악성 IP 보호¶
개요¶
악성 IP 보호 서비스는 선별된 목록에서 유지 관리되는 IP 주소에서 시작되는 네트워크 액세스 시도를 지속적으로 감지합니다. 이 서비스는 해당 IP 주소에서 시작되는 네트워크 액세스 시도를 차단하여 Snowflake 인스턴스를 보호합니다. 이 서비스는 무단 액세스, 데이터 유출, 악의적인 활동의 위험을 줄여 Snowflake와 고객의 보안 태세를 모두 강화합니다.
Snowflake는 외부 위협 인텔리전스를 제공하는 서드 파티 사이버 보안 데이터 소스에서 가져온 데이터를 기반으로 하는 IP 주소 목록을 유지 관리하고 선별합니다. IP 주소는 알려진 악성 행위자의 주소입니다. 다음 테이블은 Snowflake가 영향 분석을 기반으로 한 IP 주소를 분류하는 방법을 나열하고 설명합니다.
IP 카테고리 |
설명 |
|---|---|
ANONYMOUS_VPN |
익명 VPN 서비스와 연결된 IP 주소입니다. |
ANONYMOUS_PROXIES |
익명 프록시 서버와 연결된 IP 주소입니다. |
MALICIOUS_BEHAVIOR |
알려진 맬웨어 및 자동 무차별 대입 로그인 시도와 같은 동작과 관련된 IP 주소입니다. |
TOR_EXITS |
Tor 네트워크의 종료 노드로 사용되는 IP 주소입니다. |
악성 IP 보호 서비스는 기본적으로 이 선별된 목록의 모든 카테고리에 있는 IP 주소에서 시작되는 네트워크 액세스 시도를 차단합니다.
네트워크 로그인 세부 정보 보기¶
Account Usage:doc:`/sql-reference/account-usage/login_history`를 사용하여, 악성 IP 보호 서비스가 차단한 네트워크 액세스 시도에 대한 세부 정보를 볼 수 있습니다. 예를 들어, 계정의 로그인 이벤트를 보려면 다음 쿼리를 실행합니다.
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
다음으로, 계정에 대한 LOGIN_HISTORY 뷰 출력의 is_success 및 login_details 열을 검사합니다.
차단된 네트워크 액세스 시도에 대해 is_success 열에 ``NO``가 표시됩니다.
다음 예제에서는 차단된 IP 주소의 login_details 열에 표시되는 출력을 보여줍니다.
- 예제 — “LOW” 위험으로 분류된 차단된 IP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- 예제 — “HIGH” 위험으로 분류된 차단된 IP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
각 결과에 해당하는 IP 주소는 ip_address 열에 표시됩니다.
낮은 위험으로 분류된 IP 주소가 차단된 것이 발견되는 경우 해당 카테고리의 차단을 옵트아웃할 수 있습니다.
낮은 위험 카테고리에 대한 악성 IP 보호 관리¶
낮은 위험으로 분류된 IP 주소의 차단을 옵트아웃하여 악성 IP 보호를 관리할 수 있습니다. 높은 위험으로 분류된 IP 주소의 차단은 옵트아웃할 수 없습니다.
카테고리 차단을 옵트아웃하려면 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 함수를 실행하고 낮은 위험 카테고리 이름을 인자로 제공합니다. 예:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
다른 카테고리에 대한 차단을 옵트아웃하려면 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 함수를 실행하고 모두 낮은 위험 카테고리 이름을 인자로 제공합니다. 예:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
IP 주소 차단을 다시 활성화하려면 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 함수를 실행하고 ``’’``를 인자로 제공합니다. 예:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
선택적으로, 함수를 실행하고 사용자 이름을 두 번째 인자로 제공하여 지정한 사용자의 IP 주소 차단만 옵트아웃하거나 다시 활성화합니다. 예를 들어, 특정 사용자 JSMITH``의 ``ANONYMOUS_VPN 카테고리에서 IP 주소에 대한 악성 IP 보호를 비활성화하려면 다음 명령을 실행합니다.
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
다음 예제에서는 login_details 열의 Account Usage LOGIN_HISTORY 뷰 출력을 보여줍니다. SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 함수를 실행하여 이 결과의 IP 주소가 MALICIOUS_BEHAVIOR 카테고리 차단에서 옵트아웃되었습니다.
- 예제 — “LOW” 위험으로 분류된 차단 해제된 IP:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}