Schutz vor bösartigen IPs¶
Übersicht¶
Der Service zum Schutz vor bösartigen IPs erkennt kontinuierlich Netzwerkzugriffsversuche, die von IP-Adressen ausgehen, die in einer kuratierten Liste gepflegt werden. Der Dienst schützt die Snowflake-Instanz, indem er Netzwerkzugriffsversuche blockiert, die von diesen IP-Adressen ausgehen. Der Service verbessert sowohl die Sicherheitslage von Snowflake als auch die des Kunden, indem er das Risiko von unbefugtem Zugriff, Datenschutzverletzungen und böswilligen Aktivitäten reduziert.
Snowflake verwaltet und kuratiert eine Liste von IP-Adressen, basierend auf Daten, die aus Cybersicherheitsdatenquellen von Drittanbietern stammen, die externe Bedrohungs-Informationen liefern. Die IP-Adressen stammen von bekannten bösartigen Akteuren. Die folgende Tabelle listet auf und beschreibt, wie Snowflake IP-Adressen basierend auf der Auswirkungsanalyse kategorisiert:
IP-Kategorie |
Beschreibung |
|---|---|
ANONYMOUS_VPN |
IP-Adressen, die mit anonymen VPN-Services verbunden sind. |
ANONYMOUS_PROXIES |
IP-Adressen, die mit anonymen Proxyservern verbunden sind. |
MALICIOUS_BEHAVIOR |
IP-Adressen, die mit bekannter Malware und Verhaltensweisen wie automatischen Brute-Force-Anmeldeversuchen verbunden sind. |
TOR_EXITS |
IP-Adressen, die als Exit-Node für das Tor-Netzwerk verwendet werden. |
Der Service zum Schutz vor bösartigen IPs blockiert standardmäßig Netzwerkzugriffsversuche, die von IP-Adressen in allen Kategorien aus dieser kuratierten Liste ausgehen.
Anzeigen der Anmeldedetails für das Netzwerk¶
Sie können über die Kontonutzung Ansicht LOGIN_HISTORY Details zu den Netzwerkzugriffsversuchen abrufen, die der Service zum Schutz vor bösartigen IPs blockiert hat. Um beispielsweise Anmeldeereignisse für Ihr Konto anzuzeigen, führen Sie folgende Abfrage aus:
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
Untersuchen Sie als Nächstes die Spalten is_success und login_details der LOGIN_HISTORY-Ausgabe für Ihr Konto.
NO wird in der Spalte is_success für blockierte Netzwerkzugriffsversuche angezeigt.
Die folgenden Beispiele zeigen die Ausgabe, die in der Spalte login_details für blockierte IP-Adressen angezeigt wird:
- Beispiel – Die als „LOW“-Risiko kategorisierte IP wird blockiert:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- Beispiel – Die als „HIGH“-Risiko kategorisierte IP wird blockiert:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
Die IP-Adresse für das jeweilige Ergebnis wird in der Spalte ip_address angezeigt.
Wenn Sie feststellen, dass als geringes Risiko eingestufte IP-Adressen blockiert wurden, können Sie überlegen, das Blockieren dieser Kategorie zu deaktivieren.
Verwalten des Schutzes vor bösartigen IPs bei Kategorien mit geringem Risiko¶
Sie können den Schutz vor bösartigen IPs verwalten, indem Sie das Blockieren von als geringes Risiko eingestuften IP-Adressen deaktivieren. Das Blockieren von als hohes Risiko eingestuften IP-Adressen können Sie nicht deaktivieren.
Um das Blockieren einer Kategorie zu deaktivieren, führen Sie die Funktion SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY aus und geben Sie einen Namen für eine Kategorie mit niedrigem Risiko als Argument an. Beispiel:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
Um das Blockieren einer weiteren Kategorie zu deaktivieren, führen Sie die Funktion SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY erneut aus und geben Sie die Namen beider Kategorie mit niedrigem Risiko als Argumente an. Beispiel:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
Um das Blockieren der IP-Adressen wieder zu aktivieren, führen Sie die Funktion SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY mit '' als Argument aus. Beispiel:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
Optional können Sie die Funktion ausführen und einen Benutzernamen als zweites Argument angeben, um das Blockieren von IP-Adressen nur für die von Ihnen angegebenen Benutzenden entweder zu deaktivieren oder wieder zu aktivieren. Um zum Beispiel den Schutz vor bösartigen IPs für IP-Adressen in der Kategorie ANONYMOUS_VPN für den konkreten Benutzer JSMITH zu deaktivieren, führen Sie die folgenden Befehle aus:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
Das folgende Beispiel zeigt die Ausgabe der Ansicht LOGIN_HISTORY für die Kontonutzung in der Spalte login_details. Die IP-Adresse für dieses Ergebnis war vom Blockieren der Kategorie MALICIOUS_BEHAVIOR durch Ausführen der Funktion SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY ausgenommen:
- Beispiel – Die als „LOW“-Risiko kategorisierte IP wird nicht mehr blockiert:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}