Trust Center¶
Nota
Contas de leitor do Snowflake não são aceitas.
Você pode usar o Trust Center para avaliar e monitorar sua conta quanto a riscos de segurança. O Trust Center avalia sua conta em relação às recomendações especificadas nos verificadores de acordo com um cronograma, mas você pode alterar a frequência com que os verificadores são executados. Se sua conta violar uma das recomendações de qualquer um dos verificadores habilitados, o Trust Center fornecerá uma lista de riscos de segurança e informações sobre como mitigar esses riscos.
Casos de uso comuns¶
Privilégios obrigatórios¶
Um usuário com a função ACCOUNTADMIN deve conceder à sua função a função de aplicativo SNOWFLAKE.TRUST_CENTER_VIEWER
ou SNOWFLAKE.TRUST_CENTER_ADMIN
, dependendo de qual aba do Trust Center você deseja acessar.
Consulte a tabela a seguir para obter informações sobre quais funções de aplicativo são necessárias para acessar guias específicas no Trust Center:
Aba do Trust Center |
Funções de aplicativo necessárias |
---|---|
Findings |
|
Scanner Packages |
|
Por exemplo, para criar e conceder uma função separada para acessar a aba Findings e uma função separada para acessar a aba Scanner Packages, você pode executar os seguintes comandos usando a função ACCOUNTADMIN:
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Utilização da conectividade privada¶
O Trust Center oferece suporte à conectividade privada. Para obter mais informações, consulte Uso de conectividade privada.
Resultados¶
O Trust Center fornece uma guia Findings que fornece as seguintes informações:
Um gráfico de violações de verificador ao longo do tempo, codificado por cores e por gravidade baixa, média, alta e crítica.
Uma lista interativa de recomendações para cada violação encontrada. Cada recomendação contém detalhes sobre a violação, quando o verificador foi executado pela última vez e como corrigir a violação.
As violações permitem que você identifique as configurações do Snowflake na conta que violam os requisitos dos pacotes de verificadores habilitados. Para cada violação, o Trust Center fornece uma explicação de como remediar a violação. Após corrigir uma violação, ela ainda aparecerá na guia Findings até que a próxima execução agendada do pacote de verificadores que contém o verificador que relatou a violação comece ou até que você execute o pacote de verificadores manualmente.
Você precisa de uma função específica no aplicativo para acessar a guia Findings. Para obter mais informações, consulte Privilégios obrigatórios.
Verificadores¶
Um verificador é um processo agendado em segundo plano que averigua sua conta em busca de riscos de segurança com base na forma como você configurou sua conta. Os verificadores são agrupados em pacotes de verificadores. Os verificadores contêm informações sobre os riscos de segurança que eles verificam em sua conta e o pacote de verificadores que os contém.
Os pacotes de verificadores contêm uma descrição e uma lista de verificadores que são executados quando você habilita o pacote de verificadores. Depois de habilitar um pacote de verificadores, ele é executado imediatamente, independentemente do cronograma configurado.
Por padrão, os pacotes de verificadores são desativados, exceto o Pacote de verificadores Segurança Básica.
Os pacotes de verificadores são executados de acordo com um cronograma. É necessário primeiro ativar um pacote de verificadores antes de alterar seu cronograma, se o pacote de verificadores permitir que você altere o cronograma.
Depois de ativar um pacote de verificadores, você pode ativar ou desativar verificadores individuais no pacote de verificadores. Você também pode alterar o cronograma de verificadores individuais no pacote de verificadores.
Você precisa de funções de aplicativo específicas para acessar a guia Scanner Packages. Para mais informações, consulte a tabela em requisitos.
Os seguintes pacotes de verificadores estão disponíveis:
Pacote de verificadores Segurança Básica¶
O pacote de verificadores Security Essentials é um pacote de verificadores gratuito que não tem custo. Esse pacote de verificadores examina sua conta para verificar se você configurou as seguintes recomendações:
Você tem uma política de autenticação que obriga todos os usuários humanos a se inscreverem na autenticação multifator (MFA) se usarem senhas para autenticação.
Todos os usuários humanos estão inscritos em MFA se usarem senhas para autenticação.
Você definiu uma política de redes em nível de conta configurada para permitir apenas o acesso de endereços IP confiáveis.
Você configurou uma tabela de eventos se sua conta habilitou o compartilhamento de eventos para um aplicativo nativo, para que sua conta receba uma cópia das mensagens de log e das informações de eventos que são compartilhadas com o provedor de aplicativos.
Esse pacote de verificadores verifica apenas os usuários que são usuários humanos (ou seja, objetos de usuário com uma propriedade TYPE de PERSON ou NULL). Para obter mais informações, consulte Tipos de usuários.
Esse pacote de verificadores é executado a cada duas semanas e você não pode alterar o cronograma.
Por padrão, esse pacote de verificadores está habilitado e não pode ser desativado.
O pacote de verificadores Security Essentials não gera custos de computação sem servidor.
Pacote de verificadores de Benchmarks CIS¶
Você pode acessar insights de segurança adicionais ativando o pacote de verificadores Benchmarks CIS, que contém verificadores que avaliam sua conta em relação aos Benchmarks do Center for Internet Security (CIS) do Snowflake. Os CIS Snowflake Benchmarks são uma lista de práticas recomendadas para configurações de conta Snowflake destinadas a reduzir vulnerabilidades de segurança. Os CISSnowflake Benchmarks foram criados por meio da colaboração da comunidade e do consenso entre especialistas no assunto.
