Fermer

janvier 14, 2022

Meilleures pratiques pour sécuriser Snowflake8 minutes de lecture



Comprendre les meilleures pratiques pour sécuriser Snowflake et disposer d'un plan de mise en œuvre concret est un livrable critique du jour zéro. Snowflake est un entrepôt de données sécurisé basé sur le cloud. Il n'y a aucun composant matériel ou logiciel à sélectionner, installer, configurer ou entretenir. Il n'y a pratiquement aucun logiciel à installer, configurer ou gérer. Snowflake s'occupe de la maintenance et de la gestion continues. Cependant, il est de la responsabilité de chaque organisation individuelle de configurer et de maintenir des contrôles de sécurité appropriés. Il existe trois couches de sécurité que vous devez utiliser pour sécuriser vos données : la sécurité du réseau, l'IAM et le chiffrement des données. Le respect des meilleures pratiques de sécurité Snowflake peut aider à protéger vos données contre les accès non autorisés et le vol.

Contrôles de sécurité du réseau

Les contrôles de sécurité du réseau sont un ensemble de mesures que vous pouvez prendre pour protéger votre réseau contre les accès non autorisés et le vol. Ces contrôles peuvent aider à protéger vos données, vos systèmes et vos ressources.

Communication sécurisée

Snowflake fournit un certain nombre de pilotes et de connecteurs différents que vous pouvez utiliser pour vous connecter à vos données. Tous les conducteurs doivent se conformer aux mêmes contrôles de sécurité. Les données au repos sont cryptées avec AES-256. HTTP Strict Transport Security (HSTS) est appliqué pour toutes les communications client afin de garantir que les données client sont transmises via HTTPS et de refuser les certificats SLL non sécurisés. Les connexions sont cryptées à l'aide de TLS 1.2, qui est un protocole de cryptage sécurisé qui aide à protéger les données lorsqu'elles sont transmises entre les appareils. Il s'agit de la version la plus récente du protocole TLS et offre la sécurité la plus élevée. Snowflake prend en charge TLS 1.2 et supérieur. Authentification requise pour toutes les connexions. Les politiques de réseau configurées par le client vous permettent de limiter la communication client à des adresses IP spécifiques à l'aide de la liste d'autorisation d'adresses IP.

Politiques de réseau

Une politique de réseau est un ensemble de règles qui régissent la manière dont les adresses IP peuvent se connecter à votre compte Snowflake. Utilisez des politiques de réseau pour autoriser les emplacements clients « connus » (plages IP) tout en bloquant les autres. Vérifiez si vous devez créer des stratégies réseau différentes pour les utilisateurs de compte de service qui se connectent à partir d'une application cliente, SCIM ou d'intégrations Snowflake OAuth. une meilleure pratique. Vous pouvez ensuite déployer une règle de transfert DNS sur site pour le compte Snowflake. Une fois que vous avez établi une connectivité privée, vous pouvez restreindre l'accès au point de terminaison public en créant une stratégie réseau au niveau du compte qui autorise uniquement la plage d'adresses IP privées de votre réseau à se connecter à Snowflake.

Identity and Access Management

Data Intelligence - L'avenir du Big Data
L'avenir du Big Data

Avec quelques conseils, vous pouvez créer une plate-forme de données adaptée aux besoins de votre organisation et tirer le meilleur parti de votre capital de données.

Obtenir le guide[19659014]IAM est un moyen de contrôler qui peut faire quoi dans Snowflake et est un élément clé de la sécurité de Snowflake. Vous pouvez l'utiliser pour gérer les utilisateurs et les rôles, et pour contrôler qui a accès aux données, y compris les données sensibles réglementées telles que PII/PHI. pour la gestion des identités inter-domaines (SCIM) lorsqu'elle est prise en charge par votre fournisseur d'identité. Les fournisseurs d'identité peuvent être personnalisés davantage pour synchroniser les utilisateurs et les rôles avec vos personnes et groupes Active Directory. Actuellement, Snowflake prend en charge SCIM 2.0 pour intégrer Snowflake à Okta et Microsoft Azure AD. Vous pouvez configurer un autre fournisseur en tant que fournisseur personnalisé.

Les meilleures pratiques de sécurité de Snowflake recommandent d'utiliser l'authentification unique fédérée (SSO) pour la plupart des utilisateurs. Activez l'authentification multifacteur (MFA) à l'aide de votre MFA d'entreprise actuelle ou de la solution Duo intégrée de Snowflake pour une sécurité supplémentaire. Les comptes de service et les utilisateurs avec le rôle système ACCOUNTADMIN peuvent utiliser des mots de passe. Avec les mots de passe, utilisez une solution de gestion des secrets ou de gestion des accès privilégiés. Par exemple, le HashiCorp Vault Database Secrets Engine automatise la création d'identifiants d'utilisateur de base de données Snowflake uniques et éphémères à l'aide du moteur de base de données du compte Snowflake. OAuth est la méthode préférée pour connecter des applications externes à Snowflake. Okta, l'authentification par navigateur externe, l'authentification par paire de clés et les mots de passe (en dernier recours) sont également pris en charge.

Contrôles d'accès

Tenez compte de la sécurité et des pratiques commerciales de Snowflake lors du développement de votre modèle d'accès aux objets. Créez un groupe de rôles d'accès avec différentes autorisations sur les objets et affectez-les à des rôles fonctionnels si nécessaire. Il n'y a pas de différence technique entre un rôle d'accès aux objets et un rôle fonctionnel. La distinction réside dans la manière dont ils sont logiquement utilisés pour combiner des ensembles d'autorisations et les attribuer à des groupes d'utilisateurs. Accordez des autorisations sur des objets de base de données ou des objets de compte pour accéder à des rôles. Accordez des rôles d'accès aux rôles fonctionnels pour créer une hiérarchie des rôles.

Envisagez de mettre en place des contrôles d'accès au niveau des colonnes pour limiter l'accès aux informations sensibles présentes dans certaines colonnes, telles que les PII, les PHI ou les données financières. Le masquage dynamique des données est une fonction intégrée qui chiffre dynamiquement les données des colonnes en fonction de la personne qui en fait la demande. La tokenisation externe peut détokéniser les données au moment de la requête pour les utilisateurs autorisés en utilisant des technologies partenaires. Limitez l'accès à certaines lignes d'une table à certains utilisateurs uniquement à l'aide de politiques au niveau des lignes.

Chiffrement des données

Snowflake est conçu pour minimiser les risques en chiffrant les données au repos et en mouvement. Le chiffrement de bout en bout (E2EE) est une forme de communication dans laquelle personne d'autre que les utilisateurs finaux ne peut lire les données. Tous les fichiers de données sont cryptés à chaque étape d'un pipeline de déplacement de données.

Snowflake crypte toutes les données à l'aide d'une hiérarchie de clés (avec une racine de confiance basée sur le cloud HSM), qui offre une sécurité renforcée en cryptant des informations individuelles avec une clé distincte. . Snowflake permet également aux clients d'utiliser une clé gérée par le client (CMK) dans le processus de chiffrement, via une fonctionnalité appelée Tri-Secret Secure.

Conclusion

La sécurité Snowflake implique une compréhension approfondie des trois couches de sécurité : sécurité réseau, IAM et chiffrement des données. En suivant les meilleures pratiques pour sécuriser Snowflake, vous pouvez aider à protéger vos données contre les accès non autorisés et le vol.

Si vous êtes prêt à passer au niveau supérieur de votre parcours d'entreprise axé sur les données, contactez Bill.Busch@perficient.com avec Data Solutions.

À propos de l'auteur <!– :   dcallaghan, Architecte de solutions–>

En tant qu'architecte de solutions avec Perficient, j'apporte vingt ans de développement expérience et je suis actuellement pratique avec Hadoop/Spark, blockchain et cloud, codage en Java, Scala et Go. Je suis certifié et travaille beaucoup avec Hadoop, Cassandra, Spark, AWS, MongoDB et Pentaho. Plus récemment, j'ai apporté des solutions intégrées de blockchain (en particulier Hyperledger et Ethereum) et de big data dans le cloud en mettant l'accent sur l'intégration de produits de données modernes tels que HBase, Cassandra et Neo4J en tant que référentiel hors blockchain. cet auteur




Source link

0 Partages