Network Policy Advisor¶

Übersicht¶

Snowflake-Netzwerkrichtlinien sind ein leistungsstarkes Sicherheitssteuerelement. Es kann jedoch schwierig sein, diese korrekt zu gestalten, insbesondere wenn keine aktuelle Richtlinie vorhanden ist oder wenn die Datenverkehrsmuster komplex sind.

Der Network Policy Advisor ist ein schrittweises Verfahren, das einen Sicherheitsadmin, also einen Benutzenden mit der Rolle SECURITYADMIN, dabei unterstützt, einen empfohlenen Kandidaten für eine Netzwerkrichtlinie für eingehenden Datenverkehr auf Basis historischer Zugriffsdaten für eingehenden Datenverkehr zu erstellen. Sie als Person mit Administratorrechten evaluieren dann die empfohlene Richtlinie mithilfe einer Was-wäre-wenn-Simulation, bevor Sie die Richtlinie aktivieren. Sie können eine Netzwerkrichtlinie für einen Benutzenden oder für alle Benutzenden eines Kontos empfehlen und bewerten. Die Advisor-Prozedur umfasst das Aufrufen von zwei gespeicherten Systemprozeduren, die keine Unterbrechungen verursachen. Diese Prozeduren generieren von Menschen lesbares SQL und Bewertungsergebnisse, die Sie überprüfen, verfeinern und dann manuell anwenden können.

Hinweise¶

Der Snowflake Network Policy Advisor aktiviert oder ändert bestehende Netzwerkrichtlinien nicht automatisch. Er ermittelt nicht, ob eine IP-Adresse für Ihre Netzwerkumgebung korrekt oder sicher ist. Der Advisor bietet nur Empfehlungen und Simulationen. Für alle endgültigen Entscheidungen über Netzwerkrichtlinien – d. h. alle Änderungen an bestehenden Regeln und Richtlinien für das Netzwerk – ist weiterhin der Kunde verantwortlich.

Wichtige Vorteile¶

Der Network Policy Advisor bietet die folgenden entscheidenden Vorteile:

• Ermöglicht das sichere Entwerfen einer ersten Netzwerkrichtlinie.

• Bietet Einblick vor der Durchsetzung, welcher Datenverkehr blockiert werden würde.

• Reduziert Trial-and-Error-Prozesse bei Verschärfung der Sicherheitskontrollen.

• Unterstützt iterative Verfeinerungs- und Validierungsworkflows.

Anforderungen an die Zugriffssteuerung¶

Ein Benutzender muss mindestens die Rolle SECURITYADMIN haben, um diese gespeicherten Prozeduren auszuführen.

Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.

Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.

Erstellen und Bewerten einer Kandidaten-Netzwerkrichtlinie¶

Um einen Kandidaten-Netzwerkrichtlinie für ein Konto zu erstellen und zu bewerten, melden Sie sich bei Snowsight an, öffnen Sie ein Arbeitsblatt und führen Sie die folgenden Schritte aus:

1. Generieren Sie die SQL-Syntax für eine Kandidatenrichtlinie durch Aufrufen der RECOMMEND_NETWORK_POLICY-Prozedur.

   CopyExpand

   USE ROLE SECURITYADMIN;
   
   CALL SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
     LOOKBACK_DAYS => 30,
     );
   

   Show lessSee more

   Scroll to top

2. Überprüfen Sie die SQL-Syntax, die im vorherigen Schritt generiert wurde.

3. Erstellen Sie auf der Grundlage Ihrer Überprüfung eine Kandidaten-Netzwerkregel und -richtlinie, indem Sie Befehle ähnlich den folgenden Beispielen ausführen.

   CopyExpand

   USE ROLE SECURITYADMIN;
   
   -- Create a network rule
   CREATE OR REPLACE NETWORK RULE my_ingress_rule
     MODE = INGRESS
     TYPE = IPV4
     VALUE_LIST = ('203.0.113.0/24', ...);
   
   -- Create a network policy
   CREATE OR REPLACE NETWORK POLICY my_ingress_policy
     ALLOWED_NETWORK_RULE_LIST = ('my_ingress_rule');
   

   Show lessSee more

   Scroll to top

4. Führen Sie die EVALUATE_CANDIDATE_NETWORK_POLICY-Prozedur für die Kandidatenrichtlinie aus, um zu simulieren, welche IP-Adressen sie zulassen oder blockieren würde.

   CopyExpand

   USE ROLE SECURITYADMIN;
   
   CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
     POLICY_NAME => 'my_ingress_policy'
     );
   

   Show lessSee more

   Scroll to top

5. Analysieren Sie die Ausgabe, um zu bestätigen, welche IP-Adressen durch die empfohlene Kandidatenrichtlinie zugelassen oder blockiert werden.

6. Verfeinern Sie die Kandidatenrichtlinie auf der Grundlage der Bewertungsergebnisse.

   Sie könnten zum Beispiel Regeln hinzufügen, um zulässige IPs zuzulassen, die blockiert wurden, und Regeln für nicht autorisierte IPs zu entfernen, die erlaubt waren.

7. Falls erforderlich, bewerten Sie die Kandidatenrichtlinie neu, indem Sie die EVALUATE_CANDIDATE_NETWORK_POLICY-Prozedur erneut ausführen und die Kandidaten-Netzwerkrichtlinie verfeinern, bis sie ein akzeptables Ergebnis liefert.

8. (Optional) Nachdem Sie festgestellt haben, dass die Kandidatenrichtlinie erfolgreich ausgeführt wird, aktivieren Sie sie:

   CopyExpand

   ALTER ACCOUNT SET NETWORK_POLICY = 'my_ingress_policy';
   

   Show lessSee more

   Scroll to top

9. (Optional) Führen Sie eine Abfrage wie die folgende aus, um den Verlauf des eingehenden Datenverkehrs in Ihrem Netzwerk anzuzeigen:

   CopyExpand

   USE ROLE ACCOUNTADMIN;
   
   SELECT *
     FROM SNOWFLAKE.ACCOUNT_USAGE.INGRESS_NETWORK_ACCESS_HISTORY
     LIMIT 100;
   

   Show lessSee more

   Scroll to top