三大秘密福利 [英] Tri-Secret benefits

问题描述

我想知道在雪花仓库中应用Tri-Secret管理的密钥安全有什么功能优势？

据我所知：

• Tri-Secret方法让您定义自己的密钥
• 吊销该密钥将使Snowflake无法解密您的数据

但加密级别是否在任何方面更安全？ 我看到的唯一区别是雪花钥匙和你自己的钥匙是结合在一起的。 禁止访问该密钥将使Snowflake无法解密，从而使您的数据毫无用处。 然后呢？如何从中恢复？

另见：https://www.snowflake.com/blog/customer-managed-keys/

这是Snowflake自己的。他们本质上说的是：

• 您有更多控制权，但您必须向Snowflake提供该密钥，否则他们无法完成工作
• 如果您不信任Snowflake，您可以禁止Snowflake访问您的数据
• 如果发生数据泄漏，您可以防止进一步的泄漏(但在这种情况下，为什么不关闭除受信任的可信方之外的所有访问？)

我被这个功能阻碍了。 我从雪花公司当地代表那里得到的唯一回应是，荷兰的金融法律/法规规定了或至少暗示了这样做的必要性。

你好，理查德。

推荐答案

让我首先说明最重要的一点：不要使用客户托管密钥，除非您确实需要使用它们。

想一想最坏的情况：如果您没有一个极具弹性的平台来安全地存储您自己的密钥，那么如果您丢失了密钥，您将面临丢失所有数据的风险。

现在让我引用一些第三方关于何时应该使用客户管理的密钥：

Google says：

客户管理的加密密钥适用于具有需要他们管理自己的加密密钥的敏感数据或受监管数据的组织。

含义：客户管理的密钥适用于需要使用它们的组织。除非需要，否则请不要遵循此路径。

或者为什么一些公司会开始使用自己的钥匙，或者停止使用它们-from CIO.com：

如果你正在考虑自带钥匙--这也意味着保护你自己的钥匙--对你的业务是否合适，那么首先要问的问题是，你准备好成为一家银行了吗，因为你将不得不以同样严格的方式运行你的关键基础设施，甚至考虑公司高管的旅行计划。如果您有三个人被授权使用允许访问您的密钥的智能卡，您永远不会想让这三个人都在同一飞机上。

同一篇关于微软汽车行业客户的文章：

"他们一开始都说‘我想要掌控局面’，但当他们看到责任所在，并理解微软承担这一责任的极端程度时，他们会说‘你为什么不直接去做呢？’他们不想成为链条中较弱的一环。

和纽约金融机构：

微软Office 365团队的保罗·里奇表示，即使是一些最初想要与本地HSM竞争的纽约金融机构，在考虑可能出现问题的地方时，也决定不要这样做。"HSM可能已经断电，导致大量用户群瘫痪。他们很快就意识到，这可能是恶意内部人士或攻击者对公司进行的一次巨大的拒绝服务攻击。这些都是我们最老练的客户，他们高度敏感，认为这是一项重大责任，但也是一种潜在的破坏威胁，无论这是意外还是恶意的。"

因此，只有当您已经了解为什么客户管理的密钥对您的用例有利，并且您准备好承担安全管理它们的成本时，您才应该使用客户管理的密钥。否则，就让Snowflake为您处理所有这些复杂的事情。

另一方面，使用Snowflake announcement post中的三重秘密的好处：

客户管理的密钥为具有敏感数据的客户提供了额外的安全级别。有了这一功能，客户可以自己管理加密密钥，并使Snowflake能够访问它。如果客户决定禁用访问，数据将无法再解密。此外，所有正在运行的查询都将中止。这对客户有以下好处：(A)它使Snowflake在技术上不可能满足访问客户数据的请求，(B)客户可以主动减少数据泄露并限制数据外泄，以及(C)它使客户能够完全控制数据生命周期。

在同一篇博客文章中，您将注意到Snowflake三密客户密钥由AWS's KMS管理。这为您提供了上述优势，而无需部署您自己的基础设施来管理您的密钥。您仍然需要仔细考虑保护您的密钥的责任。

AWS密钥管理服务(KMS)使您可以轻松地创建和管理加密密钥，并控制其在各种AWS服务和应用程序中的使用。AWS KMS是一项安全且有弹性的服务，它使用已根据FIPS 140-2验证或正在验证的硬件安全模块来保护您的密钥。AWS KMS与AWS CloudTrail集成，为您提供所有关键使用情况的日志，以帮助满足您的法规和合规需求。

博客帖子尚未更新，以反映GCP和Azure也可用于管理密钥，如stated in the docs：

Tri-Secret Secure允许您使用您在托管Snowflake帐户的云提供商的密钥管理服务中维护的主加密密钥来控制对您的数据的访问：AWS：AWS密钥管理服务(KMS)；Google Cloud：云密钥管理服务(Cloud KMS)；Microsoft Azure：Azure密钥库。

您可能希望执行的未来研究的同义词：byok、cmek。

这篇关于三大秘密福利的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！