Tri-Secret Secure com contas de área de compartilhamento segura no Snowflake¶
Visão geral do Tri-Secret Secure¶
Usando este modelo de criptografia de chave dupla com a autenticação de usuário integrada do Snowflake, você habilita os três níveis de proteção de dados oferecidos pelo Tri-Secret Secure. O Tri-Secret Secure oferece um nível de segurança e controle superior à criptografia padrão do Snowflake.
Nosso modelo de criptografia de chave dupla combina uma chave mantida pelo Snowflake e uma chave gerenciada pelo cliente (CMK) que você cria na plataforma do provedor de nuvem que hospeda sua conta Snowflake. O modelo cria uma chave mestra composta que protege seus dados no Snowflake. Essa chave mestra composta atua como uma chave mestra de conta, envolvendo todas as chaves na hierarquia da sua conta. A chave mestra composta nunca é usada para criptografar dados brutos. Por exemplo, a chave mestra composta envolve chaves mestras de tabela, que são usadas para derivar chaves de arquivo que criptografam os dados brutos.
Atenção
Antes de habilitar o Tri-Secret Secure em sua conta de área de compartilhamento segura, considere com atenção a sua responsabilidade em proteger sua chave, conforme descrito em Chaves gerenciadas pelo cliente. Se a chave gerenciada pelo cliente (Customer-Managed Key, CMK) na hierarquia de chaves mestras compostas for revogada, seus dados não poderão mais ser descriptografados pelo Snowflake.
Se você tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.
A Snowflake também tem a mesma responsabilidade pelas chaves que mantemos. Como em todos os aspectos relacionados à segurança de nossos serviços, tratamos esta responsabilidade com o máximo cuidado e vigilância.
Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.
Compatibilidade do Tri-Secret Secure com tabelas híbridas¶
Você deve habilitar o modo de armazenamento dedicado se pretende criar tabelas híbridas em sua conta e TSS já estiver ativado ou será ativado. Para obter mais informações, consulte Modo de armazenamento dedicado de tabelas híbridas para TSS.
Explicando as contas de área de compartilhamento seguras¶
Quando você publica uma listagem e habilita o preenchimento automático entre nuvens, o Snowflake pode criar automaticamente uma ou mais contas de área de compartilhamento segura (Secure Share Area, SSA) nas regiões dos consumidores. As contas SSA têm as seguintes qualidades:
São de sua propriedade e faturadas para você, o provedor.
São gerenciados pelo Snowflake; você não pode acessá-las diretamente.
Armazene as cópias replicadas de seus produtos de dados para uso por consumidores em outras regiões.
Como as contas SSA contêm seus dados, você pode protegê-las com o Tri-Secret Secure, da mesma forma que suas contas primárias. No entanto:
O TSS deve ser habilitado separadamente em cada conta SSA.
Não é possível executar comandos do Snowflake diretamente em uma conta SSA.
Você ainda pode definir para que os eventos da API KMS (por exemplo, GenerateDataKeyWithoutPlaintext e Decrypt) referentes a essas contas sempre apareçam nos logs do seu provedor de nuvem para fins de alerta e auditoria.
Identificar as contas SSA¶
As contas SSA para preenchimento automático seguem um padrão de nomenclatura e aparecem como contas globais em sua organização.
Para listar as contas SSA, execute os seguintes comandos:
USE ROLE ORGADMIN; SHOW GLOBAL ACCOUNTS LIKE '%AUTO_FULFILLMENT_AREA%' IN ORGANIZATION <org_name>;Copy
A saída retorna todas as contas que têm AUTO_FULFILLMENT_AREA nos nomes; por exemplo:
AUTO_FULFILLMENT_AREA$PUBLIC_AWS_US_EAST_1AUTO_FULFILLMENT_AREA$PUBLIC_AZURE_EASTUS2
Esses nomes de conta são os valores que você passará para as funções do sistema Tri-Secret Secure ao trabalhar com as contas SSA.
Nota
As implantações mais antigas ainda podem incluir contas SSA com nomes que começam com SNOWFLAKE_MANAGED$PUBLIC_<CLOUD>_<REGION>. Você pode incluir ambos os padrões em seus filtros, se necessário.
Explicando o Tri-Secret Secure com contas de área de compartilhamento segura¶
Você pode usar o Tri-Secret Secure com contas SSA para fornecer segurança reforçada para os dados compartilhados por meio de SSAs. As contas SSA se beneficiam da mesma proteção de criptografia em três camadas que as contas padrão, com a chave gerenciada pelo cliente (Customer-Managed Key, CMK) fornecendo uma camada adicional de controle sobre as chaves de criptografia.
O Tri-Secret Secure com contas de área de compartilhamento segura oferece os seguintes benefícios:
Segurança reforçada para dados compartilhados por meio de áreas de compartilhamento seguras
Controle sobre as chaves de criptografia para os dados da área de compartilhamento segura
Conformidade com os requisitos regulamentares para proteção de dados
Capacidade de revogar o acesso aos dados criptografados revogando a CMK
Ativar o Tri-Secret Secure para contas de área de compartilhamento segura¶
Para ativar o Tri-Secret Secure em uma conta SSA, conclua as etapas a seguir. Estas etapas consideram que você já tenha registrado sua CMK.
No Snowflake, chame a função do sistema SYSTEM$GET_CMK_INFO para visualizar os detalhes da CMK que você registrou e inclua o nome da conta SSA.
No Snowflake, chame a função de sistema SYSTEM$GET_CMK_CONFIG para gerar as informações necessárias para o provedor de nuvem.
Esta política permite que Snowflake acesse sua CMK.
Nota
Se o Microsoft Azure hospeda sua conta Snowflake, você deve passar o valor
tenant_idpara a função.Na plataforma do seu provedor de nuvem, use a saída da função SYSTEM$GET_CMK_CONFIG para autorizar sua CMK.
No Snowflake, chame a função do sistema SYSTEM$VERIFY_CMK_INFO e inclua o nome da conta SSA para confirmar a conectividade entre sua conta Snowflake e sua CMK.
No Snowflake, chame a função do sistema SYSTEM$ACTIVATE_CMK_INFO para ativar o Tri-Secret Secure em sua conta de área de compartilhamento segura.
Essa função do sistema ativa o Tri-Secret Secure com seu CMK registrado. Essa função do sistema inicia o processo de rechaveamento e gera uma mensagem de e-mail que notifica os administradores do sistema quando o processo é concluído. O processo de rechaveamento pode ser concluído em menos de uma hora, mas pode levar até 24 horas.
Aviso
O Snowflake usa a CMK antiga até que o processo de rechaveamento seja concluído. Não remova o acesso à CMK antiga até que você receba uma notificação por e-mail indicando que o processo de rechaveamento foi concluído.
Visualizar o status de sua CMK¶
Você pode chamar SYSTEM$GET_CMK_INFO a qualquer momento para verificar o status de registro e ativação de sua CMK.
Por exemplo, dependendo de quando você chamar SYSTEM$GET_CMK_INFO, a função retornará o seguinte:
Imediatamente após ativar Tri-Secret Secure, retorna
...is being activated.... Isso significa que o rechaveamento não foi concluído.Após o processo de ativação do Tri-Secret Secure ser concluído, a saída retornada incluirá
...is activated.... Isso significa que sua conta Snowflake está usando Tri-Secret Secure com a CMK que você registrou.
Alterar a CMK para Tri-Secret Secure¶
As funções do sistema Snowflake oferecem suporte à alteração de chave gerenciada pelo cliente (CMK), com base nas suas necessidades de segurança. Para registrar uma nova CMK, siga as mesmas etapas que você seguiu para registrar a CMK inicial. Ao executar essas etapas novamente usando uma nova chave, a saída das funções do sistema será diferente. Leia a saída de cada função do sistema que você chama durante o autorregistro para confirmar que você alterou sua chave. Por exemplo, quando você altera sua CMK, chamar a função SYSTEM$GET_CMK_INFO retorna uma mensagem que contém ...is being rekeyed....
Desativar o Tri-Secret Secure¶
Para desativar o Tri-Secret Secure em sua conta de área de compartilhamento segura, chame a função do sistema SYSTEM$DEACTIVATE_CMK_INFO.
Cancelar o registro de sua CMK atual¶
Você só pode registrar uma CMK por vez no Tri-Secret Secure. Quando você registra sua CMK, se a função SYSTEM$REGISTER_CMK_INFO falhar devido à existência de uma CMK diferente, chame a função do sistema SYSTEM$DEREGISTER_CMK_INFO, conforme solicitado.