
Snowflake-Sicherheit: Verbesserungen und Maßnahmen

Snowflake verstehen
Um das Thema Snowflake-Sicherheit zu verstehen, ist es zunächst notwendig, zu verstehen, was Snowflake ist. Stellen Sie sich vor, Sie haben eine Website, die auf einem dedizierten Server mit bestimmten CPU-, Speicher- und Speicherkapazitäten gehostet wird. Wenn mehr Menschen Ihre Website besuchen, benötigen Sie mehr Rechenleistung, um Schritt zu halten.
Traditionell würde dies erfordern, den Server anzuhalten, Hardwarekomponenten wie CPU und Speicher aufzurüsten und die Speicherkapazität zu erweitern. Server-Upgrades sind hartes Werk und dauern lange, was für Systemadministratoren ein Problem sein kann. Dies trifft besonders auf mittelständische Unternehmen zu, die auf Datenbankserver angewiesen sind und bei denen Fehler viel kosten können.
Übergang zur virtuellen Infrastruktur
Cloud-Dienste wie AWS oder Azure haben die IT-Verwaltung wesentlich erleichtert. Wir müssen uns nicht mehr um physische Hardware kümmern. