악성 IP 보호¶
개요¶
The Malicious IP Protection service continuously detects network access attempts that originate from IP addresses that are maintained on a curated list. The service protects the Snowflake instance by blocking network access attempts that originate from those IP addresses. The service hardens both Snowflake’s and the customer’s security posture by reducing the risk of unauthorized access, data breaches, and malicious activity.
Snowflake maintains and curates a list of IP addresses, based on data that is obtained from third-party cybersecurity data sources that provide external threat intelligence. The IP addresses are from known bad actors. The following table lists and describes how Snowflake categorizes IP addresses based on impact analysis:
IP 카테고리 |
설명 |
|---|---|
ANONYMOUS_VPN |
익명 VPN 서비스와 연결된 IP 주소입니다. |
ANONYMOUS_PROXIES |
익명 프록시 서버와 연결된 IP 주소입니다. |
MALICIOUS_BEHAVIOR |
IP addresses associated with known malware and behavior such as automated brute force login attempts. |
TOR_EXITS |
IP addresses used as exit nodes for the Tor network. |
악성 IP 보호 서비스는 기본적으로 이 선별된 목록의 모든 카테고리에 있는 IP 주소에서 시작되는 네트워크 액세스 시도를 차단합니다.
네트워크 로그인 세부 정보 보기¶
Account Usage:doc:`/sql-reference/account-usage/login_history`를 사용하여, 악성 IP 보호 서비스가 차단한 네트워크 액세스 시도에 대한 세부 정보를 볼 수 있습니다. 예를 들어, 계정의 로그인 이벤트를 보려면 다음 쿼리를 실행합니다.
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
다음으로, 계정에 대한 LOGIN_HISTORY 뷰 출력의 is_success 및 login_details 열을 검사합니다.
차단된 네트워크 액세스 시도에 대해 is_success 열에 ``NO``가 표시됩니다.
다음 예제에서는 차단된 IP 주소의 login_details 열에 표시되는 출력을 보여줍니다.
- 예제 — “LOW” 위험으로 분류된 차단된 IP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- 예제 — “HIGH” 위험으로 분류된 차단된 IP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
각 결과에 해당하는 IP 주소는 ip_address 열에 표시됩니다.
낮은 위험으로 분류된 IP 주소가 차단된 것이 발견되는 경우 해당 카테고리의 차단을 옵트아웃할 수 있습니다.
Manage Malicious IP Protection for low-risk categories¶
낮은 위험으로 분류된 IP 주소의 차단을 옵트아웃하여 악성 IP 보호를 관리할 수 있습니다. 높은 위험으로 분류된 IP 주소의 차단은 옵트아웃할 수 없습니다.
카테고리 차단을 옵트아웃하려면 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 함수를 실행하고 낮은 위험 카테고리 이름을 인자로 제공합니다. 예:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
다른 카테고리에 대한 차단을 옵트아웃하려면 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 함수를 실행하고 모두 낮은 위험 카테고리 이름을 인자로 제공합니다. 예:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
IP 주소 차단을 다시 활성화하려면 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 함수를 실행하고 ``’’``를 인자로 제공합니다. 예:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
선택적으로, 함수를 실행하고 사용자 이름을 두 번째 인자로 제공하여 지정한 사용자의 IP 주소 차단만 옵트아웃하거나 다시 활성화합니다. 예를 들어, 특정 사용자 JSMITH``의 ``ANONYMOUS_VPN 카테고리에서 IP 주소에 대한 악성 IP 보호를 비활성화하려면 다음 명령을 실행합니다.
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
다음 예제에서는 login_details 열의 Account Usage LOGIN_HISTORY 뷰 출력을 보여줍니다. SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 함수를 실행하여 이 결과의 IP 주소가 MALICIOUS_BEHAVIOR 카테고리 차단에서 옵트아웃되었습니다.
- 예제 — “LOW” 위험으로 분류된 차단 해제된 IP:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}