Sécurité du compte de service Snowflake, partie 3

Sécurité du compte de service Snowflake, partie 3

Dans la partie 1 et Partie 2 de cette série d’articles de blog, Snowflake Service Account Security, a abordé les menaces des comptes de service et comment atténuer ces menaces avec les fonctionnalités de Snowflake. La partie 3 montre comment gérer la rotation des informations d’identification avec un exemple de plugin Hashicorp Vault. Vous pouvez utiliser de nombreuses plates-formes pour obtenir des résultats similaires. L’important est de comprendre les modèles utilisés pour appliquer ces contrôles afin de protéger vos comptes de service.

Atténuations offertes à l’aide de la rotation des informations d’identification

Ce tableau montre comment la rotation des informations d’identification profite à nos atténuations :

Service Account 3 1

Fonctionnement du plug-in Vault

Pour des instructions complètes et pour obtenir le plugin à tester, veuillez consulter le dépôt github avec le code et la documentation. Les deux scénarios suivants montrent comment utiliser le plug-in pour obtenir des contrôles solides.

Les scénarios supposent que vous avez déjà effectué toute la configuration.

Dans le premier scénario, vous utilisez le plugin pour créer des utilisateurs éphémères avec des droits très spécifiques. Pour ce faire, vous créez un rôle dans Vault. Le rôle contient les instructions pour créer correctement l’utilisateur dans Snowflake. Vous pouvez ensuite lire à partir de ce rôle Vault pour obtenir un nom d’utilisateur et un mot de passe temporaires.

Nous allons créer un rôle appelé xvi puis appelez-le pour obtenir un utilisateur :

Vaultlock

Cela se traduit par la création d’un utilisateur dans Snowflake :

Select Name

Cet utilisateur est ensuite supprimé par Vault lorsque le bail expire (cela provient des journaux Vault) :

Rename

Notez quelques points clés liés à nos objectifs d’atténuation :

  • Le rôle crée des utilisateurs avec un ensemble spécifique de droits encapsulés dans leurs rôles et entrepôts. Cela nous permet de créer un utilisateur avec le moins de privilèges nécessaires.
  • Le rôle définit une durée par défaut et maximale pour que les informations d’identification d’un utilisateur soient actives. Cela garantit qu’il s’agira d’un titre de courte durée.

Notre deuxième scénario fait pivoter les informations d’identification d’un utilisateur Snowflake existant. Si le nom d’utilisateur du compte de service est important pour l’application, cette approche permet de prédéfinir le nom. Encore une fois, nous créons un rôle Vault pour y parvenir. Le rôle, nommé équipedpcorrespondra à un utilisateur existant nommé bob. Nous alternerons le mot de passe pour bob toutes les cinq minutes.

Passwords

Après avoir créé le rôle, nous l’avons appelé pour obtenir le nouveau mot de passe Vault créé pour lui. Lorsque nous l’appelons à nouveau un peu plus tard, nous voyons le compte à rebours de cinq minutes pour vivre (TTL). Nous pouvons également appeler rotation-rôle sur le rôle Vault, ce qui force la rotation immédiate du mot de passe.

Notez quelques points clés liés à nos objectifs d’atténuation :

  • Le rôle définit une durée maximale de validité du mot de passe de l’utilisateur. Cela garantit qu’il s’agira d’un titre de courte durée.
  • Toute personne disposant de ce mot de passe peut l’utiliser pendant un temps limité avant qu’il ne tourne à nouveau automatiquement. Cela permet d’empêcher l’accès indésirable aux comptes de service persistants.
  • Une fois qu’un programme est terminé avec le mot de passe, il peut appeler rotation-rôle pour que le mot de passe soit immédiatement remplacé par une nouvelle valeur. Cela contrôle complètement le cycle de vie du mot de passe, évitant ainsi tout accès humain.

Conclusion

Pour prévenir les attaques, il est essentiel d’automatiser le contrôle des informations d’identification de votre compte de service. Une variété de systèmes peut vous aider à configurer l’automatisation et à créer une cible mouvante, qui est la cible la plus difficile à atteindre. En savoir plus sur Snowflake engagement à Sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.