Chiffrement des données avec des clés gérées par le client pour Azure

Chiffrement des données avec des clés gérées par le client pour Azure

En 2017, Snowflake a annoncé la prise en charge des clés gérées par le client à l’aide d’AWS Key Management Service (KMS). Ces clés, créées et contrôlées par le client Snowflake, sont utilisées dans le cadre de la clé de chiffrement des données pour toutes les données du compte d’un client.

Aujourd’hui, nous annonçons la disponibilité du chiffrement des données avec des clés gérées par le client pour Snowflake sur Azure. En tant que composant de Tri-Secret Secure disponible sur l’édition Snowflake Business Critical (BC), les clés gérées par le client fournissent des couches de sécurité supplémentaires qui permettent aux clients très sensibles à la sécurité de gérer la capacité de Snowflake à chiffrer et déchiffrer leurs données. Lorsque les clients utilisent des clés gérées par le client, ils peuvent révoquer l’accès de Snowflake pour utiliser leur clé à tout moment, ce qui empêche Snowflake de lire ou d’écrire des données dans leur compte. Vous pouvez en savoir plus sur le chiffrement des données avec des clés gérées par le client dans ce article de blog.

Coffre de clés Azure

Les clés gérées par le client pour Snowflake sur Azure utilisent des clés définies dans Azure Key Vault. Le service Azure Key Vault crée et stocke des clés de chiffrement, en contrôle l’accès et autorise les opérations de chiffrement à l’aide de ces clés. Azure Key Vault fournit également un audit et une journalisation pour l’utilisation des clés. Les clés basées sur RSA peuvent être créées par Azure Key Vault ou importées d’une autre source. Les clés sont stockées dans un module de sécurité matériel sécurisé (HSM) et ne peuvent pas être exportées depuis Azure Key Vault.

Pour activer le chiffrement des données avec des clés gérées par le client pour Azure, les clients créent une clé RSA 4K dans leur propre locataire Azure. Ensuite, ils accordent à un principal de service Snowflake dans leur locataire la possibilité d’utiliser la clé pour encapsuler, désencapsuler, signer et vérifier. Pour désactiver l’utilisation de la clé, le client peut supprimer la possibilité d’effectuer des opérations cryptographiques ou révoquer tous les privilèges du principal de service Snowflake. Snowflake met en cache la clé dérivée pendant une courte période pour assurer la résilience pendant de courtes interruptions de service, et après cette période, les données ne seront pas accessibles tant que le principal du service Snowflake ne dispose pas de privilèges d’utilisation de la clé. Lorsque les privilèges sont révoqués, les données seront chiffrées et déchiffrées normalement.

Activer le chiffrement des données sur votre compte

Pour activer le chiffrement des données avec des clés gérées par le client pour Azure sur votre compte Snowflake Business Critical (BC), vous devez créer un Azure Key Vault que vous autoriserez Snowflake à utiliser. Nous recommandons que votre Azure Key Vault contienne uniquement la clé spécifique que vous souhaitez partager avec nous.

Contacter l’assistance Snowflake pour vous aider à démarrer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.