFO falhar devido à existência de uma CMK diferente, chame a função do sistema SYSTEM$DEREGISTER_CMK_INFO, conforme solicitado.
Integrar o Tri-Secret Secure com os armazenamentos de chave externos da AWS¶
O Snowflake também oferece suporte à integração do Tri-Secret Secure com armazenamentos de chave externos da AWS para armazenar e gerenciar com segurança uma chave gerenciada pelo cliente fora da AWS. O Snowflake oficialmente testa e oferece suporte apenas aos produtos de criptografia de dados Thales Hardware Security Modules (HSM) e Thales CipherTrust Cloud Keys (CCKM).
Para obter mais informações sobre como configurar o Tri-Secret Secure com as soluções da Thales, consulte Como usar o Armazenamento de chaves externas da Thales para o Tri-Secret Secure em uma conta Snowflake AWS.