EVALUATE_CANDIDATE_NETWORK_POLICY¶

Simule l’effet de l’application d’une politique réseau candidate sur le trafic entrant historique, sans activer la politique.

L’analyse de la sortie permet aux administrateurs de répondre aux questions suivantes :

Que bloquera cette politique ?
Les utilisateurs valides seront-ils affectés ?

La procédure évalue toutes les IPs clientes entrantes observées et produit un résultat « what-if » (simulation) au niveau de la ligne. Elle ne modifie pas la configuration du compte.

Voir aussi :: RECOMMEND_NETWORK_POLICY

Syntaxe¶

SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => '<string>'
  [, LOOKBACK_DAYS => <integer> ]
  [, USER_NAME => <string> ])

Arguments¶

Obligatoire :

POLICY_NAME => 'string': Le nom de la politique réseau candidate à évaluer.

Facultatif :

LOOKBACK_DAYS => 'integer'

Le nombre de jours de trafic entrant historique à évaluer. Contrôle la distance correspondant à la simulation.

Par défaut : 90

USER_NAME => 'string'

Filtre l’évaluation pour n’inclure que le trafic de l’utilisateur spécifié.

Par défaut : Aucun filtre ; tous les utilisateurs sont inclus.

Renvoie¶

Renvoie une table avec (au minimum) les colonnes suivantes :


Nom de la colonne	Type de données	Description
`ACCESS_CLIENT_IP`	VARCHAR	L’adresse IP cliente observée dans le trafic entrant historique.
`IS_ALLOWED`	VARCHAR	Si l’adresse IP est autorisée (`YES`) ou bloquée (`NO`) si la politique de candidat a été activée.

Interprétation :

YES — Cette adresse IP est autorisée si la politique est activée.
NO — Cette adresse IP est bloquée si la politique est activée.

Les résultats de l’évaluation n’activent pas la politique. Si vous voulez l’appliquer, vous devez activer la politique réseau recommandée en exécutant la commande ALTER ACCOUNT. Pour un exemple, voir l’étape 8 dans Générer et évaluer une politique réseau candidate.

Exigences en matière de contrôle d’accès¶

Un utilisateur doit avoir le rôle SECURITYADMIN au minimum pour exécuter cette procédure stockée.

Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.

Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Aperçu du contrôle d’accès.

Notes sur l’utilisation¶

La procédure est en lecture seule en ce qui concerne la configuration du compte. Elle n’active ni ne modifie aucune politique réseau.
Cette procédure ne permet pas de déterminer quelles adresses IP sont correctes ou sûres pour votre organisation. Vous devez valider les résultats avec vos équipes IT et de sécurité et avant d’activer la politique.
Le temps d’exécution peut être de 1 à 2 minutes pour les comptes contenant de grandes quantités de données historiques d’accès entrant.
Les résultats d’évaluation peuvent être denses pour les comptes à fort trafic et peuvent nécessiter un filtrage ou une visualisation.
Chaque ligne de la sortie représente un point de décision que les administrateurs doivent vérifier.

Exemples¶

Évaluer une politique réseau en utilisant la fenêtre de recherche par défaut :

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY'
  );

Évaluer une politique réseau candidate par rapport aux 90 derniers jours de trafic entrant :

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY',
  LOOKBACK_DAYS => 90
  );

Évaluer une politique réseau candidate par rapport aux 90 derniers jours de trafic entrant pour un utilisateur nommé user1 :

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY',
  LOOKBACK_DAYS => 90,
  USER_NAME => 'user1'
  );