Compreensão do Tri-Secret Secure no Snowflake

O Tri-Secret Secure é a combinação de uma chave mantida pelo Snowflake e uma chave gerenciada pelo cliente na plataforma do provedor de nuvem que hospeda sua conta Snowflake para criar uma chave mestra composta que protege seus dados Snowflake. A chave mestra composta atua como uma chave mestra de conta e encapsula todas as chaves na hierarquia; no entanto, a chave mestra composta nunca criptografa dados brutos.

Se a chave gerenciada pelo cliente na hierarquia da chave mestra composta for revogada, seus dados não poderão mais ser descriptografados pelo Snowflake, proporcionando um nível de segurança e controle acima da criptografia padrão do Snowflake. Este modelo de criptografia de chave dupla, juntamente com a autenticação de usuário integrada do Snowflake, habilita os três níveis de proteção de dados oferecidos pelo Tri-Secret Secure.

Atenção

Antes de entrar em contato com a Snowflake para ativar o Tri-Secret Secure para sua conta, você deve considerar cuidadosamente sua responsabilidade de proteger sua chave, conforme mencionado em Chaves gerenciadas pelo cliente. Se tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.

Note que a Snowflake também tem a mesma responsabilidade pelas chaves que mantemos. Como em todos os aspectos relacionados à segurança de nossos serviços, tratamos esta responsabilidade com o máximo cuidado e vigilância.

Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.

Compatibilidade de recursos

Os seguintes recursos não são compatíveis com Tri-Secret Secure:

Visão geral do autorregistro

Você pode usar o processo de autorregistro de CMK para registrar e ativar uma CMK para usar com o Tri-Secret Secure. Além disso, se você decidir substituir uma CMK para uso com Tri-Secret Secure, o processo de autorregistro informa se sua nova CMK está registrada e ativada. Após concluir o processo de autorregistro, você pode entrar em contato com o suporte Snowflake para habilitar sua conta Snowflake para usar com o Tri-Secret Secure.

O processo de autorregistro oferece os seguintes benefícios para você:

  • Simplifica os passos para registrar e autorizar sua CMK.

  • Fornece transparência ao status de registro e ativação de sua CMK com Tri-Secret Secure.

  • Facilita o trabalho com o serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.

  • Permite rotacionar sua CMK juntamente com o registro da nova CMK para usar com o Tri-Secret Secure.

Procedimento de autorregistro

O processo de autorregistro é o seguinte:

  1. Como cliente, faça o seguinte:

    1. Crie a CMK.

    2. Registre a CMK:

    3. Gere informações para o provedor de nuvem.

    4. Aplique a política de KMS.

    5. Confirme a conectividade entre sua conta Snowflake e sua CMK.

    6. Entre em contato com o suporte Snowflake para habilitar sua conta Snowflake para uso com o Tri-Secret Secure.

  2. O suporte Snowflake permite que sua conta Snowflake use o Tri-Secret Secure com base na CMK que você registra.

As etapas nesta seção evitam termos como “número de recurso da Amazon” (ARN) para manter o procedimento independente da nuvem. As etapas são as mesmas, independentemente da plataforma de nuvem que hospeda sua conta Snowflake. No entanto, os argumentos da função do sistema para algumas etapas são diferentes porque cada serviço de plataforma de nuvem é diferente.

Conclua as etapas a seguir para autorregistrar sua CMK para uso com o Tri-Secret Secure:

  1. Na serviço de KMS na plataforma de nuvem que hospeda sua conta Snowflake, crie uma CMK.

  2. No Snowflake, chame a função de sistema SYSTEM$REGISTER_CMK_INFO para registrar sua CMK com a integração de KMS.

    Verifique novamente os argumentos da função do sistema para a plataforma de nuvem que hospeda sua conta Snowflake.

  3. Chame a função de sistema SYSTEM$GET_CMK_INFO para visualizar os detalhes da CMK que você registrou.

  4. Chame a função de sistema SYSTEM$GET_CMK_CONFIG para gerar as informações necessárias para o provedor de nuvem.

    Esta política permite que Snowflake acesse sua CMK.

    Se sua conta Snowflake estiver no Microsoft Azure, passe o valor tenant_id para a função.

  5. Chame a função de sistema SYSTEM$VERIFY_CMK_INFO para confirmar a conectividade entre sua conta Snowflake e sua CMK.

  6. Entre em contato com o suporte Snowflake e solicite que sua conta Snowflake seja habilitada para usar o Tri-Secret Secure.

    Certifique-se de mencionar a conta específica em que você deseja usar Tri-Secret Secure.

Dica

Após entrar em contato com o suporte Snowflake, você pode chamar a função de sistema SYSTEM$GET_CMK_INFO para visualizar o status de ativação.

Depois que o suporte Snowflake habilitar sua conta Snowflake para usar Tri-Secret Secure, a saída da função SYSTEM$GET_CMK_INFO inclui is activated. Isso significa que sua conta Snowflake está usando Tri-Secret Secure com a CMK que você registrou.

Definição de uma CMK diferente para o Tri-Secret Secure

O processo de autorregistro permite que você registre uma CMK diferente com base em suas necessidades de segurança. O processo para registrar uma nova CMK é o mesmo que o processo de autorregistro que você seguiu para registrar e ativar sua CMK inicial.

Você pode concluir o processo de autorregistro para atualizar ou substituir a CMK usada com o Tri-Secret Secure a qualquer hora. Quando você passa pelo processo de autorregistro novamente com uma nova chave, as saídas das funções do sistema são diferentes. A diferença é que você já tem uma CMK registrada e em uso com Tri-Secret Secure e está no processo de habilitar uma nova CMK. Para obter mais detalhes, consulte as saídas possíveis para cada função do sistema.

Linguagem: Português