Sichern von Snowflake Native App with Snowpark Container Services¶
Unter diesem Thema werden die Sicherheitserwägungen für eine Snowflake Native App with Snowpark Container Services erläutert. Zusätzlich zu den allgemeinen Anforderungen an die Sicherheit für alle Apps gelten für Apps mit Containern spezielle Sicherheitsauswirkungen und Sicherheitserwägungen. Der Prozess der Sicherheitsüberprüfung für Apps mit Containern umfasst eine gründliche Untersuchung der enthaltenen Container-Images.
Snowflake verwendet Tools zum Scannen von Container-Images, um bekannte Schwachstellen und Verstöße gegen bewährte Sicherheitspraktiken zu erkennen.
Isolierung des Netzwerks und Kontrolle der Ausgänge¶
Apps mit Containern verwenden strenge Maßnahmen zur Isolierung des Netzwerks und zur Kontrolle des Datenaustritts, um eine unbefugte Datenexfiltration zu verhindern und Verbraucherdaten zu schützen. Jede Anwendung mit Containern läuft in ihrer eigenen isolierten Netzwerkumgebung, mit kontrolliertem Zugriff auf externe Systeme und Dienste.
Snowflake verwendet Mechanismen zur Überwachung und Filterung des Netzwerks, um verdächtige Muster im Datenverkehr zu erkennen und zu blockieren. Anbieter von Apps müssen alle externen Endpunkte explizit im Anwendungsmanifest deklarieren, das einer Sicherheitsüberprüfung unterzogen wird.
Verbraucherdaten werden wie folgt geschützt:
Sichere Muster für den Datenzugriff.
Verschlüsselung bei der Übertragung und im Ruhezustand.
Fein abgestufte Zugriffssteuerungen.
Die Snowflake Native App Framework stellt sicher, dass Apps mit Containern nur auf die spezifischen Daten und Ressourcen zugreifen können, für die einer App der Zugriff gewährt wurde. Dadurch wird das Risiko der Datenexfiltration minimiert.
Zusätzliche Anforderungen an die Zulassung von Apps mit Containern¶
Snowflake implementiert einen zusätzlichen Genehmigungsprozess für eine App mit Containern. Die Genehmigung ist obligatorisch, bevor eine App mit Containern auf dem Snowflake Marketplace veröffentlicht werden kann. Bevor ein Anbieter ein öffentliches oder privates Freigabeangebot für eine App mit Containern erstellen kann, muss es vom Snowflake Product Security Team genehmigt werden.
Anbieter, die diesen Genehmigungsprozess erfolgreich durchlaufen, sind berechtigt, ein öffentliches Freigabeangebot für eine App mit Containern zu veröffentlichen. Dadurch wird die App für Snowflake-Kunden auffindbar und zugänglich.
Wenn ein Anbieter den Genehmigungsprozess nicht besteht, darf er kein Freigabeangebot für eine App mit Containern veröffentlichen.
Initiieren Sie den Genehmigungsprozess für den Anbieter¶
Wenn ein Anbieter die Eigenschaft DISTRIBUTION=EXTERNAL für ein Anwendungspaket einer App mit Containern einstellt, gibt Snowflake den folgenden Fehler zurück, wenn der Anbieter nicht für die Veröffentlichung einer App mit Containern zugelassen wurde:
Error Code: 093197 Account is not allowed to create application package versions or patches with
Snowpark Container Services for EXTERNAL distribution
Wenn Sie diesen Fehler erhalten, müssen Sie einen Sicherheitsfragebogen einreichen, um den Genehmigungsprozess zu beginnen.
Der Fragebogen zur Sicherheit bewertet die folgenden Punkte:
Die Sicherheitspraktiken des Anbieters.
Die Bereitschaft des Anbieters zur Einhaltung der Vorschriften.
Mit dem Einreichen des Fragebogens zur Sicherheit beginnt das Genehmigungsverfahren für den Anbieter.
Auswertung des Fragebogens zur Sicherheit¶
Nachdem ein Anbieter den Sicherheitsfragebogen eingereicht hat, wertet das Sicherheits- und Compliance-Team von Snowflake jede Antwort und die vom Anbieter beigefügte Dokumentation aus. Die Antworten werden ausgewertet, um sicherzustellen, dass sie den besten Praktiken und Standards der Branche entsprechen.
In einigen Fällen können Anbieter aufgefordert werden, zusätzliche Informationen zur Verfügung zu stellen oder sich einer eingehenderen Prüfung zu unterziehen, um mögliche Bedenken oder Risiken zu klären.
Nach Prüfung des Fragebogens entscheidet Snowflake, ob der Anbieter eine App mit Containern veröffentlichen darf. Wenn ein Anbieter nicht zugelassen ist, muss er warten, bis Snowflake Native App with Snowpark Container Services allgemein verfügbar ist.
Der Anbieter erhält eine E-Mail von Snowflake, in der er darüber informiert wird, ob er zugelassen ist oder bis zur allgemeinen Verfügbarkeit auf der Warteliste steht.
Scannen einer App mit Containern¶
Nachdem ein Anbieter zugelassen wurde, wird die App mit Containern einem automatischen Sicherheitsscan unterzogen. Dieser Scan umfasst einen normalen Sicherheitsscan der App und einen Scan der in der App enthaltenen Container-Images.
Die Richtlinien für die Dauer des Sicherheitsscans lauten:
App-Größe |
Ungefähre Zeit bis zum Abschluss des Scans |
|---|---|
Fünf Images oder weniger/kleiner als 40 GB |
Weniger als 8 Stunden |
Zehn Images oder weniger/kleiner als 70 GB |
Weniger als 24 Stunden |
Zehn Images oder mehr/größer als 70 GB |
2 Arbeitstage oder mehr |
Vorsicht
Die angegebenen Zeitrahmen dienen nur zur Information. Sie stellen keine formellen Service-Level-Vereinbarungen dar (SLAs).