Autoatendimento do Tri-Secret Secure com conectividade privada no Snowflake¶
Visão geral do Tri-Secret Secure¶
Usando este modelo de criptografia de chave dupla com a autenticação de usuário integrada do Snowflake, você habilita os três níveis de proteção de dados oferecidos pelo Tri-Secret Secure. O Tri-Secret Secure oferece um nível de segurança e controle superior à criptografia padrão do Snowflake.
Nosso modelo de criptografia de chave dupla combina uma chave mantida pelo Snowflake e uma chave gerenciada pelo cliente (CMK) que você cria na plataforma do provedor de nuvem que hospeda sua conta Snowflake. O modelo cria uma chave mestra composta que protege seus dados no Snowflake. Essa chave mestra composta atua como uma chave mestra de conta, envolvendo todas as chaves na hierarquia da sua conta. A chave mestra composta nunca é usada para criptografar dados brutos. Por exemplo, a chave mestra composta envolve chaves mestras de tabela, que são usadas para derivar chaves de arquivo que criptografam os dados brutos.
Atenção
Antes de ativar o Tri-Secret Secure para sua conta, considere cuidadosamente sua responsabilidade de proteger sua chave, conforme mencionado em Chaves gerenciadas pelo cliente. Se o CMK na hierarquia de chaves mestras compostas for revogado, seus dados não poderão mais ser descriptografados pelo Snowflake.
Se você tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.
A Snowflake também tem a mesma responsabilidade pelas chaves que mantemos. Como em todos os aspectos relacionados à segurança de nossos serviços, tratamos esta responsabilidade com o máximo cuidado e vigilância.
Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.
Compatibilidade do Tri-Secret Secure com tabelas híbridas¶
Você deve habilitar o modo de armazenamento dedicado se pretende criar tabelas híbridas em sua conta e Tri-Secret Secure já estiver ativado ou será ativado. Para obter mais informações, consulte Modo de armazenamento dedicado de tabelas híbridas para TSS.
Como funciona o autoatendimento do Tri-Secret Secure com conectividade privada¶
Você pode usar as funções do sistema do Snowflake para registrar um CMK, provisionar pontos de extremidade privados e, em seguida, ativar uma CMK para uso com Tri-Secret Secure por esses pontos de extremidade. Se você decidir substituir uma CMK para usar com o Tri-Secret Secure, a função SYSTEM$GET_CMK_INFO informará se a nova CMK está registrada e ativada. Você pode continuar a usar sua conta durante o processo de rechaveamento.
O autoatendimento do Tri-Secret Secure com conectividade privada oferece os seguintes benefícios:
Facilita o trabalho com o serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.
Simplifica os passos para registrar e autorizar sua CMK.
Proporciona transparência ao seu registro CMK e ao status de ativação do Tri-Secret Secure.
Permite que você gerencie o Tri-Secret Secure sem qualquer tempo de inatividade da sua conta Snowflake.
Permite a comunicação entre sua chave gerenciada pelo Snowflake e o cofre de chaves de seu provedor de nuvem através de seus pontos de extremidade privados.
Ativação do Tri-Secret Secure com conectividade privada¶
Esse procedimento funciona nas plataformas de provedores de nuvem da Amazon Web Services e do Microsoft Azure compatíveis com o Snowflake. Consulte a documentação específica do seu provedor de nuvem para saber as etapas realizadas na plataforma do provedor de nuvem. Para habilitar a conectividade privada para uma CMK já ativada com Tri-Secret Secure, consulte Habilitação de um ponto de extremidade de conectividade privada para uma CMK ativa.
Para ativar o|tri-secret-secure| com conectividade privada, conclua as seguintes etapas:
No provedor de nuvem, crie uma CMK.
Siga esta etapa no KMS da plataforma de nuvem que hospeda sua conta Snowflake.
No Snowflake, chame SYSTEM$PROVISION_PRIVATELINK_ENDPOINT_TSS.
Essa função do sistema provisiona um ponto de extremidade privado para uso com o KMS e o Tri-Secret Secure.
No provedor de nuvem, aprove o ponto de extremidade privado.
Execute esta etapa no portal Azure como proprietário do recursos do Azure API Management; ou no console do Amazon VPC. Para obter mais informações, consulte a documentação do`Microsoft Azure <https://learn.microsoft.com/en-us/azure/key-vault/keys/quick-create-portal>`_ ou da AWS.
No Snowflake, chame SYSTEM$REGISTER_CMK_INFO.
Esta função de sistema registra sua CMK na sua conta Snowflake.
Verifique novamente os argumentos da função do sistema para garantir que estejam corretos para a plataforma de nuvem que hospeda sua conta Snowflake.
Quando você chama a função SYSTEM$REGISTER_CMK_INFO, o Snowflake envia uma mensagem de e-mail aos administradores da conta que têm um endereço de e-mail validado. A mensagem notifica o administrador da conta quando ele pode chamar ACTIVATE_CMK_INFO para ativar Tri-Secret Secure.
Importante
Você deve aguardar 72 horas antes de ativar o Tri-Secret Secure (etapa 8). Se você tentar ativar o Tri-Secret Secure durante esse período de espera, verá uma mensagem de erro solicitando que aguarde.
No Snowflake, chame SYSTEM$GET_CMK_INFO.
Essa função do sistema retorna o status de registro e os detalhes do CMK que você registrou.
No Snowflake, chame SYSTEM$GET_CMK_CONFIG.
Essa função do sistema gera as informações necessárias para que seu provedor de nuvem permita que o Snowflake acesse seu CMK.
Nota
Se o Microsoft Azure hospeda sua conta Snowflake, você deve passar o valor
tenant_idpara a função.No Snowflake, chame SYSTEM$VERIFY_CMK_INFO.
Essa função do sistema confirma a conectividade entre sua conta Snowflake e seu CMK.
No Snowflake, chame SYSTEM$ACTIVATE_CMK_INFO.
Essa função do sistema ativa o Tri-Secret Secure com seu CMK registrado. Essa função do sistema inicia o processo de rechaveamento e gera uma mensagem de e-mail que notifica os administradores do sistema quando o processo é concluído. O processo de rechaveamento pode ser concluído em menos de uma hora, mas pode levar até 24 horas.
Aviso
O Snowflake usa a CMK antiga até que o processo de rechaveamento seja concluído. Não remova o acesso àCMK antiga até receber uma notificação por e-mail informando que o processo de rechaveamento foi concluído.
Visualizar o status de sua CMK¶
Você pode chamar SYSTEM$GET_CMK_INFO a qualquer momento para verificar o status de registro e ativação de sua CMK.
Por exemplo, dependendo de quando você chamar SYSTEM$GET_CMK_INFO, a função retornará o seguinte:
Imediatamente após ativar Tri-Secret Secure, retorna
...is being activated.... Isso significa que o rechaveamento não foi concluído.Após o processo de ativação do Tri-Secret Secure ser concluído, a saída retornada incluirá
...is activated.... Isso significa que sua conta Snowflake está usando Tri-Secret Secure com a CMK que você registrou.
Se você tiver ativado a conectividade privada, chamar SYSTEM$GET_CMK_INFO retorna informações sobre o status de registro e ativação do ponto de extremidade de conectividade privada e do Tri-Secret Secure.
Alterar a CMK para Tri-Secret Secure¶
As funções do sistema Snowflake oferecem suporte à alteração de chave gerenciada pelo cliente (CMK), com base nas suas necessidades de segurança. Para registrar uma nova CMK, siga as mesmas etapas que você seguiu para registrar a CMK inicial. Ao executar essas etapas novamente usando uma nova chave, a saída das funções do sistema será diferente. Leia a saída de cada função do sistema que você chama durante o autorregistro para confirmar que você alterou sua chave. Por exemplo, quando você altera sua CMK, chamar a função SYSTEM$GET_CMK_INFO retorna uma mensagem que contém ...is being rekeyed....
Habilitação de um ponto de extremidade de conectividade privada para uma CMK ativa¶
Se você tiver uma CMK ativa e você quiser habilitar a conectividade privada sem nenhuma atividade de rechaveamento, complete as seguintes etapas:
No Snowflake, chame SYSTEM$PROVISION_PRIVATELINK_ENDPOINT_TSS.
