Consultor de políticas de redes

Visão geral

As políticas de redes do Snowflake são um poderoso controle de segurança, mas podem ser difíceis de projetar corretamente, especialmente quando não existe uma política atual ou quando os padrões de tráfego são complexos.

O consultor de políticas de redes é um procedimento passo a passo que orienta um administrador de segurança, que é um usuário com a função SECURITYADMIN, a criar um candidato recomendado para uma política de redes de entrada com base em dados históricos de acesso de entrada. Você, como administrador, avalia a política recomendada usando uma simulação de cenário hipotético antes de ativá-la. Você pode recomendar e avaliar uma política de redes candidata para um usuário ou para todos os usuários de uma conta. O procedimento do consultor envolve a chamada de dois procedimentos armazenados do sistema que não causam interrupções. Esses procedimentos geram SQL legível por humanos e resultados de avaliações que você pode revisar, refinar e aplicar manualmente.

Considerações

O consultor de políticas de redes do Snowflake não ativa nem modifica automaticamente as políticas de redes existentes. Ele não determina se um endereço IP é correto ou seguro para o seu ambiente de rede. O consultor fornece apenas recomendações e simulações. Quaisquer decisões finais sobre políticas de redes (ou seja, quaisquer alterações nas regras e políticas de redes existentes) permanecem sob a responsabilidade do cliente.

Principais benefícios

O consultor de políticas de redes oferece os seguintes benefícios principais:

  • Permite que você crie uma primeira política de redes com segurança.

  • Fornece visibilidade sobre qual tráfego seria bloqueado antes da aplicação da política.

  • Reduz a necessidade de tentativas e erros ao reforçar os controles de segurança.

  • É compatível com fluxos de trabalho iterativos de refinamento e validação.

Requisitos de controle de acesso

Um usuário deve ter, no mínimo, a função SECURITYADMIN para executar esses procedimentos armazenados.

Para instruções sobre como criar uma função personalizada com um conjunto específico de privilégios, consulte Criação de funções personalizadas.

Para informações gerais sobre concessões de funções e privilégios para executar ações de SQL em objetos protegíveis, consulte Visão geral do controle de acesso.

Gerar e avaliar uma política de redes candidata

Para gerar e avaliar uma política de redes candidata para uma conta, faça login no Snowsight, abra uma planilha e siga estas etapas:

  1. Gere a sintaxe SQL para uma política candidata chamando o procedimento RECOMMEND_NETWORK_POLICY.

    USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.RECOMMEND_NETWORK_POLICY(
  LOOKBACK_DAYS => 30,
  );

  2. Revise a sintaxe SQL gerada na etapa anterior.

  3. Com base na sua revisão, crie uma regra e uma política de redes candidatas executando comandos semelhantes aos exemplos a seguir.

    USE ROLE SECURITYADMIN;

-- Create a network rule
CREATE OR REPLACE NETWORK RULE my_ingress_rule
  MODE = INGRESS
  TYPE = IPV4
  VALUE_LIST = ('203.0.113.0/24', ...);

-- Create a network policy
CREATE OR REPLACE NETWORK POLICY my_ingress_policy
  ALLOWED_NETWORK_RULE_LIST = ('my_ingress_rule');

  4. Execute o procedimento EVALUATE_CANDIDATE_NETWORK_POLICY na política candidata para simular quais endereços IP ela permitiria ou bloquearia.

    USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'my_ingress_policy'
  );

  5. Analise a saída para confirmar quais endereços IP seriam permitidos ou bloqueados pela política candidata recomendada.

  6. Refine a política candidata com base nos resultados da avaliação.

    Por exemplo, você pode adicionar regras para permitir IPs legítimos que foram bloqueados e remover regras para IPs não autorizados que foram permitidos.

  7. Se necessário, reavalie a política de redes candidata executando novamente o procedimento EVALUATE_CANDIDATE_NETWORK_POLICY e refinando-a até que ela retorne um resultado aceitável.

  8. (Opcional) Depois de determinar que a política candidata funciona com sucesso, ative-a:

    ALTER ACCOUNT SET NETWORK_POLICY = 'my_ingress_policy';

  9. (Opcional) Execute uma consulta como esta para visualizar o histórico do tráfego de entrada em sua rede:

    USE ROLE ACCOUNTADMIN;

SELECT *
  FROM SNOWFLAKE.ACCOUNT_USAGE.INGRESS_NETWORK_ACCESS_HISTORY
  LIMIT 100;