Autoatendimento de Tri-Secret Secure no Snowflake¶
Usar um modelo de criptografia de chave dupla em conjunto com a autenticação de usuário integrada do Snowflake permite três níveis de proteção de dados, conhecidos como Tri-Secret Secure. O Tri-Secret Secure oferece um nível de segurança e controle superior à criptografia padrão do Snowflake.
Nosso modelo de criptografia de chave dupla combina uma chave mantida pelo Snowflake e uma chave gerenciada pelo cliente (CMK) (que você cria na plataforma do provedor de nuvem que hospeda sua conta Snowflake) para criar uma chave mestra composta que protege seus dados Snowflake. Essa chave mestra composta atua como uma chave mestra de conta, envolvendo todas as chaves na hierarquia da sua conta. A chave mestra composta nunca é usada para criptografar dados brutos. Por exemplo, a chave mestra composta envolve chaves mestras de tabela, que são usadas para derivar chaves de arquivo que criptografam os dados brutos.
Atenção
Usando o procedimento deste tópico, você ativará o Tri-Secret Secure usando as funções do sistema Snowflake. Antes de ativar o Tri-Secret Secure para sua conta, considere cuidadosamente sua responsabilidade de proteger sua chave, conforme mencionado em Chaves gerenciadas pelo cliente. Se o CMK na hierarquia de chaves mestras compostas for revogado, seus dados não poderão mais ser descriptografados pelo Snowflake. Se você tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.
Note que a Snowflake também tem a mesma responsabilidade pelas chaves que mantemos. Como em todos os aspectos relacionados à segurança de nossos serviços, tratamos esta responsabilidade com o máximo cuidado e vigilância.
Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.
Compatibilidade de recursos¶
- Tabelas híbridas não são compatíveis com o Tri-Secret Secure.
Você não poderá usar tabelas híbridas se sua conta Snowflake estiver ativada para usar Tri-Secret Secure. Antes de usar tabelas híbridas, verifique se sua conta Snowflake está ativada para Tri-Secret Secure entrando em contato com o suporte Snowflake.
Visão geral do autoatendimento¶
Você pode usar o procedimento de autoatendimento do Tri-Secret Secure para primeiro registrar um CMK e, em seguida, ativar o Tri-Secret Secure. Se você decidir substituir um CMK para uso com o Tri-Secret Secure, o procedimento de autoatendimento informará se o novo CMK está registrado e ativado. Você pode continuar a usar sua conta durante o processo de rechaveamento.
O autoatendimento oferece os seguintes benefícios para você:
Facilita o trabalho com o serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.
Simplifica os passos para registrar e autorizar sua CMK.
Proporciona transparência ao seu registro CMK e ao status de ativação do Tri-Secret Secure.
Permite que você gerencie o Tri-Secret Secure sem qualquer tempo de inatividade da sua conta Snowflake.
Procedimento de autoatendimento¶
Esse procedimento funciona em todas as plataformas de provedores de nuvem compatíveis com o Snowflake. Consulte a documentação específica do seu provedor de nuvem para saber as etapas realizadas na plataforma do provedor de nuvem.
Para criar e registrar sua CMK e, em seguida, ativar o Tri-Secret Secure, conclua as seguintes etapas:
No provedor de nuvem: crie uma CMK.
Execute esta etapa no serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.
No Snowflake: chame a função de sistema SYSTEM$REGISTER_CMK_INFO.
Esta função de sistema registra sua CMK na sua conta Snowflake.
Verifique novamente os argumentos da função do sistema para garantir que estejam corretos para a plataforma de nuvem que hospeda sua conta Snowflake.
Quando você chama a função SYSTEM$REGISTER_CMK_INFO, o Snowflake envia uma mensagem de e-mail aos administradores da conta que têm um endereço de e-mail validado. A mensagem notifica o administrador da conta sobre o momento de chamar a função SYSTEM$ACTIVATE_CMK_INFO para ativar Tri-Secret Secure.
Importante
Você deve aguardar 72 horas antes de ativar o Tri-Secret Secure (etapa 6). Se você tentar ativar o Tri-Secret Secure durante esse período de espera, verá uma mensagem de erro solicitando que aguarde.
No Snowflake: chame a função de sistema SYSTEM$GET_CMK_INFO.
Essa função do sistema retorna o status de registro e os detalhes do CMK que você registrou.
No Snowflake: chame a função de sistema SYSTEM$GET_CMK_CONFIG.
Essa função do sistema gera as informações necessárias para que seu provedor de nuvem permita que o Snowflake acesse seu CMK.
Nota
Se o Microsoft Azure hospeda sua conta Snowflake, você deve passar o valor
tenant_idpara a função.No Snowflake: chame a função de sistema SYSTEM$VERIFY_CMK_INFO.
Essa função do sistema confirma a conectividade entre sua conta Snowflake e seu CMK.
No Snowflake: chame a função de sistema SYSTEM$ACTIVATE_CMK_INFO.
Essa função do sistema ativa o Tri-Secret Secure com seu CMK registrado. Essa função do sistema inicia o processo de rechaveamento e gera uma mensagem de e-mail que notifica os administradores do sistema quando o processo é concluído. O processo de rechaveamento pode ser concluído em menos de uma hora, mas pode levar até 24 horas.
Aviso
O Snowflake usa a CMK antiga até que o processo de rechaveamento seja concluído. Não remova o acesso à CMK antiga até receber uma notificação por e-mail informando que o processo de rechaveamento foi concluído.
Visualização do status da sua CMK¶
Opcionalmente, você pode chamar a função do sistema SYSTEM$GET_CMK_INFO antes ou depois de concluir o procedimento de autoatendimento para verificar o status de registro e ativação da sua CMK. Por exemplo, chamar SYSTEM$GET_CMK_INFO imediatamente após chamar SYSTEM$ACTIVATE_CMK_INFO enquanto o Tri-Secret Secure estiver desativado retorna is being activated, o que indica que a redefinição de chave não foi concluída. Após a conclusão do processo, a saída da função SYSTEM$GET_CMK_INFO inclui is activated. Isso significa que sua conta Snowflake está usando Tri-Secret Secure com a CMK que você registrou.
Alteração da CMK para o Tri-Secret Secure¶
O processo de autoatendimento permite a alteração da sua CMK, com base nas suas necessidades de segurança. Para registrar uma nova CMK, siga as mesmas etapas que você seguiu para registrar a CMK inicial. Ao executar essas etapas novamente usando uma nova chave, a saída das funções do sistema será diferente. Leia a saída de cada função do sistema que você chamar durante o procedimento de autoatendimento para confirmar que você alterou sua chave. Por exemplo, quando você altera sua CMK, chamar a função SYSTEM$GET_CMK_INFO retorna ...is being rekeyed....
Uso do autoatendimento do Tri-Secret Secure com rotação automática de chaves¶
Se você usar o recurso de rotação automática de chaves do seu provedor de nuvem para manter o ciclo de vida das suas Chaves gerenciadas pelo cliente, poderá refazer a chave com a versão mais recente da sua CMK chamando a função do sistema SYSTEM$ACTIVATE_CMK_INFO e fornecendo o argumento 'REKEY_SAME_CMK'.
Desativação do Tri-Secret Secure¶
Para desativar o Tri-Secret Secure na sua conta, chame a função do sistema SYSTEM$DEACTIVATE_CMK_INFO.
Cancelamento do registro da sua CMK atual¶
Você só pode registrar uma CMK por vez no Tri-Secret Secure. Quando você registra sua CMK, se a função SYSTEM$REGISTER_CMK_INFO falhar devido à existência de uma CMK diferente, chame a função do sistema SYSTEM$DEREGISTER_CMK_INFO, conforme solicitado.
Integração do Tri-Secret Secure com os armazenamentos de chave externos do AWS¶
O Snowflake também oferece suporte à integração do Tri-Secret Secure com repositórios de chaves externos da AWS para armazenar e gerenciar com segurança uma chave gerenciada pelo cliente fora da AWS. A Snowflake testa e oferece suporte oficialmente apenas aos produtos de criptografia de dados da Thales HSM e Thales CCKM. Para obter mais informações sobre como configurar o Tri-Secret Secure com as soluções da Thales, consulte Como usar o Armazenamento de chaves externas da Thales para o Tri-Secret Secure em uma conta Snowflake AWS.