EVALUATE_CANDIDATE_NETWORK_POLICY¶

Simuliert den Effekt der Anwendung einer Kandidaten-Netzwerkrichtlinie auf den historischen Datenverkehr, ohne die Richtlinie zu aktivieren.

Durch die Analyse der Ausgabe können Benutzende mit Administratorrechten die folgenden Fragen beantworten:

Was hätte diese Richtlinie blockiert?
Wären berechtigte Benutzende betroffen?

Die Prozedur wertet alle beobachteten eingehenden Client-IPs aus und erzeugt ein Was-wäre-wenn-Ergebnis auf Zeilenebene. Die Kontokonfiguration wird nicht geändert.

Siehe auch:: RECOMMEND_NETWORK_POLICY

Syntax¶

SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => '<string>'
  [, LOOKBACK_DAYS => <integer> ]
  [, USER_NAME => <string> ])

Argumente¶

Benötigt:

POLICY_NAME => 'string': Der Name der zu bewertenden Kandidaten-Netzwerkrichtlinie.

Optional:

LOOKBACK_DAYS => 'integer'

Die Anzahl der Tage des historischen eingehenden Datenverkehrs, anhand der ausgewertet werden soll. Steuert, wie weit die Simulation zurückschaut.

Standard: 90

USER_NAME => 'string'

Filtert die Auswertung so, dass nur der Datenverkehr des angegebenen Benutzenden enthalten ist.

Standard: Kein Filter; alle Benutzenden sind enthalten.

Rückgabewerte¶

Gibt eine Tabelle mit (mindestens) den folgenden Spalten zurück:


Spaltenname	Datentyp	Beschreibung
`ACCESS_CLIENT_IP`	VARCHAR	Die Client-IP-Adresse, die im historischen eingehenden Datenverkehr beobachtet wurde.
`IS_ALLOWED`	VARCHAR	Ob die IP erlaubt (`YES`) oder blockiert (`NO`) wäre, wenn die Kandidatenrichtlinie aktiviert worden wäre.

Interpretation:

YES: Diese IP wäre erlaubt, wenn die Richtlinie aktiviert wäre.
NO: Diese IP wäre blockiert, wenn die Richtlinie aktiviert wäre.

Die Bewertungsergebnisse aktivieren die Richtlinie nicht. Sie müssen die empfohlene Netzwerkrichtlinie aktivieren, wenn Sie sie durchsetzen möchten, indem Sie den Befehl ALTER ACCOUNT ausführen. Ein Beispiel dazu finden Sie in Schritt 8 in Erstellen und Bewerten einer Kandidaten-Netzwerkrichtlinie.

Anforderungen an die Zugriffssteuerung¶

Ein Benutzender muss mindestens die Rolle SECURITYADMIN haben, um diese gespeicherte Prozedur auszuführen.

Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.

Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.

Nutzungshinweise¶

Die Prozedur ist in Bezug auf die Kontokonfiguration schreibgeschützt. Es werden weder Netzwerkrichtlinien aktiviert noch geändert.
Diese Prozedur kann nicht feststellen, welche IP-Adressen für Ihre Organisation korrekt oder sicher sind. Sie müssen die Ergebnisse mit Ihrer IT und Sicherheitsteams validieren, bevor die Richtlinie aktiviert wird.
Die Ausführungszeit kann bei Konten mit großen Mengen historischer Zugriffsdaten 1-2 Minuten betragen.
Die Auswertungsergebnisse können für Konten mit hohem Datenverkehr sehr umfangreich sein und eine Filterung oder Visualisierung erfordern.
Jede Zeile der Ausgabe steht für einen Entscheidungspunkt, den Benutzende mit Administratorrechten überprüfen sollten.

Beispiele¶

Bewerten einer Kandidaten-Netzwerkrichtlinie unter Verwendung des Standard-Lookback-Fensters:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY'
  );

Bewerten einer Kandidaten-Netzwerkrichtlinie anhand des eingehenden Datenverkehrs der letzten 90 Tage:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY',
  LOOKBACK_DAYS => 90
  );

Bewerten einer Kandidaten-Netzwerkrichtlinie anhand des eingehenden Datenverkehrs der letzten 90 Tage für einen Benutzenden namens user1:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY',
  LOOKBACK_DAYS => 90,
  USER_NAME => 'user1'
  );