Trust Centerとは
Trust CenterはSnowflakeのアカウントに存在するセキュリティリスクを統合的に評価・監視してくれる機能です。
先日2024/5/20のリリースでPublic Preview (PuPr)になりました!
SnowflakeのWeb UIであるSnowsight上にいつの間にか生えています。
実際にはどんな感じの機能なのか
実際にセキュリティリスクの評価が行われると以下のような結果が表示されます。
いかん、検証用のアカウントとはいえガバガバだ…
それぞれの指摘事項をクリックすると、詳細や推奨される対策方法などが表示されます。
使い方
ACCOUNTADMINからおもむろに実行できそうですが、Trust Centerを使うためのロールを作成してから実行しましょう。
Trust Centerを管理できるロールの作成
-- ロールを作成するときだけACCOUNTADMINを使う
USE ROLE ACCOUNTADMIN;
-- Trust Centerを管理できるロールを設定する
CREATE ROLE trust_center_admin_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_ADMIN TO ROLE trust_center_admin_role;
GRANT ROLE trust_center_admin_role TO USER (ユーザ名);
Trust Centerを閲覧できるロールの作成
-- ロールを作成するときだけACCOUNTADMINを使う
USE ROLE ACCOUNTADMIN;
-- Trust Centerを閲覧できるロールを設定する
CREATE ROLE trust_center_viewer_role;
GRANT APPLICATION ROLE SNOWFLAKE.TRUST_CENTER_VIEWER TO ROLE trust_center_viewer_role;
GRANT ROLE trust_center_viewer_role TO USER (ユーザ名);
Scanner Packagesの有効化
Trust Centerを管理できるロールに切り替えるとSnowsightのTrust CenterにScanner Packagesというタブが表示されます。
デフォルトでCIS Benchmarksというパッケージが登録されているのでこれを使ってみましょう。
CIS Benchmarksを選択してEnableボタンを押すと、定期実行スケジュールを聞かれるので適当に選択してあげます。
頻度はHourly、Daily、Weeklyなどが選べます。また、タイムゾーンはUTCだけではなくTokyo (JST)なども選択できます。
なお、Enableした直後、定期実行スケジュールと独立して1回だけ評価が実行されるようです。
しばらく待つとSTATUSがEnableになります。
Findingタブに戻ると結果が表示されます。自分のアカウントの場合は色々な指摘事項が挙がっているので、これを解消していきましょう。
指摘事項への対応
前述の通り、指摘事項をクリックすると詳細や推奨される対策方法などが表示されます。
自分の場合はパスワード認証のユーザにMFAが設定されていない、と指摘されていますね。
言われた通りの手順で粛々と設定。
設定できました。
確認したいので再評価してもらいましょう。
すぐに評価を実行するにはScanner Packagesタブからパッケージを選択して以下のリフレッシュボタンをクリックします。
…が、指摘事項が消えませんでした。
指摘事項の詳細を確認してみると、他のユーザも対象だと言われていますね。
これはもう使わないユーザだったのでDROPしちゃいましょう。
…が、やっぱり指摘事項が消えませんでした。
指摘事項の詳細をさらに深堀りすると根拠になっているのは以下のようなクエリだそうです。
このクエリが参照しているビューはリアルタイムで設定を取得するものではないようですね。
翌日の定期実行スケジュールなどで消えるんじゃないでしょうか。
あとこのSNOWFLAKEユーザも対象だと言われるんですが…これって消したりできたっけ。
追記
ユーザの削除は時間差で反映されました。
おわりに
Trust Centerの指摘事項に対応していくだけでアカウントのセキュリティをかなり向上できそうです。
Snowflakeは急速に機能が増えているため安全な正しい設定を維持するのも大変ですが、適切なパッケージを有効化することでかなり楽になるのではないでしょうか?
今後も使っていきたい機能でした。