Trust Center¶
Nota
Contas de leitor do Snowflake não são aceitas.
Você pode usar o Trust Center para avaliar e monitorar sua conta quanto a riscos de segurança. O Trust Center avalia sua conta em relação às recomendações especificadas nos verificadores de acordo com um cronograma, mas você pode alterar a frequência com que os verificadores são executados. Se sua conta violar uma das recomendações de qualquer um dos verificadores habilitados, o Trust Center fornecerá uma lista de riscos de segurança e informações sobre como mitigar esses riscos.
Casos de uso comuns¶
Privilégios obrigatórios¶
Um usuário com a função ACCOUNTADMIN deve conceder à sua função a função de aplicativo SNOWFLAKE.TRUST_CENTER_VIEWER ou SNOWFLAKE.TRUST_CENTER_ADMIN, dependendo de qual aba do Trust Center você deseja acessar.
Consulte a tabela a seguir para obter informações sobre quais funções de aplicativo você precisa para acessar guias específicas no Trust Center:
Aba do Trust Center |
Funções de aplicativo necessárias |
|---|---|
Findings |
|
Scanner Packages |
|
Por exemplo, para criar e conceder uma função separada para acessar a aba Findings e uma função separada para acessar a aba Scanner Packages, você pode executar os seguintes comandos usando a função ACCOUNTADMIN:
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
Utilização da conectividade privada¶
O Trust Center oferece suporte à conectividade privada. Para obter mais informações, consulte Uso de conectividade privada.
Resultados¶
O Trust Center fornece uma guia Findings que fornece as seguintes informações:
Um gráfico de violações de verificador ao longo do tempo, codificado por cores e por gravidade baixa, média, alta e crítica.
Uma lista interativa de recomendações para cada violação encontrada. Cada recomendação contém detalhes sobre a violação, quando o verificador foi executado pela última vez e como corrigir a violação.
Os resultados permitem que você identifique configurações do Snowflake na conta que violam os requisitos dos pacotes de verificadores habilitados. Para cada violação, o Trust Center fornece uma explicação de como remediar a violação. Após corrigir uma violação, ela ainda aparecerá na guia Findings até que a próxima execução agendada do pacote de verificadores que contém o verificador que relatou a violação comece ou até que você execute o pacote de verificadores manualmente.
Você precisa de uma função de aplicativo específica para acessar a guia Findings. Para obter mais informações, consulte Privilégios obrigatórios.
Verificadores¶
Um verificador é um processo agendado em segundo plano que averigua sua conta em busca de riscos de segurança com base na forma como você configurou sua conta. Os verificadores são agrupados em pacotes de verificadores. Os verificadores contêm informações sobre os riscos de segurança que eles verificam em sua conta e o pacote de verificadores que os contém.
Os pacotes de verificadores contêm uma descrição e uma lista de verificadores que são executados quando você habilita o pacote de verificadores. Depois de habilitar um pacote de verificadores, ele é executado imediatamente, independentemente do cronograma configurado.
Por padrão, os pacotes de verificadores são desativados, exceto o Pacote de verificadores Segurança Básica.
Os pacotes de verificadores são executados de acordo com um cronograma. É necessário primeiro ativar um pacote de verificadores antes de alterar seu cronograma, se o pacote de verificadores permitir que você altere o altere.
Você precisa de funções de aplicativo específicas para acessar a guia Scanner Packages. Para mais informações, consulte a tabela em requisitos.
Os seguintes pacotes de verificadores estão disponíveis:
Pacote de verificadores Segurança Básica¶
O pacote de verificadores Security Essentials é um pacote de verificadores gratuito. Esse pacote de verificadores examina sua conta para verificar se você configurou as seguintes recomendações:
Você tem uma política de autenticação que obriga todos os usuários humanos a se inscreverem na autenticação multifator (MFA) se usarem senhas para autenticação.
Todos os usuários humanos estão inscritos em MFA se usarem senhas para autenticação.
Você definiu uma política de redes em nível de conta configurada para permitir apenas o acesso de endereços IP confiáveis.
Você configurou uma tabela de eventos se sua conta habilitou o compartilhamento de eventos para um aplicativo nativo, para que sua conta receba uma cópia das mensagens de log e das informações de eventos que são compartilhadas com o provedor de aplicativos.
Este pacote de verificadores analisa apenas os usuários com a propriedade TYPE definida como PERSON ou NULL.
Este pacote de verificadores é executado a cada duas semanas e você não pode alterar o cronograma.
Por padrão, este pacote de verificadores está habilitado e não pode ser desativado.
O pacote de verificadores Segurança Básica não gera custo de computação sem servidor.
Pacote de verificadores de Benchmarks CIS¶
Você pode acessar insights de segurança adicionais ativando o pacote de verificadores Benchmarks CIS, que contém verificadores que avaliam sua conta em relação aos Benchmarks do Center for Internet Security (CIS) do Snowflake. Os CIS Snowflake Benchmarks são uma lista de práticas recomendadas para configurações de conta Snowflake destinadas a reduzir vulnerabilidades de segurança. Os CISSnowflake Benchmarks foram criados por meio da colaboração da comunidade e do consenso entre especialistas no assunto.
Para obter uma cópia dos CIS Snowflake Benchmarks, consulte o site dos CIS Snowflake Benchmarks.
As recomendações encontradas nos CIS Snowflake Benchmarks são numerados por seção e recomendação. Por exemplo, a primeira recomendação da primeira seção é numerada como 1.1. Na aba Findings, o Trust Center fornece números de seção para cada violação se você quiser fazer referência aos CIS Snowflake Benchmarks.
Esse pacote de verificadores é executado uma vez por dia por padrão, e você pode alterar o cronograma.
Para obter informações sobre como habilitar pacotes de verificadores, o custo que pode ocorrer com verificadores habilitados e como alterar o cronograma de um pacote de verificadores, consulte as seguintes referências:
Nota
Para benchmarks CIS específicos do Snowflake, o Snowflake apenas determina se você implementou uma medida de segurança específica, mas não avalia se a medida de segurança foi implementada de uma forma que atinja seu objetivo. Para esses parâmetros de comparação, a ausência de violação não garante que a medida de segurança seja implementada de maneira eficaz. Os seguintes parâmetros de comparação não avaliam se suas implementações de segurança foram implementadas de forma a alcançar seu objetivo, ou o Trust Center não realiza verificações para elas:
Toda a seção 2: monitoramento e alertas
3.1: certifique-se de que uma política de redes em nível de conta tenha sido configurada para permitir acesso somente de endereços IP confiáveis. O Trust Center exibirá uma violação se você não tiver uma política de redes em nível de conta, mas não avaliará se os endereços IP apropriados foram permitidos ou bloqueados.
4.3: certifique-se de que o parâmetro DATA_RETENTION_TIME_IN_DAYS esteja definido como 90 para dados críticos. O Trust Center exibirá uma violação se o parâmetro DATA_RETENTION_TIME_IN_DAYS associado ao Time Travel não estiver definido como 90 dias para a conta ou pelo menos um objeto, mas não avalia quais dados são considerados críticos.
4.10: certifique-se de que o mascaramento de dados esteja habilitado para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de mascaramento, mas não avalia se os dados confidenciais estão protegidos adequadamente. O Trust Center não avalia se uma política de mascaramento está atribuída a pelo menos uma tabela ou exibição.
4.11: certifique-se de que as políticas de acesso a linhas estejam configuradas para dados confidenciais. O Trust Center exibe uma violação se a conta não tiver pelo menos uma política de acesso a linhas, mas não avalia se os dados confidenciais estão protegidos. O Trust Center não avalia se uma política de acesso a linhas está atribuída a pelo menos uma tabela ou exibição.
Pacote de verificadores Threat Intelligence¶
Você pode acessar insights de segurança adicionais habilitando o pacote de verificadores Threat Intelligence, que permite descobrir usuários de risco com base em TYPE de usuários ou ADMIN_USER_TYPE, métodos de autenticação, políticas de autenticação e políticas de rede usadas. Este pacote de verificadores fornece uma gravidade de risco para cada usuário de risco, para ajudar você a priorizar quais usuários abordar primeiro.
Este pacote de verificadores analisa todos os tipos de usuário e os categoriza como arriscados ou não. Cada usuário arriscado tem uma gravidade, com base em seu TYPE ou ADMIN_USER_TYPE, e em quais configurações estão definidas.
Consulte o diagrama abaixo para obter informações sobre qual combinação de tipos de usuários (PERSON, NULL, SERVICE e LEGACY_SERVICE) e condições tornam um usuário arriscado e qual a gravidade do risco apresentado por cada usuário:
Esse pacote de verificadores é executado uma vez por dia por padrão, e você pode alterar o cronograma.
Para obter informações sobre como habilitar pacotes de verificadores, o custo que pode ocorrer com verificadores habilitados e como alterar o cronograma de um pacote de verificadores, consulte as seguintes referências: