三秘密的好处
Posted
技术标签:
【中文标题】三秘密的好处【英文标题】:Tri-Secret benefits 【发布时间】:2021-04-29 13:21:55 【问题描述】:我想知道在 Snowflake 仓库中应用 Tri-Secret Managed Key 安全性有哪些功能优势?
据我了解:
Tri-Secret 方法让您定义自己的密钥 撤销该密钥将使 Snowflake 无法解密您的数据但是加密级别是否更安全? 我看到的唯一区别是雪花键和您自己的键组合在一起。 禁止访问该密钥将使 Snowflake 无法解密,从而使您的数据无用。 然后什么?如何从中恢复?
另见:https://www.snowflake.com/blog/customer-managed-keys/
这是雪花自己的。他们基本上说的是:
您拥有更多控制权,但您必须向 Snowflake 提供该密钥,否则他们无法完成工作 如果您不信任 Snowflake,您可以阻止其访问您的数据 如果发生数据泄露,您可以防止进一步泄露(但为什么不关闭所有访问,除了经过重新验证的受信任方???)我被这个功能所困扰。 我从当地 Snowflake 代表那里得到的唯一回应是荷兰金融法律/法规规定或至少暗示需要这样做。
问候,理查德。
【问题讨论】:
【参考方案1】:让我首先在这里做一个最重要的声明:不要使用客户管理的密钥,除非你真的需要使用它们。
想想最坏的情况:如果您没有一个令人难以置信的弹性平台来安全地存储您自己的密钥,那么一旦丢失您的密钥,您就有丢失所有数据的风险。
现在让我引用一些第三方关于何时应该使用客户管理的密钥:
Google says:
客户管理的加密密钥适用于拥有敏感或受监管数据的组织,这些数据要求他们管理自己的加密密钥。
含义:客户管理的密钥适用于需要使用它们的组织。不要走这条路,除非你也需要。
或者为什么有些公司会开始使用自己的密钥,或者停止使用它们——from CIO.com:
如果您正在考虑携带自己的密钥(也意味着保护自己的密钥)是否适合您的业务,首先要问的问题是您是否准备好成为一家银行,因为您必须经营自己的银行关键基础设施同样严格,甚至考虑到公司官员的旅行计划。如果您有三个人被授权使用可以访问您的钥匙的智能卡,那么您绝对不想让他们三个人在同一个飞机上。
关于汽车行业微软客户的同一篇文章:
“他们一开始都说‘我想掌控一切’,但当他们看到责任并理解微软在多大程度上承担了这一责任时,他们会说‘你为什么不直接去做。’他们不想成为链条中较弱的一环。”
以及纽约金融机构:
微软 Office 365 团队的 Paul Rich 说,即使是最初希望 BYOK 与他们自己的本地 HSM 运行的一些纽约金融机构在考虑可能出现问题时也决定反对。 “HSM 可能会被关闭,从而淘汰大量用户群。他们很快意识到这可能是恶意内部人员或攻击者对公司执行的一次巨大的拒绝服务攻击。这些是我们最老练的客户,他们高度敏感地认为这是一项重大责任,但也是潜在破坏的威胁,无论是意外还是恶意。”
因此,如果您已经了解客户管理的密钥为何对您的用例有益,并且只有在您准备好承担安全管理它们的成本时,您才应该使用它们。否则,只需让 Snowflake 为您处理所有这些复杂问题。
另一方面,使用来自Snowflake announcement post 的三秘密的好处:
客户管理的密钥为拥有敏感数据的客户提供更高级别的安全性。借助此功能,客户可以自己管理加密密钥并使其可供 Snowflake 访问。如果客户决定禁用访问,则无法再解密数据。此外,所有正在运行的查询都将中止。这对客户有以下好处:(a) 从技术上讲,Snowflake 无法满足访问客户数据的请求,(b) 客户可以主动减少数据泄露并限制数据泄露,以及 (c) 它提供客户完全控制数据生命周期。
在同一篇博文中,您会注意到 Snowflake 三重客户密钥由 AWS's KMS 管理。这为您提供了上述好处,而无需部署您自己的基础架构来管理您的密钥。您仍然需要仔细考虑保护密钥的责任。
AWS Key Management Service (KMS) 让您可以轻松地创建和管理加密密钥,并控制它们在各种 AWS 服务和您的应用程序中的使用。 AWS KMS 是一项安全且有弹性的服务,它使用已根据 FIPS 140-2 验证或正在验证的硬件安全模块来保护您的密钥。 AWS KMS 与 AWS CloudTrail 集成,可为您提供所有密钥使用情况的日志,以帮助满足您的监管和合规性需求。
博文尚未更新以反映 GCP 和 Azure 也可用于管理密钥,如 stated in the docs:
Tri-Secret Secure 让您可以使用您在托管您的 Snowflake 账户的云提供商的密钥管理服务中维护的主加密密钥来控制对数据的访问:AWS:AWS Key Management Service (KMS);谷歌云:云密钥管理服务(Cloud KMS); Microsoft Azure:Azure 密钥库。
您可能希望进行的未来研究的同义词:BYOK、CMEK。
【讨论】:
以上是关于三秘密的好处的主要内容,如果未能解决你的问题,请参考以下文章