Requisitos e diretrizes de segurança para um Snowflake Native App

Este tópico fornece uma visão geral dos requisitos e diretrizes de segurança ao desenvolver um Snowflake Native App. Ele também fornece informações gerais sobre o processo automatizado de verificação e revisão de segurança ao publicar um aplicativo para consumidores.

Cuidado

É sua responsabilidade garantir que nenhum dado pessoal, dado sensível, dado controlado para exportação ou outro dado regulamentado seja inserido em qualquer arquivo incluído no seu pacote do aplicativo.

Visão geral dos requisitos de segurança do Snowflake Native App

O Snowflake Native App Framework fornece requisitos de segurança e melhores práticas que os provedores devem seguir ao desenvolver um Snowflake Native App. Para requisitos de segurança e práticas recomendadas para um aplicativo, consulte Requisitos de segurança e melhores práticas para um Snowflake Native App. Para requisitos de segurança para um aplicativo com contêineres, consulte Como proteger um Snowflake Native App with Snowpark Container Services.

Para publicar um aplicativo para consumidores, seja como uma listagem privada ou no Snowflake Marketplace, a Snowflake implementa um processo de revisão de segurança que requer uma verificação de segurança dos componentes de um aplicativo. Se um aplicativo não passar na revisão de segurança automatizada, ocorrerá uma revisão manual.

Todos os aplicativos publicados para consumidores devem passar por essa revisão de segurança.

Potenciais riscos de segurança

A seguir estão alguns dos possíveis riscos de segurança que podem ocorrer ao executar um aplicativo:

  • Exfiltração de dados:

    Aplicativos maliciosos podem copiar dados do consumidor para logs ou funções externas.

  • Abuso de computação:

    Os aplicativos podem executar tarefas não autorizadas, como criptomineração, às custas do consumidor.

  • Ransomware

    Os aplicativos podem criptografar ou corromper dados do consumidor, exigindo pagamento pela restauração.

  • Escalonamento de privilégios:

    Os aplicativos podem tentar obter permissões não autorizadas na conta do consumidor.

Para mitigar esses e outros possíveis riscos de segurança, o Snowflake Native App Framework usa uma revisão de segurança para avaliar um aplicativo quanto a riscos de segurança e garantir as melhores práticas de segurança.

Revisões de segurança automatizadas

Para mitigar potenciais riscos de segurança, a Snowflake usa o Native App Anti-Abuse Pipeline Service (NAAAPS). Este serviço verifica automaticamente todas as novas versões de aplicativos usando várias ferramentas para determinar se um aplicativo pode ser distribuído aos consumidores.

Essa revisão de segurança automatizada ocorre quando uma nova versão ou patch de um aplicativo é criado. Esta revisão realiza o seguinte:

  • Copia o aplicativo para uma conta Snowflake dedicada usada para verificar aplicativos.

  • Verifica os arquivos associados ao aplicativo e atualiza o status da revisão de segurança.

  • Aprova automaticamente o aplicativo ou inicia uma revisão manual do aplicativo.

A Snowflake envia notificações automáticas de rejeição para reduzir o tempo que um provedor deve esperar por uma resposta. Durante o processo de revisão manual, um aplicativo pode ser aprovado ou rejeitado.

Verificadores e ferramentas usadas durante uma revisão de segurança

A revisão de segurança automatizada usa os seguintes verificadores e ferramentas para executar o seguinte para analisar diferentes componentes de um aplicativo:

  • Verifica o código em busca de bugs, antipadrões e vulnerabilidades de segurança.

  • Verifica o código em busca de malware.

  • Identifica vulnerabilidades em dependências de aplicativos.

Os processos ajudam a detectar vários problemas de segurança, como exfiltração de dados, ransomware, abuso de computação, escalonamento de privilégio e execução dinâmica de código.

Requisitos de segurança e práticas recomendadas para um aplicativo

Todos os aplicativos devem estar em conformidade com os requisitos de segurança descritos em Requisitos de segurança e melhores práticas para um Snowflake Native App.

Nota

Os requisitos de segurança estão sujeitos a alterações à medida que a Snowflake continua monitorando novos riscos potenciais.

Considerações de segurança para um Snowflake Native App with Snowpark Container Services

Para obter informações sobre requisitos de segurança adicionais para um Snowflake Native App with Snowpark Container Services, consulte Como proteger um Snowflake Native App with Snowpark Container Services.

Diretrizes para publicar um aplicativo no Snowflake Marketplace

Ao publicar um aplicativo no Snowflake Marketplace, os provedores devem considerar requisitos adicionais e práticas recomendadas. Consulte Diretrizes para publicar um aplicativo no Snowflake Marketplace.

Critérios de avaliação de CVE para um aplicativo

A abordagem da Snowflake para lidar com vulnerabilidades e exposições comuns (CVEs) em um Snowflake Native App é baseada em nossos critérios de avaliação de CVE, uma política que estabelece critérios claros e objetivos para avaliar e priorizar CVEs com base em seu perfil de risco.

A política visa equilibrar a mitigação de riscos críticos de segurança com o esforço necessário para abordar vulnerabilidades menos graves. Ela se aplica a todos os aplicativos que passam por revisão de segurança e é aplicada para garantir que apenas aplicativos que atendam aos critérios definidos sejam aprovados para publicação no ambiente de nuvem de dados da Snowflake.

Consulte Considerações sobre vulnerabilidades e exposições comuns (CVE) para obter informações adicionais.

Regiões de varredura

Ao configurar um Snowflake Native App para ser compartilhado externamente, os provedores compartilham automaticamente o código no aplicativo com o Snowflake para varredura. A tabela a seguir mapeia as regiões de varredura NAAAPS para as regiões do provedor correspondente:

Provedor de nuvem

Região do provedor

Região de varredura

AWS

US West (Oregon)

US West (Oregon)

AWS

US East (Ohio)

US East (Ohio)

AWS

US East (N. Virginia)

US East (N. Virginia)

AWS

Canada (Central)

Canada (Central)

AWS

South America (São Paulo)

South America (São Paulo)

AWS

EU (Irlanda)

EU (Irlanda)

AWS

Europe (London)

Europe (London)

AWS

EU (Paris)

EU (Paris)

AWS

EU (Frankfurt)

EU (Frankfurt)

AWS

EU (Zurique)

EU (Zurique)

AWS

EU (Stockholm)

EU (Stockholm)

AWS

Asia Pacific (Tokyo)

Asia Pacific (Tokyo)

AWS

Asia Pacific (Osaka)

Asia Pacific (Osaka)

AWS

Asia Pacific (Seoul)

Asia Pacific (Seoul)

AWS

Asia Pacific (Mumbai)

Asia Pacific (Mumbai)

AWS

Asia Pacific (Singapore)

Asia Pacific (Singapore)

AWS

Asia Pacific (Sydney)

Asia Pacific (Sydney)

AWS

Ásia Pacífico (Jakarta)

Ásia Pacífico (Jakarta)

Azure

  • West US 2 (Washington)

  • Central US (Iowa)

  • South Central US (Texas)

  • East US 2 (Virginia)

  • Canada Central (Toronto)

Azure East US 2 (Virginia)

Azure

  • UK Sul (Londres)

  • North Europe (Ireland)

  • West Europe (Netherlands)

  • Norte da Suíça (Zurique)

  • Norte dos UAE (Dubai)

Azure West Europe (Netherlands)

Azure

  • Central India (Pune)

  • Japan East (Tokyo)

  • Southeast Asia (Singapore)

  • Australia East (New South Wales)

Azure Australia East (New South Wales)

GCP

  • US Central1 (Iowa)

  • US East4 (N. Virginia)

  • Europe West2 (London)

  • Europe West4 (Netherlands)

AWS US West (Oregon)
Linguagem: Português