Como proteger um Snowflake Native App with Snowpark Container Services¶
Este tópico descreve as considerações de segurança para um Snowflake Native App with Snowpark Container Services. Além dos requisitos gerais de segurança para todos os aplicativos, os aplicativos com contêineres têm implicações e considerações de segurança específicas. O processo de revisão de segurança para aplicativos com contêineres inclui um exame completo de suas imagens de contêiner.
A Snowflake usa ferramentas de varredura de imagens de contêiner para detectar vulnerabilidades conhecidas e violações de práticas recomendadas de segurança.
Isolamento de rede e controle de saída¶
Aplicativos com contêineres usam medidas rígidas de isolamento de rede e controle de saída para ajudar a evitar a exfiltração não autorizada de dados e proteger os dados do consumidor. Cada aplicativo com contêineres é executado em seu próprio ambiente de rede isolado, com acesso controlado a sistemas e serviços externos.
O Snowflake usa mecanismos de monitoramento e filtragem de rede para detectar e bloquear padrões suspeitos de tráfego de saída. Os provedores de aplicativos são obrigados a declarar explicitamente todos os pontos de extremidade externos no manifesto do aplicativo, que passa por uma revisão de segurança.
Os dados do consumidor são protegidos usando o seguinte:
Padrões seguros de acesso a dados.
Criptografia em trânsito e em repouso.
Controles de acesso detalhados.
O Snowflake Native App Framework garante que o aplicativo com contêineres possa acessar somente os dados e recursos específicos aos quais o aplicativo recebeu acesso. Isso minimiza o risco de exfiltração de dados.
Requisitos de aprovação adicionais para aplicativos com contêineres¶
O Snowflake implementa um processo de aprovação adicional para um aplicativo com contêineres. A aprovação é obrigatória antes que um aplicativo com contêineres possa ser publicado no Snowflake Marketplace. Antes que um provedor possa criar uma listagem pública ou privada para um aplicativo com contêineres, ele deve ser aprovado pela equipe de segurança de produto da Snowflake.
Os provedores que passarem com sucesso neste processo de aprovação estarão autorizados a publicar uma listagem pública para um aplicativo com contêineres. Isso permite que o aplicativo seja descoberto e acessível aos clientes Snowflake.
Se um provedor não passar pelo processo de aprovação, ele não poderá publicar uma listagem para um aplicativo com contêineres.
Como iniciar o processo de aprovação do provedor¶
Quando um provedor define a propriedade DISTRIBUTION=EXTERNAL para um pacote de aplicativo de um aplicativo com contêineres, o Snowflake retorna o seguinte erro se o provedor não foi aprovado para publicar um aplicativo com contêineres:
Error Code: 093197 Account is not allowed to create application package versions or patches with
Snowpark Container Services for EXTERNAL distribution
Se você receber esse erro, será necessário enviar um questionário de segurança para iniciar o processo de aprovação.
O questionário de segurança avalia o seguinte:
Práticas de segurança do provedor.
Prontidão de conformidade do provedor.
O envio do questionário de segurança inicia o processo de aprovação do provedor.
Avaliação do questionário de segurança¶
Depois que um provedor envia o questionário de segurança, a equipe de segurança e conformidade da Snowflake avalia cada resposta e a documentação incluída pelo provedor. As respostas são avaliadas para garantir o alinhamento com as melhores práticas e padrões do setor.
Em alguns casos, os provedores podem ser solicitados a fornecer informações adicionais ou passar por uma revisão mais aprofundada para esclarecer quaisquer possíveis preocupações ou riscos.
Após analisar o questionário, a Snowflake decidirá se permite a publicação de um aplicativo com contêineres pelo provedor. Se um provedor não for aprovado, ele deverá esperar até que o Snowflake Native App with Snowpark Container Services esteja disponível para o público em geral.
O provedor recebe um e-mail da Snowflake indicando se ele foi aprovado ou se ficará na lista de espera até a disponibilidade geral.
Verificação de um aplicativo com contêineres¶
Depois que um provedor é aprovado, o aplicativo com contêineres passa pela verificação de segurança automatizada. Esta verificação inclui uma verificação de segurança normal do aplicativo e uma verificação das imagens de contêiner inclusas no aplicativo.
As diretrizes sobre quanto tempo a verificação de segurança leva para ser concluída são:
Tamanho do aplicativo |
Tempo aproximado para concluir a verificação |
|---|---|
Cinco imagens ou menos/menor que 40 GB |
Menos de 8 horas |
Dez imagens ou menos/menor que 70 GB |
Menos de 24 horas |
Dez imagens ou mais/maior que 70 GB |
2 dias úteis ou mais |
Cuidado
Os prazos fornecidos são apenas para informação. Não constituem contratos de nível de serviço (SLAs) formais.