Tri-Secret Secure no Snowflake

Visão geral do Tri-Secret Secure

Usando este modelo de criptografia de chave dupla com a autenticação de usuário integrada do Snowflake, você habilita os três níveis de proteção de dados oferecidos pelo Tri-Secret Secure. O Tri-Secret Secure oferece um nível de segurança e controle superior à criptografia padrão do Snowflake.

Nosso modelo de criptografia de chave dupla combina uma chave mantida pelo Snowflake e uma chave gerenciada pelo cliente (CMK) que você cria na plataforma do provedor de nuvem que hospeda sua conta Snowflake. O modelo cria uma chave mestra composta que protege seus dados no Snowflake. Esta chave mestra composta atua como uma chave mestra de conta, envolvendo todas as chaves na hierarquia de sua conta. A chave mestra composta nunca é usada para criptografar dados brutos. Por exemplo, a chave mestra composta envolve as chaves mestras de tabela, que são usadas para derivar chaves de arquivo que criptografam os dados brutos.

Atenção

Antes de entrar em contato com a Snowflake para ativar o Tri-Secret Secure para sua conta, você deve considerar cuidadosamente sua responsabilidade de proteger sua chave, conforme mencionado em Chaves gerenciadas pelo cliente. Se a chave gerenciada pelo cliente (CMK) na hierarquia de chaves mestras compostas for revogado, seus dados não poderão mais ser descriptografados pelo Snowflake.

Se você tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.

A Snowflake também tem a mesma responsabilidade pelas chaves que mantemos. Como em todos os aspectos relacionados à segurança de nossos serviços, tratamos esta responsabilidade com o máximo cuidado e vigilância.

Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.

Compatibilidade do Tri-Secret Secure com tabelas híbridas

Você deve habilitar o modo de armazenamento dedicado se pretende criar tabelas híbridas em sua conta e TSS já estiver ativado ou será ativado. Para obter mais informações, consulte Modo de armazenamento dedicado de tabelas híbridas para TSS.

Como funciona o autorregistro de CMK com suporte para ativação do Tri-Secret Secure

Você pode registrar uma CMK para utilizar com o Tri-Secret Secure usando as funções do sistema do Snowflake. Se você decidir substituir uma CMK para usar com o Tri-Secret Secure, a função SYSTEM$GET_CMK_INFO informará se a nova CMK está registrada e ativada. Depois de autorregistrar sua CMK, você pode entrar em contato com o suporte Snowflake para habilitar sua conta Snowflake e usar o Tri-Secret Secure com sua CMK.

O autorregistro de CMK com ativação de suporte oferece os seguintes benefícios:

  • Simplifica os passos para registrar e autorizar sua CMK.

  • Fornece transparência ao status de registro e ativação de sua CMK com Tri-Secret Secure.

  • Facilita o trabalho com o serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.

  • Permite rotacionar sua CMK e registra a nova CMK para uso com o Tri-Secret Secure.

A lista a seguir mostra como funciona o autorregistro de CMK com ativação do suporte:

  1. Como cliente, você realiza as seguintes ações:

    1. Crie a CMK.

    2. Registre a CMK:

    3. Gere informações para o provedor de nuvem.

    4. Aplique a política de KMS.

    5. Confirme a conectividade entre sua conta Snowflake e sua CMK.

    6. Entre em contato com o suporte Snowflake para habilitar sua conta Snowflake para uso com o Tri-Secret Secure.

  2. O suporte Snowflake permite que sua conta Snowflake use o Tri-Secret Secure com base na CMK que você registra.

As etapas na seção a seguir evitam termos como número de recurso da Amazon (ARN) para manter o procedimento independente da nuvem. As etapas são as mesmas, independentemente da plataforma de nuvem que hospeda sua conta Snowflake. No entanto, os argumentos da função do sistema para algumas etapas são diferentes porque cada serviço de plataforma de nuvem é diferente.

Autorregistro de uma CMK

Siga estas etapas para autorregistrar sua CMK para usar com o Tri-Secret Secure:

  1. No provedor de nuvem, crie uma CMK.

    Execute esta etapa no serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.

  2. No Snowflake, chame a função de sistema SYSTEM$REGISTER_CMK_INFO para registrar sua CMK com a integração de KMS.

    Verifique novamente os argumentos da função do sistema para a plataforma de nuvem que hospeda sua conta Snowflake.

  3. No Snowflake, chame a função de sistema SYSTEM$GET_CMK_INFO para visualizar os detalhes da CMK que você registrou.

  4. No Snowflake, chame a função de sistema SYSTEM$GET_CMK_CONFIG para gerar as informações necessárias para o provedor de nuvem.

    Esta política permite que Snowflake acesse sua CMK.

    Nota

    Se o Microsoft Azure hospeda sua conta Snowflake, você deve passar o valor tenant_id para a função.

  5. No Snowflake, chame a função de sistema SYSTEM$VERIFY_CMK_INFO para confirmar a conectividade entre sua conta Snowflake e sua CMK.

  6. Entre em contato com o suporte Snowflake e solicite que sua conta Snowflake seja habilitada para usar o Tri-Secret Secure.

    Certifique-se de mencionar a conta específica em que você deseja usar Tri-Secret Secure.

Se quiser ativar a conectividade privada para uma CMK que já está ativada com Tri-Secret Secure, consulte Habilitação de um ponto de extremidade de conectividade privada para uma CMK ativa para saber mais informações.

Visualizar o status de sua CMK

Você pode chamar SYSTEM$GET_CMK_INFO a qualquer momento para verificar o status de registro e ativação de sua CMK.

Por exemplo, dependendo de quando você chamar SYSTEM$GET_CMK_INFO, a função retornará o seguinte:

  • Imediatamente após ativar Tri-Secret Secure, retorna ...is being activated.... Isso significa que o rechaveamento não foi concluído.

  • Após o processo de ativação do Tri-Secret Secure ser concluído, a saída retornada incluirá ...is activated.... Isso significa que sua conta Snowflake está usando Tri-Secret Secure com a CMK que você registrou.

Alterar a CMK para Tri-Secret Secure

As funções do sistema Snowflake oferecem suporte à alteração de chave gerenciada pelo cliente (CMK), com base nas suas necessidades de segurança. Para registrar uma nova CMK, siga as mesmas etapas que você seguiu para registrar a CMK inicial. Ao executar essas etapas novamente usando uma nova chave, a saída das funções do sistema será diferente. Leia a saída de cada função do sistema que você chama durante o autorregistro para confirmar que você alterou sua chave. Por exemplo, quando você altera sua CMK, chamar a função SYSTEM$GET_CMK_INFO retorna uma mensagem que contém ...is being rekeyed....

Integrar o Tri-Secret Secure com os armazenamentos de chave externos da AWS

O Snowflake também oferece suporte à integração do Tri-Secret Secure com armazenamentos de chave externos da AWS para armazenar e gerenciar com segurança uma chave gerenciada pelo cliente fora da AWS. O Snowflake oficialmente testa e oferece suporte apenas aos produtos de criptografia de dados Thales Hardware Security Modules (HSM) e Thales CipherTrust Cloud Keys (CCKM).

Para obter mais informações sobre como configurar o Tri-Secret Secure com as soluções da Thales, consulte Como usar o Armazenamento de chaves externas da Thales para o Tri-Secret Secure em uma conta Snowflake AWS.

Linguagem: Português