Tri-Secret Secure in Snowflake

Visão geral do Tri-Secret Secure

Usando este modelo de criptografia de chave dupla com a autenticação de usuário integrada do Snowflake, você habilita os três níveis de proteção de dados oferecidos pelo Tri-Secret Secure. O Tri-Secret Secure oferece um nível de segurança e controle superior à criptografia padrão do Snowflake.

Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.

Atenção

Before engaging with Snowflake to enable Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in Chaves gerenciadas pelo cliente. If the customer managed key (CMK) in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.

Se você tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.

Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.

Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.

Compatibilidade do Tri-Secret Secure com tabelas híbridas

Você deve habilitar o modo de armazenamento dedicado se pretende criar tabelas híbridas em sua conta e TSS já estiver ativado ou será ativado. Para obter mais informações, consulte Modo de armazenamento dedicado de tabelas híbridas para TSS.

Understanding CMK self-registration with support activation of Tri-Secret Secure

You can register a CMK for use with Tri-Secret Secure using Snowflake system functions. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. After you self-register your CMK, you can contact Snowflake Support to enable your Snowflake account to use Tri-Secret Secure with your CMK.

CMK self-registration with support activation provides the following benefits to you:

  • Simplifica os passos para registrar e autorizar sua CMK.

  • Fornece transparência ao status de registro e ativação de sua CMK com Tri-Secret Secure.

  • Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.

  • Enables you to rotate your CMK and register the new CMK for use with Tri-Secret Secure.

A lista a seguir mostra como funciona o autorregistro de CMK com ativação do suporte:

  1. As the customer, you do the following actions:

    1. Crie a CMK.

    2. Registre a CMK:

    3. Gere informações para o provedor de nuvem.

    4. Aplique a política de KMS.

    5. Confirme a conectividade entre sua conta Snowflake e sua CMK.

    6. Entre em contato com o suporte Snowflake para habilitar sua conta Snowflake para uso com o Tri-Secret Secure.

  2. O suporte Snowflake permite que sua conta Snowflake use o Tri-Secret Secure com base na CMK que você registra.

The steps in the following section avoid terms like Amazon Resource Number (ARN) to keep the procedure cloud agnostic. The steps are the same regardless of the cloud platform that hosts your Snowflake account. However, the system function arguments for some of the steps are different because each cloud platform service is different.

Self-register a CMK

To self-register your CMK for use with Tri-Secret Secure, complete the following steps:

  1. No provedor de nuvem, crie uma CMK.

    Do this step in the key management service (KMS) on the cloud platform that hosts your Snowflake account.

  2. No Snowflake, chame a função de sistema SYSTEM$REGISTER_CMK_INFO para registrar sua CMK com a integração de KMS.

    Verifique novamente os argumentos da função do sistema para a plataforma de nuvem que hospeda sua conta Snowflake.

  3. In Snowflake, call the SYSTEM$GET_CMK_INFO system function to view the details for the CMK that you registered.

  4. In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function to generate the required information for the cloud provider.

    Esta política permite que Snowflake acesse sua CMK.

    Nota

    If Microsoft Azure hosts your Snowflake account, you must pass the tenant_id value into the function.

  5. In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function to confirm the connectivity between your Snowflake account and your CMK.

  6. Entre em contato com o suporte Snowflake e solicite que sua conta Snowflake seja habilitada para usar o Tri-Secret Secure.

    Certifique-se de mencionar a conta específica em que você deseja usar Tri-Secret Secure.

Se quiser ativar a conectividade privada para uma CMK que já está ativada com Tri-Secret Secure, consulte Habilitação de um ponto de extremidade de conectividade privada para uma CMK ativa para saber mais informações.

Visualizar o status de sua CMK

You can call SYSTEM$GET_CMK_INFO at any time, to check the registration and activation status of your CMK.

Por exemplo, dependendo de quando você chamar SYSTEM$GET_CMK_INFO, a função retornará o seguinte:

  • Imediatamente após ativar Tri-Secret Secure, retorna ...is being activated.... Isso significa que o rechaveamento não foi concluído.

  • After the Tri-Secret Secure activation process completes, returns output that includes ...is activated.... This means that your Snowflake account is using Tri-Secret Secure with the CMK that you registered.

Change the CMK for Tri-Secret Secure

As funções do sistema Snowflake oferecem suporte à alteração de chave gerenciada pelo cliente (CMK), com base nas suas necessidades de segurança. Para registrar uma nova CMK, siga as mesmas etapas que você seguiu para registrar a CMK inicial. Ao executar essas etapas novamente usando uma nova chave, a saída das funções do sistema será diferente. Leia a saída de cada função do sistema que você chama durante o autorregistro para confirmar que você alterou sua chave. Por exemplo, quando você altera sua CMK, chamar a função SYSTEM$GET_CMK_INFO retorna uma mensagem que contém ...is being rekeyed....

Integrate Tri-Secret Secure with AWS external key stores

O Snowflake também oferece suporte à integração do Tri-Secret Secure com armazenamentos de chave externos da AWS para armazenar e gerenciar com segurança uma chave gerenciada pelo cliente fora da AWS. O Snowflake oficialmente testa e oferece suporte apenas aos produtos de criptografia de dados Thales Hardware Security Modules (HSM) e Thales CipherTrust Cloud Keys (CCKM).

For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.

Linguagem: Português