Snowflake Native App with Snowpark Container Services をセキュアにする

このトピックでは、 Snowflake Native App with Snowpark Container Services におけるセキュリティの考慮事項について説明します。すべてのアプリに対する一般的なセキュリティ要件に加え、コンテナーを使用するアプリには特有のセキュリティ上の意味合いと考慮事項があります。コンテナーを使用するアプリのセキュリティ・レビュー・プロセスには、そのアプリが含むコンテナー・イメージの徹底的な検査が含まれます。

Snowflakeは、コンテナー・イメージ・スキャン・ツールを使用して、既知の脆弱性とセキュリティのベストプラクティス違反を検出します。

ネットワークの分離とエグレス制御

コンテナーを使用するアプリは、不正なデータ流出を防止し、コンシューマーデータを保護するために、厳格なネットワーク分離とエグレス制御対策を使用しています。コンテナーを使用する各アプリは、外部システムやサービスへのアクセスを制御された、独自の分離されたネットワーク環境で実行されます。

Snowflakeは、ネットワーク監視とフィルタリングのメカニズムを使用して、疑わしいエグレスのトラフィックパターンを検出し、ブロックします。アプリ プロバイダーは、アプリケーションマニフェストですべての外部エンドポイントを明示的に宣言する必要があり、セキュリティレビューを受けます。

コンシューマーデータは以下の方法で保護されます。

  • データアクセスパターンをセキュアにします。

  • 転送中および静止時の暗号化。

  • きめ細かなアクセス制御。

Snowflake Native App Framework により、コンテナーを持つアプリは、アプリがアクセス権を付与された特定のデータとリソースにのみアクセスできることを保証します。これにより、データ流出のリスクを最小限に抑えることができます。

コンテナー付きアプリの追加承認要件

Snowflakeは、コンテナーを持つアプリに追加の承認プロセスを実装します。コンテナーを含むアプリをSnowflake Marketplaceに公開する前に、この承認は必須です。プロバイダーがコンテナー付きアプリのパブリックまたはプライベートのリストを作成する前に、Snowflake Product Securityチームの承認を得る必要があります。

この承認プロセスに合格したプロバイダーは、コンテナ付きアプリの公開リストを公開することが許可されます。これにより、Snowflakeのカスタマーがアプリを発見し、アクセスできるようになります。

もしプロバイダーが承認プロセスを通過しなければ、コンテナーを使ったアプリのリストを公開することはできません。

プロバイダーの承認プロセスを開始する

プロバイダーがコンテナー付きアプリのアプリケーションパッケージに DISTRIBUTION=EXTERNAL プロパティを設定すると、プロバイダーがコンテナー付きアプリの公開を承認されていない場合、Snowflake は以下のエラーを返します。

Error Code: 093197 Account is not allowed to create application package versions or patches with
Snowpark Container Services for EXTERNAL distribution

このエラーが表示された場合は、 セキュリティに関する質問票 を提出し、承認プロセスを開始する必要があります。

セキュリティに関する質問票では、以下の点を評価します。

  • プロバイダーのセキュリティ慣行。

  • プロバイダーのコンプライアンス態勢。

セキュリティに関する質問票を提出すると、プロバイダーの承認プロセスが開始されます。

セキュリティに関する質問票の評価

プロバイダーがセキュリティに関する質問票を提出した後、Snowflakeのセキュリティ・コンプライアンス・チームが、各回答とプロバイダーが提出した書類を評価します。回答は、業界のベストプラクティスと基準に合致していることを確認するために評価されます。

場合によっては、潜在的な懸念やリスクを明確にするために、プロバイダーに追加情報の提供や、より詳細な審査が求められることもあります。

アンケートを確認した後、Snowflake は、プロバイダーがコンテナー付きアプリを公開することを許可するかどうかを決定します。プロバイダーが承認されない場合は、 Snowflake Native App with Snowpark Container Services が一般に利用可能になるまで待たなければなりません。

プロバイダーは、Snowflakeから承認されたか、または一般利用可能になるまで待機しているかを示すメールを受け取ります。

コンテナーを使用してアプリをアップグレードする

プロバイダーが承認されると、コンテナー付きアプリは自動セキュリティ・スキャンを受けます。このスキャンには、通常のアプリのセキュリティスキャンと、アプリに含まれるコンテナーイメージのスキャンが含まれます。

セキュリティースキャンが完了するまでの時間の目安は以下の通りです。

アプリサイズ

スキャン完了までのおおよその時間

5枚以下/40 GB 以下

8時間未満

10枚以下/70 GB 以下

24時間以内

10枚以上/70 GB 以上

2営業日以上

注意

記載されている期間はあくまで参考です。これらは正式なサービスレベル合意書(SLAs)を構成するものではありません。

言語: 日本語