Trust Center¶
Nota
Contas de leitor do Snowflake não são aceitas.
Você pode usar o Trust Center para avaliar e monitorar sua conta quanto a riscos de segurança. O Trust Center avalia sua conta em relação às recomendações especificadas nos verificadores de acordo com um cronograma, mas você pode alterar a frequência com que os verificadores são executados. Se sua conta violar uma das recomendações de qualquer um dos verificadores habilitados, o Trust Center fornecerá uma lista de riscos de segurança e informações sobre como mitigar esses riscos.
Casos de uso comuns¶
Privilégios obrigatórios¶
Um usuário com a função ACCOUNTADMIN deve conceder à sua função a função de aplicativo SNOWFLAKE.TRUST_CENTER_VIEWER ou SNOWFLAKE.TRUST_CENTER_ADMIN, dependendo de qual aba do Trust Center você deseja acessar.
Consulte a tabela a seguir para obter informações sobre quais funções de aplicativo você precisa para acessar guias específicas no Trust Center:
Aba do Trust Center |
Funções de aplicativo necessárias |
|---|---|
Findings |
|
Scanner Packages |
|
Por exemplo, para criar e conceder uma função separada para acessar a aba Findings e uma função separada para acessar a aba Scanner Packages, você pode executar os seguintes comandos usando a função ACCOUNTADMIN:
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Utilização da conectividade privada¶
O Trust Center oferece suporte à conectividade privada. Para obter mais informações, consulte Uso de conectividade privada.
Resultados¶
O Trust Center fornece uma guia Findings que fornece as seguintes informações:
Um gráfico de violações de verificador ao longo do tempo, codificado por cores e por gravidade baixa, média, alta e crítica.
Uma lista interativa de recomendações para cada violação encontrada. Cada recomendação contém detalhes sobre a violação, quando o verificador foi executado pela última vez e como corrigir a violação.
Os resultados permitem que você identifique configurações do Snowflake na conta que violam os requisitos dos pacotes de verificadores habilitados. Para cada violação, o Trust Center fornece uma explicação de como remediar a violação. Após corrigir uma violação, ela ainda aparecerá na guia Findings até que a próxima execução agendada do pacote de verificadores que contém o verificador que relatou a violação comece ou até que você execute o pacote de verificadores manualmente.
Você precisa de uma função de aplicativo específica para acessar a guia Findings. Para obter mais informações, consulte Privilégios obrigatórios.
Verificadores¶
Um verificador é um processo agendado em segundo plano que averigua sua conta em busca de riscos de segurança com base na forma como você configurou sua conta. Os verificadores são agrupados em pacotes de verificadores. Os verificadores contêm informações sobre os riscos de segurança que eles verificam em sua conta e o pacote de verificadores que os contém.
Os pacotes de verificadores contêm uma descrição e uma lista de verificadores que são executados quando você habilita o pacote de verificadores. Depois de habilitar um pacote de verificadores, ele é executado imediatamente, independentemente do cronograma configurado.
Por padrão, os pacotes de verificadores são desativados, exceto o Pacote de verificadores Segurança Básica.
Os pacotes de verificadores são executados de acordo com um cronograma. Você não pode alterar o cronograma do pacote de verificadores Pacote de verificadores Segurança Básica, mas pode alterar a cronograma dos seguintes pacotes de verificadores:
Primeiro você deve habilitar um pacote de verificadores antes de poder alterar seu cronograma.
Você precisa de funções de aplicativo específicas para acessar a guia Scanner Packages. Para mais informações, consulte a tabela em requisitos.
Os seguintes pacotes de verificadores estão disponíveis:
Pacote de verificadores Segurança Básica¶
O pacote de verificadores Segurança Básica é um pacote de verificadores gratuito que não gera custo. Este pacote de verificadores verifica sua conta para conferir as configurações de conta recomendadas pelo Snowflake e confere se a autenticação multifator (MFA) está ativada para todos os usuários que usam autenticação de senha.
Este verificador verifica somente usuários com a propriedade TYPE definida como PERSON ou NULL.
Este pacote de verificadores é executado a cada duas semanas e você não pode alterar o cronograma.
Por padrão, este pacote de verificadores está habilitado e não pode ser desativado.
O pacote de verificadores Segurança Básica não gera custo de computação sem servidor.
Pacote de verificadores de Benchmarks CIS¶
Você pode acessar insights de segurança adicionais ativando o pacote de verificadores Benchmarks CIS, que contém verificadores que avaliam sua conta em relação aos Benchmarks do Center for Internet Security (CIS) do Snowflake. Os CIS Snowflake Benchmarks são uma lista de práticas recomendadas para configurações de conta Snowflake destinadas a reduzir vulnerabilidades de segurança. Os CISSnowflake Benchmarks foram criados por meio da colaboração da comunidade e do consenso entre especialistas no assunto.
Para obter uma cópia dos CIS Snowflake Benchmarks, consulte o site dos CIS Snowflake Benchmarks.
As recomendações encontradas nos CIS Snowflake Benchmarks são numerados por seção e recomendação. Por exemplo, a primeira recomendação da primeira seção é numerada como 1.1. Na aba Findings, o Trust Center fornece números de seção para cada violação se você quiser fazer referência aos CIS Snowflake Benchmarks.
Esse pacote de verificadores é executado uma vez por dia por padrão, e você pode alterar o cronograma.
Para obter informações sobre como habilitar pacotes de verificadores, o custo que pode ocorrer com verificadores habilitados e como alterar o cronograma de um pacote de verificadores, consulte as seguintes referências:
Nota
Para benchmarks CIS específicos do Snowflake, o Snowflake apenas determina se você implementou uma medida de segurança específica, mas não avalia se a medida de segurança foi implementada de uma forma que atinja seu objetivo. Para esses parâmetros de comparação, a ausência de violação não garante que a medida de segurança seja implementada de maneira eficaz. Os seguintes parâmetros de comparação não avaliam se suas implementações de segurança foram implementadas de forma a alcançar seu objetivo, ou o Trust Center não realiza verificações para elas:
Toda a seção 2: monitoramento e alertas
3.1: certifique-se de que uma política de redes em nível de conta tenha sido configurada para permitir acesso somente de endereços IP confiáveis. O Trust Center exibirá uma violação se você não tiver uma política de redes em nível de conta, mas não avaliará se os endereços IP apropriados foram permitidos ou bloqueados.
4.3: certifique-se de que o parâmetro DATA_RETENTION_TIME_IN_DAYS esteja definido como 90 para dados críticos. O Trust Center exibirá uma violação se o parâmetro DATA_RETENTION_TIME_IN_DAYS associado ao Time Travel não estiver definido como 90 dias para a conta ou pelo menos um objeto, mas não avalia quais dados são considerados críticos.
4.10: certifique-se de que o mascaramento de dados esteja habilitado para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de mascaramento, mas não avalia se os dados confidenciais estão protegidos adequadamente. O Trust Center não avalia se uma política de mascaramento está atribuída a pelo menos uma tabela ou exibição.
4.11: certifique-se de que as políticas de acesso a linhas estejam configuradas para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de acesso a linhas, mas não avalia se os dados confidenciais estão protegidos. O Trust Center não avalia se uma política de acesso a linhas está atribuída a pelo menos uma tabela ou exibição.
Pacote de verificadores Threat Intelligence¶
Você pode acessar insights de segurança adicionais habilitando o pacote de verificadores Threat Intelligence, que permite descobrir usuários de risco com base em TYPE de usuários ou ADMIN_USER_TYPE, métodos de autenticação, políticas de autenticação e políticas de rede usadas. Este pacote de verificadores fornece uma gravidade de risco para cada usuário de risco, para ajudar você a priorizar quais usuários abordar primeiro.
Esse pacote de verificadores verifica todos os tipos de usuários e os categoriza como de risco ou sem risco, dependendo do tipo e das condições.
Qualquer tipo de usuário é considerado de risco se todos os seguintes critérios forem verdadeiros:
Ele usa uma senha ou uma chave pública RSA para autenticação.
Ele não é obrigado a usar MFA por uma política de autenticação.
Ele não é restringido por uma política de redes.
Cada usuário de risco tem uma gravidade, com base no TYPE e no uso de uma política de redes restritiva.
Veja a tabela abaixo para obter uma lista de tipos de usuário e quais níveis de gravidade são relatados em quais condições:
Condição |
Gravidade do risco |
|
|---|---|---|
PERSON ou NULL |
Ele não tem uma política de autenticação que impõe MFA e não tem uma política de redes que o restringe. |
CRITICAL |
Ele não tem uma política de autenticação que impõe MFA, mas tem uma política de redes que o restringe. |
HIGH |
|
SERVICE ou LEGACY_SERVICE |
Ele não tem uma política de autenticação que impõe MFA e não tem uma política de redes que o restringe. |
CRITICAL |
Ele não tem uma política de autenticação que impõe MFA, mas tem uma política de redes que o restringe. |
MEDIUM |
Esse pacote de verificadores é executado uma vez por dia por padrão, e você pode alterar o cronograma.
Para obter informações sobre como habilitar pacotes de verificadores, o custo que pode ocorrer com verificadores habilitados e como alterar o cronograma de um pacote de verificadores, consulte as seguintes referências: