DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Snowflake Sicherheit: Verbesserungen und Maßnahmen

Snowflake Sicherheit: Verbesserungen und Maßnahmen

Snowflake Sicherheit - Artikelbild

Snowflake verstehen

Um das Thema Snowflake-Sicherheit zu verstehen, ist es zunächst wichtig, zu verstehen, was Snowflake ist. Stellen Sie sich vor, Sie haben eine Website, die auf einem dedizierten Server mit spezifischen CPU-, Speicher- und Speicherkapazitäten gehostet wird. Wenn mehr Menschen Ihre Website besuchen, benötigen Sie mehr Rechenleistung, um Schritt zu halten.

Traditionell würde dies erfordern, den Server anzuhalten, Hardwarekomponenten wie CPU und Speicher aufzurüsten und die Speicherkapazität zu erweitern. Das Aufrüsten von Servern ist sehr arbeitsintensiv und dauert lange, was ein Problem für Systemadministratoren sein kann. Dies gilt insbesondere für mittelständische Unternehmen, die auf Datenbankserver angewiesen sind, bei denen Fehler teuer sein können.

Übergang zur Virtual Infrastructure

Cloud-Dienste wie AWS oder Azure haben die IT-Verwaltung erheblich erleichtert. Wir müssen uns nicht mehr um die physische Hardware kümmern. Mit Cloud-Diensten müssen Benutzer sich nicht mit dem Aufbau und der Wartung von Hardware auseinandersetzen. Cloud-Dienste bieten virtuelle Maschinen mit unterschiedlichen Leistungsniveaus, um die Bedürfnisse der Benutzer zu erfüllen.

Auch die Softwaretechnologie hat sich verbessert, um gut mit der Cloud-Architektur zusammenzuarbeiten. Jetzt können wir leicht über Web-Oberflächen mehr Rechenressourcen hinzuzufügen, ohne Dienste zu unterbrechen. Dies beseitigt die Notwendigkeit, virtuelle Maschinen manuell einzurichten.

Einführung von Snowflake

Die Cloud-Infrastruktur rechnet stundenweise ab und ermöglicht es Entwicklern, Rechenressourcen basierend auf der Nachfrage anzupassen. Dies kann zu erheblichen Kosteneinsparungen führen.

Mit der Verbesserung des Cloud-Computing hat der Bedarf an besserer Integration zwischen Cloud-Tools und Datenverarbeitungslösungen zugenommen. Die Snowflake-Datenplattform erfüllt diese Anforderungen.

Sie bietet eine skalierbare und effiziente Plattform für die Datenverarbeitung und Analyse. Sie integriert sich nahtlos mit verschiedenen Datenquellen und Tools. Dieser Artikel zielt darauf ab, Methoden zur weiteren Verbesserung und zur Erreichung einer präziseren Kontrolle über die Daten mit DataSunrise zu diskutieren.

Eingebaute Snowflake-Sicherheitsfunktionen

Snowflake bietet eine Reihe von Sicherheitsfunktionen, die darauf ausgelegt sind, Daten sowohl im Ruhezustand als auch bei der Übertragung zu schützen. Dazu gehören ständig aktive Verschlüsselung, rollenbasierte Zugriffskontrolle und Unterstützung für Mehrfaktorauthentifizierung.

Die Funktionen von Snowflake verbessern die Sicherheit, erfüllen jedoch möglicherweise nicht die Anforderungen jeder Institution. Diese Funktionen bilden eine starke Grundlage für die Sicherheit, sie decken jedoch möglicherweise nicht alle Sicherheits- und Compliance-Anforderungen ab. Jede Organisation kann unterschiedliche Sicherheits- und Compliance-Anforderungen haben, die diese Funktionen möglicherweise nicht vollständig abdecken.

Zentrale Sicherheitsbefehle und -funktionen

Einige Schlüsselaspekte zum Verständnis der Snowflake-Sicherheit. Snowflake verfügt über ein Sicherheitssystem ähnlich wie traditionelle Datenbanken wie Oracle oder MySQL. In Snowflake können Sie Benutzer, Rollen erstellen und Berechtigungen gewähren, ähnlich wie bei anderen Datenbanken.

Nachfolgend sind einige wesentliche Befehle und Funktionen aufgeführt, die Sie kennen sollten:

Rollenverwaltung, Benutzerverwaltung, Zugriffskontrolle:

CREATE ROLE: Erstellen Sie Rollen nach dem Prinzip der minimalsten Privilegien.
GRANT ROLE: Weisen Sie Rollen Benutzern oder anderen ausgewählten Entitäten zu.
REVOKE ROLE: Entfernen Sie Rollen von Benutzern oder anderen Rollen.
CREATE USER: Erstellen Sie Benutzer mit entsprechenden Berechtigungen.
ALTER USER: Ändern Sie Benutzerattribute oder Berechtigungen.
DROP USER: Entfernen Sie Benutzerprofile, wenn der Zugriff nicht mehr erforderlich ist.
GRANT: Gewähren Sie Privilegien auf Datenbanken, Schemata, Tabellen, Ansichten und andere Entitäten.
REVOKE: Entfernen Sie Privilegien von Benutzern oder Rollen.
DENY: Weisen Sie den Zugriff auf bestimmte Ressourcen explizit ab.

Verschlüsselung:

Snowflake schützt Daten durch Verschlüsselung, egal ob sie im Ruhezustand oder in Übertragung sind. Snowflake entschlüsselt Daten innerhalb einer Tabelle automatisch, verarbeitet sie und verschlüsselt sie dann erneut, nachdem die erforderlichen Operationen abgeschlossen sind.

Audit Logging (siehe die unten in diesem Artikel enthaltene Beschreibung):

CREATE OR REPLACE AUDIT POLICY: Definieren Sie Prüfungsrichtlinien, um relevante Aktivitäten zu erfassen.
ENABLE DATABASE AUDIT: Aktivieren Sie die Überprüfung für bestimmte Datenbanken.
DISABLE DATABASE AUDIT: Dieser Befehl deaktiviert die Prüfung bei Bedarf.
GET_AUDIT_LOG_FILES: Abrufen von Prüfprotokollen für die Compliance.

Sicherheitsrichtlinien:

CREATE NETWORK POLICY: Definieren Sie Netzwerkrichtlinien, um den Zugriff von bestimmten IP-Adressen oder Bereichen zu steuern. ALTER NETWORK POLICY: Ändern Sie vorhandene Netzwerkrichtlinien. DROP NETWORK POLICY: Entfernen Sie Netzwerkrichtlinien, wenn sie nicht mehr benötigt werden.

Datenmaskierung (Datenverwaltung) und Datentags:

CREATE MASKING POLICY: Definieren Sie Richtlinien zum Maskieren sensibler Daten. ALTER MASKING POLICY: Ändern Sie vorhandene Maskierungsrichtlinien. DROP MASKING POLICY: Entfernen Sie Maskierungsrichtlinien, wenn sie nicht mehr benötigt werden.

Mehrfaktorauthentifizierung (MFA):

Aktivieren Sie MFA für die Benutzerauthentifizierung, die eine zusätzliche Sicherheitsebene hinzufügt.

Regelmäßige Sicherheitsaudits und -aktualisierungen:

Überprüfen und aktualisieren Sie regelmäßig Sicherheitskonfigurationen und Zugriffskontrollen.

Überwachen Sie Systemprotokolle auf verdächtige Aktivitäten und Sicherheitsverstöße.

Die Rolle von DataSunrise in der Snowflake-Sicherheit

DataSunrise führt die Snowflake-Sicherheit auf die nächste Stufe, indem es zusätzliche Ebenen des Schutzes bietet. Nicht nur eine normale Datenbank, sondern ein Tool zur Automatisierung von Sicherheit und Compliance, das nahtlos mit Snowflake zusammenarbeitet. Die Suite von DataSunrise umfasst Activity Monitoring, Database Firewall, Dynamic Data Masking, Sensitive Data Discovery und mehr. Diese Tools helfen dabei, unbefugten Zugriff, SQL-Injection-Angriffe und potenzielle Datenverletzungen zu erkennen und zu verhindern.

Activity Monitoring und Threat Detection

Eine der Schlüsselfunktionen von DataSunrise ist die Echtzeit-Aktivitätsüberwachung. Diese Fähigkeit ermöglicht es den Organisationen, ein wachsames Auge auf alle Benutzeraktionen innerhalb der Snowflake-Datenbank zu haben. DataSunrise verbessert die Sicherheit von Snowflake, indem es eine zusätzliche Überwachungsebene zur Verfügung stellt.

Die Audit-Regeln in DataSunrise und Snowflake sind unterschiedlich. Sie variieren in Bezug auf den Umfang der Überwachung, die Anpassungsoptionen und die Fähigkeit zur Durchsetzung von Sicherheitsrichtlinien.

DataSunrise und Snowflake haben unterschiedliche Audit-Regeln. DataSunrise bietet im Vergleich zu Snowflake mehr Überwachungs- und Anpassungsoptionen. Snowflake hat weniger Fähigkeit, Sicherheitsrichtlinien durchzusetzen als DataSunrise.

Snowflake eingebautes Monitoring

Das in Snowflake eingebaute Web-UI-Monitoring sieht wie folgt aus:

Snowflake Query History 01 - Monitoring - Query History - Filters Expanded
Abbildung 01 – Snowflake Web-UI: Überwachung – Abfrageverlauf. Beachten Sie das erhebliche Volumen der Dienstanfragen im Abfrageverlauf, die Schemaanfragen sind. DataSunrise’s genaue Audit-Einrichtung hilft, Überschwemmungen mit Ereignissen zu verhindern und ermöglicht ein genaues Monitoring der Aktivität.

Drei Optionen zur Behandlung der Auditdaten in Snowflake:

  • Seite Abfrageverlauf
  • QUERY_HISTORY View
  • QUERY_HISTORY, QUERY_HISTORY_BY_* Tabellenfunktionen

Die erste Methode finden Sie auf der Seite Überwachung – Abfrageverlauf in der Web-UI. Auf die beiden anderen Methoden können Sie mit SQL-Syntax zugreifen. Standardmäßig hat Snowflake keine Audit Rules-Einrichtung.

DataSunrise hat eine benutzerfreundliche Oberfläche. Diese Oberfläche ermöglicht es den Benutzern, Prüfregeln zu erstellen. Die Benutzer können die Ergebnisse dieser Regeln auch in den Transactional Trails auf der Audit-Seite sehen. Die Oberfläche ist über eine webbasierte UI zugänglich.

In DataSunrise können Sie Regeln für bestimmte Snowflake-Datenbankobjektabfragen einstellen. Gehen Sie einfach zu Audit, Rules, Add Rule, Process Query to Database Objects und Select. Die Details entnehmen Sie bitte dem untenstehenden Bild.

Die genaue Regelerstellung in DataSunrise erleichtert die Analyse der Audit-Ergebnisse. Die in Snowflake eingebauten Überwachungs-Tools bieten alle notwendigen Funktionen. Sie sind jedoch möglicherweise nicht so genau in ihrer Konfiguration. Dies kann dazu führen, dass eine große Menge an Daten in der Abfrageverlaufstabelle vorhanden ist. Dies tritt auf, wenn das Datenbankprogramm mit dem Datenbankdesign kommuniziert. Dies verursacht die Erzeugung von zahlreichen Dienstanfragen. Diese Anfragen haben keinen Bezug zur eigentlichen Nutzung des Programms durch die Benutzer. Dies geschieht, wenn die Datenbankanwendung mit dem Datenbankschema interagiert. Dies erzeugt viele Serviceanfragen. Diese Anfragen haben keinen direkten Bezug zur Nutzungssystematik.

Snowflake Sicherheit - Audit-Regel-Setup - Auswahl der Datenbankobjekte
Abbildung 02 – DataSunrise fungiert als Proxy, um die Snowflake-Datenbank abzusichern. Dieses Bild zeigt die Auswahloptionen der DataSunrise Datenbankobjekte für das neue Audit-Regel-Setup. Die Flexibilität dieses Setups liegt in der Fähigkeit, spezifische Snowflake-Objekte auszuwählen.

Beachten Sie, dass DataSunrise ein präzises Setup der überwachten Objekte bietet, was eine bessere Kontrolle über die Regeln ermöglicht.

DataSunrise hat Audit-Regeln konzipiert, um eine umfassende Echtzeitüberwachung aller Benutzeraktionen innerhalb einer Datenbank zu bieten. Dies beinhaltet die Fähigkeit, Versuche zum Missbrauch von Zugriffsrechten zu erkennen und die Vorbereitung von Datenlecks präventiv zu verhindern.

DataSunrise kann detaillierte Informationen über Datenbankoperationen erfassen. Dazu gehören die Identitäten der Benutzer, der Zeitpunkt und die Attribute der Operationen. Die Prüffähigkeiten von DataSunrise sind umfangreich. Detaillierte Informationen sind entscheidend für Organisationen, die verschiedenen nationalen und internationalen Datenschutzvorschriften entsprechen müssen.

Außerdem lässt DataSunrise Sie wählen, wo Sie Prüfprotokolle für spätere Analysen oder Untersuchungen speichern möchten. Sie können sie entweder in einer internen oder externen Datenbank speichern.”

Erweiterte Datenbank-Firewall

Die Datenbank-Firewall von DataSunrise ist besser als die standardmäßigen Sicherheitsmaßnahmen von Snowflake. Sie erkennt und stoppt SQL-Injections und unbefugte Zugriffsversuche in Echtzeit. Dieser proaktive Ansatz zur Snowflake-Sicherheit stoppt fortgeschrittene Cyberbedrohungen, bevor sie Schaden anrichten können.

Die DataSunrise-Webkonsole bietet eine logische und intuitive grafische Benutzeroberfläche (GUI) für die Verwaltung von Datenbanksicherheits- und Compliance-Richtlinien.

Snowflake verteilt seine Sicherheitsfunktionen über die Website, um die Daten sicher zu halten und zu analysieren. Sie können die Sicherheitseinstellungen auf der Benutzeroberfläche der Plattform einrichten oder SQL-Befehle verwenden. Die Web-Benutzeroberfläche von Snowflake, oft als Snowflake-Konsole oder Snowflake Web UI bezeichnet.

Dynamisches Datenmasking in DataSunrise

Datenbankadministratoren können das dynamische Datenmasking von DataSunrise anpassen, um komplexe Maskierungsregeln und -richtlinien zu erstellen. Diese Regeln lösen Benutzer aus, die auf Bedingungen wie Benutzerrollen, Zugriffsrechte oder den Inhalt der Daten basieren. DataSunrise bietet ein hohes Maß an Maskierungskontrolle, was das Maskieren von Daten basierend auf deren Art oder internem Inhalt ermöglicht. Dies bietet einen personalisierten Ansatz zur Datenprotektion.

DataSunrise ermöglicht das Protokollieren von Maskierungsereignissen in das Dynamic Masking Events-Log in Abbildung 03.a. Bitte beachten Sie das Kästchen ‘Log Event in Storage’. DataSunrise hat auch die Fähigkeit, Abfragen zu blockieren.

Snowflake Sicherheit - DataSunrise Masking Setup
Abbildung 03 – Datenmaskierungs-Setup in DataSunrise. Es bietet alle eingebauten Maskierungsfähigkeiten von Snowflake, zusammen mit einer präzisen Kontrolle über die Auswahl der zu maskierenden Daten. Darüber hinaus trennt es Firewall-Fähigkeiten von der Datenbankfunktionalität und ermöglicht die Implementierung von Maskierungen ohne Änderung des Datenbankschemas. In diesem Setup wird die E-Mail-Spalte als Text bezeichnet.
Masking Results
Abbildung 04 – DataSunrise Masking-Ergebnisse wie in der Anwendung dargestellt (Python-Skript in PyCharm). In dieser Darstellung werden die Daten über den Proxy abgerufen, und während sie DataSunrise durchlaufen, werden sie auf Basis des oben dargestellten Setups maskiert. Die Spalte mit der E-Mail ist maskiert.

DataSunrise identifiziert automatisch Tabellenspalten und schlägt entsprechende Maskierungstypen vor, so dass Sie sie nach Bedarf ändern können.

Das System kann den Datentyp automatisch erkennen, wie die E-Mail-Spalte im Beispiel. Sie können dieses Feature anpassen, um die Daten in den Datenbankzeilen zu analysieren, wenn die Maskierung Standard ist.

Ein weiterer bedeutender Vorteil der Verwendung von DataSunrise ist, dass seine Maskierungslösung keine Änderung der Datenbank selbst erfordert. DataSunrise maskiert Daten im Proxy-Modus, während sie zum Benutzer übertragen werden.

Snowflake Datenmaskierung

Die Datenmaskierungsfähigkeiten von Snowflake bieten möglicherweise nicht so viele Details wie datentyp- oder inhaltsbasierte Maskierung. Snowflake hat starke Sicherheitsfunktionen. Die dynamische Datenmaskierung von DataSunrise bietet jedoch mehr Flexibilität. Dies ist besonders vorteilhaft für Organisationen, die eine vielseitige Lösung benötigen.

DataSunrise geht über traditionelle spalten-/zeilenbasierte Ansätze hinaus. Um Masken pro Spalten anzuwenden, erstellen Sie zuerst eine Maskierungsrichtlinie. Dann wenden Sie die Richtlinie auf die Spalte an, indem Sie die Tabelle ändern. Der SQL-Code für das folgende Beispiel lautet wie folgt:

CREATE OR REPLACE MASKING POLICY email_mask AS (val string) returns string ->
  CASE
    WHEN current_role() IN ('ACCOUNTADMIN') THEN VAL
    ELSE '*********'
  END;
ALTER TABLE mock_table_1
  MODIFY COLUMN email
  SET MASKING POLICY email_mask;

Die Maskierungsergebnisse in Snowflake können wie folgt aussehen.

Snowflake Masking-Ergebnisse - Spaltenbasiertes Masking
Abbildung 05 – Snowflake spaltenbasierte Maskierungsergebnisse.

In DataSunrise-Maskierung sind eine viel größere Auswahl an Setup-Optionen verfügbar. Sie können formatiertes Masking auswählen und Ihre eigenen Datentypen sowie ihren Maskierungsstil definieren.

In Snowflake steht dynamisches Masking nur in der Enterprise Edition und nicht in der Standard Edition zur Verfügung. “Versuche, es in der Standard Edition zu implementieren, führen zu einer ‘Nicht unterstützte Funktion ‘MASKING POLICY …’ Meldung.

Sensitive Data Discovery

Ein weiterer Aspekt, in dem DataSunrise die Sicherheit von Snowflake ergänzt, ist das sensitive Data Discovery Tool. Dieses Tool durchsucht die Snowflake-Datenbank nach wichtigen Informationen. Es hilft bei der Einrichtung von Sicherheitsmaßnahmen und der Nachverfolgung der Datenverwendung. Diese Fähigkeit ist für Organisationen, die verschiedenen regulatorischen Compliance-Standards entsprechen müssen, von entscheidender Bedeutung.

Snowflakes Security and Trust Center beinhaltet keine OCR (Optische Zeichenerkennung)-Tools zur Entdeckung sensibler Daten in Bildern. Der Fokus von Snowflake liegt darauf, Daten auf seiner Plattform sicher aufzubewahren. Dies umfasst strukturierte und halbstrukturierte Daten wie JSON, Avro, Parquet und XML.

Snowflake hat Sicherheitsfunktionen wie Datenverschlüsselung und Zugriffskontrolle. Es fehlen jedoch Tools zum Scannen und Identifizieren sensibler Informationen in Bilddateien.

Für Organisationen, die das Erkennen und Schützen sensibler Daten innerhalb von Bildern benötigen, sind Drittanbieterlösungen wie das OCR Data Discovery Tool von DataSunrise unerlässlich.

Für Unternehmen, die durch regulatorische Standards gebunden sind, erleichtert DataSunrise die Einhaltung der Snowflake-Sicherheit. Diese selbstverwaltende Funktion reduziert die Notwendigkeit manueller Eingriffe und gewährleistet die Compliance ohne ständige Aufsicht.

Zum Thema Daten-Compliance

Sowohl DataSunrise als auch Snowflake helfen bei der Einhaltung von Verordnungen wie GDPR, SOX, PCI DSS und HIPAA. DataSunrise bietet eine größere Auswahl an Tools für verschiedene Datenbanken, während Snowflake sich auf die Einhaltung innerhalb seiner eigenen Umgebung konzentriert. Die Tools von DataSunrise können mit jeder Datenbank arbeiten, um die Sicherheit zu verbessern. Snowflake hingegen konzentriert sich auf die Verwaltung und den Schutz von Daten innerhalb seiner Plattform.

Anpassbare Traffic-Filter

Mit der anpassbaren Traffic-Filterung von DataSunrise kann die Implementierung detaillierter Sicherheitsregeln ermöglicht werden. Dies ermöglicht es Organisationen, Anfragen von bestimmten Benutzern, Anwendungen, Hosts und IP-Adressen zu verwalten. Wir verstärken dadurch die Sicherheit von Snowflake, indem wir sicherstellen, dass nur legitimer Datenverkehr Zugang erhält.

Umfassende Threat Detection

Die umfassenden Threat-Detection-Fähigkeiten von DataSunrise bieten Echtzeit-Zugriffs- und anomale Benutzerverhaltenskontrolle. Diese Funktion ist unerlässlich, um bösartige Datenbankaktivitäten zu erkennen und automatisch SQL-Injections zu blockieren, was die Sicherheit von Snowflake zusätzlich stärkt.

Zusätzliche Authentifizierungsmethoden

Zur Stärkung der Snowflake-Sicherheit unterstützt DataSunrise zusätzliche Authentifizierungsmethoden wie Kerberos und LDAP. Diese Protokolle werden von den gängigen Betriebssystemen weitgehend unterstützt und fügen der Snowflake-Datenbank eine zusätzliche Sicherheitsebene hinzu.

Schlussfolgerung

Snowflake hat viele eingebaute Datenschutzfunktionen. In diesem Artikel haben wir nur einige davon behandelt. Ziel ist es zu demonstrieren, dass die DataSunrise-Software die Datenbanksicherheit verbessert, indem sie zusätzliche Kontrolle und Optionen bietet.

Indem DataSunrise als separate Schicht verwendet wird, können Benutzer mehr Flexibilität bei der Erreichung ihrer Sicherheitsziele haben. Dieser Ansatz ermöglicht eine individuellere und anpassungsfähige Sicherheitsstrategie.

Durch die Integration der Sicherheitstools von DataSunrise mit der sicheren Datenplattform von Snowflake können Sie den Schutz vor verschiedenen Cyber-Bedrohungen erheblich verbessern. DataSunrise verbessert die Sicherheitsmaßnahmen von Snowflake durch Bereitstellung von erweiterten Funktionen wie Activity Monitoring, Database Firewall, Dynamic Masking und Sensitive Data Discovery.

Unternehmen, die Snowflake-Sicherheit priorisieren, können von einem umfassenden Ansatz profitieren. Sie können eine DataSunrise Demoversion ausprobieren, um zu sehen, wie sie ihre Datenschutzstrategie verbessern kann.

Diese Demoversion ermöglicht es ihnen, die Leistungsfähigkeit von DataSunrise zu verstehen, ihre Sicherungsmaßnahmen zu stärken. Durch die Teilnahme an der Demositzung können Unternehmen die Wirksamkeit von DataSunrise bei der Sicherung ihrer Daten beurteilen.

Nächste

RBAC in MySQL

RBAC in MySQL

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]