Trust Center¶
备注
Snowflake 阅读者账户不受支持。
您可以使用 Trust Center 评估和监控账户的安全风险。Trust Center 按照计划,根据 扫描器 中指定的建议评估您的账户,但您可以更改 扫描器运行的频率。如果您的账户违反任何启用的扫描器中的任何建议,则 Trust Center 会提供 一份安全风险清单,以及有关如何减轻这些风险的信息。
常见用例¶
所需权限¶
具有 ACCOUNTADMIN 角色 的用户必须授予角色 SNOWFLAKE.TRUST_CENTER_VIEWER 或 SNOWFLAKE.TRUST_CENTER_ADMIN 应用程序角色,具体取决于您想要访问哪个 Trust Center 选项卡。
请参阅下表,获取有关访问 Trust Center 特定选项卡所需的应用程序角色的信息:
Trust Center 选项卡 |
所需应用程序角色 |
|---|---|
Findings |
|
Scanner Packages |
|
例如,要为访问 Findings 选项卡创建并授予单独的角色,以及为访问 Scanner Packages 选项卡创建并授予单独的角色,您可以使用 ACCOUNTADMIN 角色运行以下命令:
USE ROLE ACCOUNTADMIN;
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_admin_role TO USER example_admin_user;
GRANT ROLE trust_center_viewer_role TO USER example_nonadmin_user;
使用专用连接¶
Trust Center 支持专用连接。有关更多信息,请参阅 使用专用连接。
Findings¶
Trust Center 具有 Findings 选项卡,其中提供以下信息:
随时间变化的扫描器违规图,按低、中、高和严重四个等级进行颜色编码。
每个发现的违规行为的交互式建议列表。每个建议都包含有关违规的详细信息、扫描器上次运行的时间以及纠正违规的方法。
Findings 可以帮助您识别账户中违反 启用的扫描器包 要求的 Snowflake 配置。对于每个违规行为,Trust Center 都提供了如何纠正该违规行为的说明。在纠正违规行为后,该违规将仍然显示在 Findings 选项卡中,直到报告违规的下一个计划扫描器包开始运行,或者直到您 手动运行扫描器包。
您需要特定的应用程序角色才能访问 Findings 选项卡。有关更多信息,请参阅 所需权限。
扫描器¶
扫描器是一个定期执行的后台过程,会根据您对账户的配置检查您的账户是否存在安全风险。将扫描器分组到扫描器包中。扫描器包含有关其在账户中检查的安全风险的信息,及其所属扫描器包的信息。
扫描器包包含描述和在您 启用扫描器包 时运行的扫描器列表。启用扫描器包后,扫描器包会立即运行,无论配置的计划如何。
默认情况下,系统会停用扫描器包,Security Essentials 扫描器包 除外。
扫描器包按计划运行。如果扫描器包允许您更改计划,您必须首先启用扫描器包,然后才能更改其计划。
您需要特定的应用程序角色才能访问 Scanner Packages 选项卡。有关更多信息,请参阅 要求 中的表。
以下扫描器包可用:
Security Essentials 扫描器包¶
Security Essentials 扫描器包是免费的扫描器包,不会产生费用。此扫描器包可扫描您的账户,检查您是否已设置以下建议:
您有一项身份验证政策,要求所有人类用户在使用密码进行身份验证时必须注册多重身份验证 (MFA)。
如果使用密码进行身份验证,则所有人类用户都会注册 MFA。
您设置了一个账户级网络策略,并已配置为仅允许来自受信任 IP 地址的访问。
如果您的账户 启用了原生应用程序的事件共享,则 设置事件表,您的账户将收到与应用程序提供商共享的日志消息和事件信息的副本。
此扫描器包仅扫描 TYPE 属性 设置为 PERSON 或 NULL 的用户。
此扫描器包每两周运行一次,无法更改计划。
默认情况下,此扫描器包已启用,且无法停用。
Security Essentials 扫描器包不产生无服务器计算成本。
CIS Benchmarks 扫描器包¶
您可以通过启用 CIS Benchmarks 扫描器包来访问额外的安全洞察,该包中包含根据 Center for Internet Security (CIS) Snowflake Benchmarks 评估您的账户的扫描器。CIS Snowflake Benchmarks 是一系列 Snowflake 账户配置最佳实践,旨在减少安全漏洞。CIS Snowflake Benchmarks 是通过社区协作和主题专家达成共识创建的。
要获取 CIS Snowflake Benchmarks 文档的副本,请参阅 CIS Snowflake Benchmarks 网站 (https://www.cisecurity.org/benchmark/snowflake)。
在 CIS Snowflake Benchmarks 中找到的建议按章节和建议编号。例如,第一节中的第一个建议编号为 1.1。如果您要参考 Snowflake CIS Benchmarks,Trust Center 在 Findings 选项卡中,为每个违规提供了章节编号。
此扫描器包默认每天运行一次,您可以更改计划。
有关启用扫描器包、启用扫描器可能产生的费用以及如何更改扫描器包计划的信息,请参阅以下参考资料:
备注
对于特定的 Snowflake CIS Benchmarks,Snowflake 仅确定您是否实施了特定的安全措施,但不评估安全措施是否以实现其目标的方式实施。对于这些基准测试,没有违规行为并不能保证安全措施以有效的方式实施。以下基准测试要么不评估您的安全实施是否以实现其目标的方式实施,要么 Trust Center 不对其进行检查:
第 2 节中的全部:监控和警报
3.1:确保已配置账户级网络策略,仅允许来自受信任 IP 地址的访问。如果您没有账户级 网络策略,Trust Center 会显示违规,但不会评估是否允许或阻止了适当的 IP 地址。
4.3:确保针对关键数据将 DATA_RETENTION_TIME_IN_DAYS 参数设置为 90。如果账户或至少一个对象的与 Time Travel 相关的 DATA_RETENTION_TIME_IN_DAYS 参数未设置为 90 天,则 Trust Center 会显示违规,但不会评估哪些数据属于关键数据。
4.10:确保为敏感数据启用数据掩码。如果账户没有至少一个 掩码策略,则 Trust Center 会显示违规,但不会评估敏感数据是否得到适当保护。Trust Center 不会评估是否将掩码策略分配给至少一个表或视图。
4.11:确保为敏感数据配置行访问策略。如果账户没有至少一个 行访问策略,则 Trust Center 会显示违规,但不会评估敏感数据是否得到保护。Trust Center 不会评估是否将行访问策略分配给至少一个表或视图。
Threat Intelligence 扫描器包¶
您可以通过启用 Threat Intelligence 扫描器包来访问额外的安全洞察,这使您能够根据用户 TYPE 或 ADMIN_USER_TYPE,以及使用的 身份验证方法、身份验证策略 和 网络策略 来发现风险用户。该扫描器包为每个存在风险的用户提供了一个风险严重度,帮助您优先确定需要先应对的用户。
此扫描器包会扫描所有类型的用户,并将其按是否有风险分类。系统会基于风险用户的 TYPE 或 ADMIN_USER_TYPE,以及设置的配置来确定风险的严重程度。
请参阅以下图表,获取有关哪些用户类型(PERSON、NULL、SERVICE 和 LEGACY_SERVICE)和条件的组合表示用户有风险的信息,以及每位用户所带来的风险的严重程度:
此扫描器包默认每天运行一次,您可以更改计划。
有关启用扫描器包、启用扫描器可能产生的费用以及如何更改扫描器包计划的信息,请参阅以下参考资料: