RECOMMEND_NETWORK_POLICY

Génère une liste d’autorisation recommandée pour une politique réseau d’entrée basée sur un accès réussi dans une fenêtre de recherche spécifiée.

Cette procédure stockée est destinée à servir de point de départ si vous ne disposez pas actuellement d’une politique réseau ou si vous souhaitez modifier la conception d’une politique existante.

La procédure analyse les requêtes d’entrée réussies, optimise les IPs dans les blocs CIDR, et renvoie des SQL lisibles par l’homme que les administrateurs peuvent vérifier, affiner et exécuter.

Voir aussi :

EVALUATE_CANDIDATE_NETWORK_POLICY

Syntaxe

SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => <integer>
  [, USER_NAME => '<string>' ]
  )

Arguments

Obligatoire :

LOOKBACK_DAYS => 'integer'

Le nombre de jours d’accès aux entrées réussi à analyser.

Facultatif :

USER_NAME => 'string'

Filtre la recommandation pour n’inclure que le trafic de l’utilisateur spécifié.

Par défaut : Aucun (inclut tous les utilisateurs d’un compte).

Renvoie

Renvoie un texte lisible par l’homme contenant des exemples d’instructions SQL. La sortie comprend les informations suivantes :

  • Un résumé du nombre d’adresses IP distinctes analysées et le nombre de blocs CIDR produits.

  • Un exemple d’instruction CREATEORREPLACENETWORKRULE pour une règle de réseau d’entrée.

  • Un exemple d’instruction CREATEORREPLACENETWORKPOLICY pour une politique réseau qui fait référence à la règle.

Exigences en matière de contrôle d’accès

Un utilisateur doit avoir le rôle SECURITYADMIN au minimum pour exécuter cette procédure stockée.

Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.

Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Aperçu du contrôle d’accès.

Notes sur l’utilisation

  • La procédure est en lecture seule en ce qui concerne la configuration du compte. Elle ne crée ou ne modifie aucune règle ou politique de réseau.

  • Les recommandations sont basées uniquement sur les entrées réussies historiques. Il n’est pas recommandé d’ajouter à la liste autorisée les accès bloqués ou ayant échoué.

  • Cette procédure ne permet pas de déterminer quelles adresses IP sont correctes ou sûres pour votre organisation. Vous devez valider les résultats avec vos équipes IT et de sécurité avant d’exécuter le SQL généré.

  • Le SQL est fourni sous forme de texte pour prendre en charge les workflows de copier-coller.

  • La sortie peut varier en fonction du volume de trafic et de la fenêtre de recherche.

  • Le filtre USER_NAME est facultatif. Lorsqu’elle est omise, la recommandation couvre tous les utilisateurs d’un compte.

  • La procédure impose une limite stricte de 1 000 blocs CIDR. Si la recommandation dépasse cette limite, la procédure renvoie une erreur. Pour respecter la limite, essayez une fenêtre d’analyse plus courte ou un filtre par utilisateur.

Exemples

Générer une politique réseau recommandée basée sur le trafic du dernier jour pour un utilisateur spécifique :

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => 1,
  USER_NAME => 'user1'
  );

Générer une politique réseau recommandée basée sur les 30 derniers jours de trafic pour tous les utilisateurs :

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => 30
  );

Recommended candidate network policy based on 1,000 distinct IP addresses,
optimized to 99 CIDR blocks from the last 30 days.

You can execute the following statements with appropriate privileges:

-- Create a network rule

CREATE OR REPLACE NETWORK RULE my_ingress_rule
  MODE = INGRESS
  TYPE = IPV4
  VALUE_LIST = ('203.0.113.0/24', ...);

-- Create a network policy

CREATE OR REPLACE NETWORK POLICY my_ingress_policy
  ALLOWED_NETWORK_RULE_LIST = ('my_ingress_rule');