RECOMMEND_NETWORK_POLICY

Generiert eine empfohlene Zulassungsliste für eine Netzwerkrichtlinie für eingehenden Datenverkehr basierend auf einem erfolgreichen Zugriff innerhalb eines bestimmten Lookback-Fensters.

Diese gespeicherte Prozedur ist als Ausgangspunkt gedacht, wenn Sie derzeit keine Netzwerkrichtlinie haben oder eine bestehende neu gestalten möchten.

Die Prozedur analysiert erfolgreiche eingehende Anfragen und optimiert einzelne IPs in CIDR-Blöcke und gibt von Menschen lesbares SQL zurück, das Admins überprüfen, verfeinern und ausführen können.

Siehe auch:

EVALUATE_CANDIDATE_NETWORK_POLICY

Syntax

SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => <integer>
  [, USER_NAME => '<string>' ]
  )

Argumente

Benötigt:

LOOKBACK_DAYS => 'integer'

Die Anzahl der Tage mit erfolgreichem Zugriff auf eingehenden Datenverkehr, die analysiert werden sollen.

Optional:

USER_NAME => 'string'

Filtert die Empfehlung so, dass nur der Datenverkehr des angegebenen Benutzenden enthalten ist.

Standard: Keine (schließt alle Benutzenden eines Kontos ein).

Rückgabewerte

Gibt einen von Menschen lesbaren Text zurück, der SQL-Beispielanweisungen enthält. Die Ausgabe enthält die folgenden Informationen:

  • Eine Zusammenfassung der Anzahl der verschiedenen analysierten IP-Adressen und die Anzahl der erzeugten CIDR-Blöcke.

  • Eine CREATE OR REPLACE NETWORK RULE-Beispielanweisung für eine Netzwerkregel.

  • Eine CREATE OR REPLACE NETWORK POLICY-Beispielanweisung für eine Netzwerkrichtlinie, die auf die Regel verweist.

Anforderungen an die Zugriffssteuerung

Ein Benutzender muss mindestens die Rolle SECURITYADMIN haben, um diese gespeicherte Prozedur auszuführen.

Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.

Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.

Nutzungshinweise

  • Die Prozedur ist in Bezug auf die Kontokonfiguration schreibgeschützt. Es werden keine Netzwerkregeln oder -richtlinien erstellt oder geändert.

  • Empfehlungen basieren nur auf historischen erfolgreichen eingehenden Datenverkehr. Ein blockierter oder fehlgeschlagener Zugriff wird nicht für die Zulassungsliste empfohlen.

  • Diese Prozedur kann nicht feststellen, welche IP-Adressen für Ihre Organisation korrekt oder sicher sind. Sie müssen die Ergebnisse mit Ihren IT- und Sicherheitsteams vor der Ausführung des generierten SQL validieren.

  • SQL wird als Text bereitgestellt, um Workflows für Kopieren und Einfügen zu unterstützen.

  • Die Ausgabe kann je nach Datenverkehr und Lookback-Fenster variieren.

  • Der USER_NAME-Filter ist optional. Wenn die Empfehlung weggelassen wird, gilt sie für alle Benutzenden eines Kontos.

  • Die Prozedur erzwingt ein festes Limit von 1.000 CIDR-Blöcken. Wenn die Empfehlung dieses Limit überschreitet, gibt die Prozedur einen Fehler zurück. Um innerhalb des Limits zu bleiben, versuchen Sie ein kürzeres Lookback-Fenster oder filtern Sie nach Benutzendem.

Beispiele

Generieren Sie eine empfohlene Netzwerkrichtlinie auf Basis des Datenverkehrs des letzten Tages für einen bestimmten Benutzenden:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => 1,
  USER_NAME => 'user1'
  );

Erstellen Sie eine empfohlene Netzwerkrichtlinie auf Basis des Datenverkehrs der letzten 30 Tage für alle Benutzenden:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => 30
  );

Recommended candidate network policy based on 1,000 distinct IP addresses,
optimized to 99 CIDR blocks from the last 30 days.

You can execute the following statements with appropriate privileges:

-- Create a network rule

CREATE OR REPLACE NETWORK RULE my_ingress_rule
  MODE = INGRESS
  TYPE = IPV4
  VALUE_LIST = ('203.0.113.0/24', ...);

-- Create a network policy

CREATE OR REPLACE NETWORK POLICY my_ingress_policy
  ALLOWED_NETWORK_RULE_LIST = ('my_ingress_rule');