Para obter uma cópia dos CIS Snowflake Benchmarks, consulte o site dos CIS Snowflake Benchmarks.
As recomendações encontradas nos CIS Snowflake Benchmarks são numerados por seção e recomendação. Por exemplo, a primeira recomendação da primeira seção é numerada como 1.1
. Na aba Findings, o Trust Center fornece números de seção para cada violação se você quiser fazer referência aos CIS Snowflake Benchmarks.
Por padrão, esse pacote de verificadores é executado uma vez por dia, mas você pode alterar o cronograma.
Para obter informações sobre como habilitar pacotes de verificadores, o custo que pode ocorrer com verificadores habilitados e como alterar o cronograma de um pacote de verificadores, consulte as seguintes referências:
Nota
Para benchmarks CIS específicos do Snowflake, o Snowflake apenas determina se você implementou uma medida de segurança específica, mas não avalia se a medida de segurança foi implementada de uma forma que atinja seu objetivo. Para esses parâmetros de comparação, a ausência de violação não garante que a medida de segurança seja implementada de maneira eficaz. Os seguintes parâmetros de comparação não avaliam se suas implementações de segurança foram implementadas de forma a alcançar seu objetivo, ou o Trust Center não realiza verificações para elas:
Toda a seção 2: garanta que as atividades sejam monitoradas e forneça recomendações para configurar o Snowflake para tratar das atividades que exigem atenção. Esses verificadores contêm consultas complexas cujas violações não aparecem no console do Snowsight.
Um oficial de segurança pode obter informações valiosas dos verificadores da seção 2 executando a seguinte consulta na visualização
snowflake.trust_center.findings
:SELECT start_timestamp, end_timestamp, scanner_id, scanner_short_description, impact, severity, total_at_risk_count, AT_RISK_ENTITIES FROM snowflake.trust_center.findings WHERE scanner_type = 'Threat' AND completion_status = 'SUCCEEDED' ORDER BY event_id DESC;
Na saída, a coluna
AT_RISK_ENTITIES
contém o conteúdo JSON com detalhes sobre as atividades que exigem revisão ou correção. Por exemplo, o verificador CIS_BENCHMARKS_CIS2_1 monitora concessões de privilégios elevados, e os agentes de segurança devem analisar cuidadosamente os eventos relatados por esse verificador, como o seguinte exemplo de evento:[ { "entity_detail": { "granted_by": joe_smith, "grantee_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "modified_on": "2025-01-01 07:00:00.000 Z", "role_granted": "ACCOUNTADMIN" }, "entity_id": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_name": "SNOWFLAKE$SUSPICIOUS_ROLE", "entity_object_type": "ROLE" } ]
O Snowflake sugere as seguintes práticas recomendadas para verificadores de seção 2:
Não desative os verificadores da seção 2, a menos que você tenha certeza de que possui medidas de monitoramento suficientes.
Inspecione as violações dos verificadores da seção 2 em uma cadência regular ou configure uma tarefa de monitoramento para alertas. Especificamente, configure o monitoramento conforme descrito na coluna
SUGGESTED_ACTION
da visualizaçãosnowflake.trust_center.findings
.
3.1: certifique-se de que uma política de redes em nível de conta tenha sido configurada para permitir acesso somente de endereços IP confiáveis. O Trust Center exibirá uma violação se você não tiver uma política de redes em nível de conta, mas não avaliará se os endereços IP apropriados foram permitidos ou bloqueados.
4.3: certifique-se de que o parâmetro DATA_RETENTION_TIME_IN_DAYS esteja definido como 90 para dados críticos. O Trust Center exibirá uma violação se o parâmetro DATA_RETENTION_TIME_IN_DAYS associado ao Time Travel não estiver definido como 90 dias para a conta ou pelo menos um objeto, mas não avalia quais dados são considerados críticos.
4.10: certifique-se de que o mascaramento de dados esteja habilitado para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de mascaramento, mas não avalia se os dados confidenciais estão protegidos adequadamente. O Trust Center não avalia se uma política de mascaramento está atribuída a pelo menos uma tabela ou exibição.
4.11: certifique-se de que as políticas de acesso a linhas estejam configuradas para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de acesso a linhas, mas não avalia se os dados confidenciais estão protegidos. O Trust Center não avalia se uma política de acesso a linhas está atribuída a pelo menos uma tabela ou exibição.
Pacote de verificadores Threat Intelligence¶
Você pode acessar insights de segurança adicionais ativando o pacote de verificadores Threat Intelligence. Ele permite que você descubra usuários de risco com base no tipo de usuário, métodos de autenticação e políticas de autenticação. O pacote de verificadores Threat Intelligence identifica os usuários como de risco se eles atenderem a qualquer um dos seguintes critérios:
Usuários humanos de risco (TYPE: PERSON ou NULL):
Eles não configuraram o MFA e se conectaram com senha pelo menos uma vez nos últimos 90 dias.
Eles têm uma senha, mas não configuraram o MFA e não se conectaram por 90 dias.
Usuários de serviço de risco (TYPE: LEGACY_SERVICE):
Eles têm uma senha e fizeram login apenas com uma senha nos últimos 90 dias ou mais.
Eles têm uma senha, mas não se conectaram por 90 dias.
Por padrão, esse pacote de verificadores é executado uma vez por dia, mas você pode alterar o cronograma.
Para obter informações sobre como habilitar pacotes de verificadores, o custo que pode ocorrer com verificadores habilitados e como alterar o cronograma de um pacote de verificadores, consulte as seguintes referências: