Regras de rede¶

Identificadores de rede suportados¶

Os administradores precisam ser capazes de restringir o acesso com base no identificador de rede associado à origem ou ao destino de uma solicitação. As regras de rede permitem que os administradores permitam ou bloqueiem os seguintes identificadores de rede:

Solicitações recebidas:

• Endereços IPv4. O Snowflake oferece suporte a intervalos de endereços IP usando a notação Classless Inter-Domain Routing (CIDR). Por exemplo, 192.168.1.0/24 representa todos os endereços IPv4 no intervalo de 192.168.1.0 a 192.168.1.255.

• VPCE IDs de pontos de extremidade AWS VPC. VPC IDs não são suportados.

• Pontos de extremidade LinkIDs do Azure. Execute a função SYSTEM$GET_PRIVATELINK_AUTHORIZED_ENDPOINTS para recuperar o LinkID associado a uma conta.

Solicitações enviadas:

Domínios, incluindo um intervalo de portas.

Na maioria dos casos, o intervalo de portas válido é de 1 a 65535. Se você não especificar uma porta, o padrão será 443. Se um local de rede externo oferecer suporte a portas dinâmicas, será necessário especificar todas as portas possíveis.

Para permitir o acesso a todas as portas, defina a porta como 0; por exemplo, example.com:0.

Cada regra de rede contém uma lista de um ou mais identificadores de rede do mesmo tipo. A propriedade TYPE da regra de rede indica o tipo de identificadores incluídos na regra. Por exemplo, se a propriedade TYPE for IPV4, a lista de valores da regra de rede deverá conter endereços IPv4 ou intervalos de endereços válidos na notação CIDR.

Solicitações recebidas e enviadas¶

O modo de uma regra de rede indica se o recurso Snowflake que usa a regra restringe o recebimento ou envio de solicitações.

Criação de uma regra de rede¶

Você precisa do privilégio CREATE NETWORK RULE no esquema para criar uma regra de rede. Por padrão, somente as funções ACCOUNTADMIN e SECURITYADMIN, juntamente com o proprietário do esquema, têm esse privilégio.

Você pode criar uma regra de rede usando Snowsight ou executando um comando SQL:

Snowsight:

1. Faça login na Snowsight.

2. No menu de navegação, selecione Governance & security » Network policies e, em seguida, a guia Network Rules.

3. Selecione + Network Rule.

4. Insira o nome da regra de rede.

5. Selecione o esquema da regra de rede. As regras de rede são objetos no nível do esquema.

6. Opcionalmente, adicione um comentário descritivo à regra de rede para ajudar a organizar e manter as regras de rede no esquema.

7. No menu suspenso Type, selecione o tipo de identificador que está sendo definido na regra de rede.

8. No menu suspenso Mode, selecione o modo da regra de rede. Os modos INGRESS e INTERNAL STAGE indicam que a regra de rede será usada com uma política de redes para restringir as solicitações de entrada e o modo EGRESS indica que a regra de rede será usada com uma integração de acesso externo para restringir solicitações de saída.

9. Insira uma lista separada por vírgulas dos identificadores que serão permitidos ou bloqueados quando a regra de rede for adicionada a uma política de redes. Os identificadores nesta lista devem ser todos do tipo especificado no menu suspenso Type.

10. Selecione Create Network Rule.

SQL:

Um administrador pode executar o comando CREATE NETWORK RULE para criar uma nova regra de rede, especificando uma lista de identificadores de rede junto com o tipo desses identificadores.

Por exemplo, para usar uma função personalizada para criar uma regra de rede que possa ser usada para permitir ou bloquear o tráfego de um intervalo de endereços IP:

GRANT USAGE ON DATABASE securitydb TO ROLE network_admin;
GRANT USAGE ON SCHEMA securitydb.myrules TO ROLE network_admin;
GRANT CREATE NETWORK RULE ON SCHEMA securitydb.myrules TO ROLE network_admin;
USE ROLE network_admin;

CREATE NETWORK RULE cloud_network TYPE = IPV4 MODE = INGRESS VALUE_LIST = ('47.88.25.32/27');

Copy

Identificação das regras de rede em sua conta¶

Você pode identificar as regras de rede na sua conta usando Snowsight ou SQL.

Snowsight:

1. Faça login na Snowsight.

2. No menu de navegação, selecione Governance & security » Network policies e, em seguida, a guia Network Rules.

SQL:

Chame a função de tabela do Information Schema NETWORK_RULE_REFERENCES ou consulte a exibição do Account Usage NETWORK_RULES ou NETWORK_RULE_REFERENCES.

Modificação de uma regra de rede¶

Você pode modificar os identificadores e comentários de uma regra de rede existente, mas não pode modificar seu tipo, modo, nome ou esquema.

Para adicionar ou remover identificadores e comentários de uma regra de rede existente usando Snowsight ou SQL, siga um destes procedimentos:

Snowsight:

1. Faça login na Snowsight.

2. No menu de navegação, selecione Governance & security » Network policies e, em seguida, a guia Network Rules.

3. Encontre a regra de rede, selecione o botão … e selecione Edit.

4. Modifique a lista de identificadores delimitada por vírgulas ou o comentário.

5. Selecione Update Network Rule.

SQL:

Execute uma instrução ALTER NETWORK RULE.

Replicação de regras de rede¶

As regras de rede são objetos no nível do esquema e são replicadas com o banco de dados no qual estão contidas.

Para obter informações sobre como replicar as políticas de redes que usam regras de rede, consulte Replicação de políticas de redes.

Privilégios e comandos¶

Regras de rede gerenciadas pelo Snowflake¶

O Snowflake fornece o esquema SNOWFLAKE.NETWORK_SECURITY contém um conjunto de regras de rede integradas. As regras de rede internas são um tipo de regra gerenciada pelo Snowflake. O Snowflake pode atualizar o esquema NETWORK_SECURITY com novas regras de rede gerenciadas pelo Snowflake. As regras de rede integradas oferecem uma forma segura, consistente, rápida e de baixa manutenção de gerenciar a segurança de rede.

As regras de rede gerenciadas pelo Snowflake estão alinhadas com os recursos de política de rede e gerenciamento de regras do Snowflake. Os clientes Snowflake podem adicionar regras gerenciadas pelo Snowflake a políticas de rede novas ou existentes. O Snowflake atualiza continuamente as regras de rede integradas sem que os administradores da conta precisem fazer manutenção regular. Para mais informações sobre como adicionar uma regra a uma política de redes, consulte Modificação de uma política de redes.

As regras de rede internas definem o conjunto de endereços IP permitidos que um aplicativo de terceiro parceiro costuma utilizar para se conectar ao Snowflake. O Snowflake atualiza automaticamente essas regras para capturar as alterações que provedores terceirizados fazem nos endereços IP de saída. Por exemplo, o Snowflake gerencia uma regra que define endereços IP que um aplicativo do Microsoft Power BI usa para se conectar ao Snowflake. Se a Microsoft atualizar esses endereços, as regras do Snowflake serão atualizadas automaticamente para refletir essa alteração.

A tabela a seguir lista os aplicativos de parceiros atuais para os quais o Snowflake mantém regras de rede integradas e informações sobre os endereços IP de saída atuais para cada aplicativo de parceiro:

SHOW NETWORK RULES IN SNOWFLAKE.NETWORK_SECURITY;

SELECT *
  FROM SNOWFLAKE.ACCOUNT_USAGE.NETWORK_RULES
  WHERE DATABASE = 'SNOWFLAKE' AND SCHEMA = 'NETWORK_SECURITY';

CREATE OR REPLACE NETWORK POLICY example_network_policy ALLOWED_NETWORK_RULE_LIST = (
  'SNOWFLAKE.NETWORK_SECURITY.DBT_APAC_AWS',
  'SNOWFLAKE.NETWORK_SECURITY.DBT_EMEA_AWS'
);

ALTER NETWORK POLICY example_network_policy ADD ALLOWED_NETWORK_RULE_LIST = (
  'SNOWFLAKE.NETWORK_SECURITY.DBT_APAC_AWS'
);