Esta função do sistema provisiona um ponto de extremidade privado para usar com seu serviço de gerenciamento de chaves (KMS) e o Tri-Secret Secure.
No provedor de nuvem, aprove o ponto de extremidade privado.
Execute esta etapa no portal Azure como proprietário do recursos do Azure API Management; ou no console do Amazon VPC. Para obter mais informações, consulte a documentação do`Microsoft Azure <https://learn.microsoft.com/en-us/azure/key-vault/keys/quick-create-portal>`_ ou da AWS.
No Snowflake, chame SYSTEM$REGISTER_CMK_INFO usando ambos os argumentos, conforme mostrado no exemplo a seguir:
SELECT SYSTEM$REGISTER_CMK_INFO('<your_cmk_value>', 'true');
Esta função de sistema registra sua CMK na sua conta Snowflake.
Verifique novamente os argumentos da função do sistema para garantir que estejam corretos para a plataforma de nuvem que hospeda sua conta Snowflake.
No Snowflake, chame SYSTEM$ACTIVATE_CMK_INFO fornecendo o argumento
UPDATE_PRIVATELINK, como mostrado no exemplo a seguir:SELECT SYSTEM$ACTIVATE_CMK_INFO('UPDATE_PRIVATELINK');
Quando você executa a função SYSTEM$ACTIVATE_CMK_INFO com o argumento UPDATE_PRIVATELINK, ela lê o valor da chamada SYSTEM$REGISTER_CMK_INFO anterior. Não ocorre nenhum rechaveamento, portanto a função é concluída rapidamente. Outra opção é chamar a função SYSTEM$GET_CMK_INFO de novo para visualizar seu status de conectividade privada.
Desprovisionamento de ponto de extremidade de conectividade privada para Tri-Secret Secure¶
Para impedir que o Snowflake se conecte a um recurso KMS externo usando conectividade privada, chame a função SYSTEM$DEPROVISION_PRIVATELINK_ENDPOINT_TSS.
Restauração de um ponto de extremidade de conectividade privada para Tri-Secret Secure¶
Para restabelecer a conectividade do Snowflake com um recurso KMS externo usando um ponto de extremidade de conectividade privada desprovisionado, chame a função SYSTEM$RESTORE_PRIVATELINK_ENDPOINT_TSS.
Usar o autoatendimento do Tri-Secret Secure com rotação automática de chaves¶
Se você usar o recurso de rotação automática de chaves do seu provedor de nuvem para manter o ciclo de vida das suas CMKs gerenciadas pelo cliente, poderá rechavear usando a versão mais recente da sua CMK chamando a função SYSTEM$ACTIVATE_CMK_INFO e fornecendo o argumento 'REKEY_SAME_CMK'.
Para obter mais informações, consulte Chaves gerenciadas pelo cliente.
Desativar o Tri-Secret Secure¶
Para desativar o Tri-Secret Secure na sua conta, chame a função do sistema SYSTEM$DEACTIVATE_CMK_INFO.
Cancelar o registro de sua CMK atual¶
Você só pode registrar uma CMK por vez no Tri-Secret Secure. Quando você registrar sua CMK, se a função SYSTEM$REGISTER_CMK_INFO falhar porque já existe uma outra CMK, chame a função SYSTEM$DEREGISTER_CMK_INFO, conforme solicitado.
Integrar o Tri-Secret Secure com os armazenamentos de chave externos da AWS¶
O Snowflake também oferece suporte à integração do Tri-Secret Secure com armazenamentos de chave externos da AWS para armazenar e gerenciar com segurança uma chave gerenciada pelo cliente fora da AWS. O Snowflake oficialmente testa e oferece suporte apenas aos produtos de criptografia de dados Thales Hardware Security Modules (HSM) e Thales CipherTrust Cloud Keys (CCKM).
Para obter mais informações sobre como configurar o Tri-Secret Secure com as soluções da Thales, consulte Como usar o Armazenamento de chaves externas da Thales para o Tri-Secret Secure em uma conta Snowflake AWS.