Sécuriser une Snowflake Native App with Snowpark Container Services¶
Cette rubrique décrit les considérations de sécurité pour une Snowflake Native App with Snowpark Container Services. Outre les exigences de sécurité générales pour toutes les applications, les applications avec conteneurs ont des implications et des considérations de sécurité spécifiques. Le processus d’examen de sécurité pour les applications avec conteneurs comprend un examen approfondi des images de conteneurs qu’elles contiennent.
Snowflake utilise des outils d’analyse d’images de conteneurs pour détecter les vulnérabilités connues et les violations des meilleures pratiques de sécurité.
Isolation du réseau et contrôle de sortie¶
Les applications avec conteneurs utilisent des mesures strictes d’isolation du réseau et de contrôle de sortie pour aider à prévenir l’exfiltration de données non autorisée et à protéger les données des consommateurs. Chaque application avec conteneurs s’exécute dans son propre environnement réseau isolé, avec un accès contrôlé aux systèmes et services externes.
Snowflake utilise des mécanismes de surveillance et de filtrage du réseau pour détecter et bloquer les modèles de trafic de sortie suspects. Les fournisseurs d’applications sont tenus de déclarer explicitement tous les points de terminaison externes dans le manifeste de l’application, qui fait l’objet d’un examen de sécurité.
Les données des consommateurs sont protégées grâce aux éléments suivants :
Modèles d’accès sécurisé aux données.
Chiffrement en transit et au repos.
Contrôles d’accès précis.
La Snowflake Native App Framework garantit que l’application avec des conteneurs ne peut accéder qu’aux données et ressources spécifiques auxquelles l’accès a été accordé à une application. Cela réduit le risque d’exfiltration de données.
Exigences d’approbation supplémentaires pour les applications avec conteneurs¶
Snowflake implémente un processus d’approbation supplémentaire pour une application avec des conteneurs. L’approbation est obligatoire avant qu’une application avec des conteneurs puisse être publiée sur Snowflake Marketplace. Avant qu’un fournisseur puisse créer une annonce publique ou privée pour une application avec des conteneurs, elle doit être approuvée par l’équipe de sécurité des produits Snowflake.
Les fournisseurs qui réussissent ce processus d’approbation sont autorisés à publier une annonce publique pour une application avec des conteneurs. Cela permet à l’application d’être détectable et accessible aux clients Snowflake.
Si un fournisseur ne passe pas le processus d’approbation, il ne peut pas publier d’annonce pour une application avec des conteneurs.
Lancer le processus d’approbation du fournisseur¶
Lorsqu’un fournisseur définit la propriété DISTRIBUTION=EXTERNAL pour un paquet d’application d’une application avec des conteneurs, Snowflake renvoie l’erreur suivante si le fournisseur n’a pas été approuvé pour publier une application avec des conteneurs :
Error Code: 093197 Account is not allowed to create application package versions or patches with
Snowpark Container Services for EXTERNAL distribution
Si vous recevez cette erreur, vous devez soumettre un questionnaire de sécurité pour commencer le processus d’approbation.
Le questionnaire de sécurité évalue les éléments suivants :
Les pratiques de sécurité du fournisseur.
L’état de préparation du fournisseur à la conformité.
La soumission du questionnaire de sécurité lance le processus d’approbation du fournisseur.
Évaluation du questionnaire de sécurité¶
Une fois qu’un fournisseur a soumis le questionnaire de sécurité, l’équipe de sécurité et de conformité de Snowflake évalue chaque réponse et la documentation incluse par le fournisseur. Les réponses sont évaluées pour garantir leur alignement avec les meilleures pratiques et normes du secteur.
Dans certains cas, il peut être demandé aux fournisseurs de fournir des informations supplémentaires ou de se soumettre à un examen plus approfondi afin de clarifier toute préoccupation ou tout risque potentiel.
Après avoir examiné le questionnaire, Snowflake prend la décision d’autoriser le fournisseur à publier une application avec des conteneurs. Si un fournisseur n’est pas approuvé, il doit attendre que Snowflake Native App with Snowpark Container Services soit généralement disponible.
Le fournisseur reçoit un e-mail de Snowflake indiquant s’il est approuvé ou s’il est sur liste d’attente jusqu’à la disponibilité générale.
Analyser une application avec des conteneurs¶
Une fois le fournisseur approuvé, l’application contenant les conteneurs subit une analyse de sécurité automatisée. Cette analyse comprend une analyse de sécurité normale de l’application et une analyse des images de conteneur incluses dans l’application.
Les directives concernant la durée d’exécution de l’analyse de sécurité sont les suivantes :
Taille de l’application |
Durée approximative pour terminer l’analyse |
|---|---|
Cinq images ou moins / moins de 40 GB |
Moins de 8 heures |
Dix images ou moins / moins de 70 GB |
Moins de 24 heures |
Dix images ou plus / plus de 70 GB |
2 jours ouvrables ou plus |
Prudence
Les délais indiqués sont fournis à titre indicatif uniquement. Ils ne constituent pas des accords formels de niveau de service (SLAs).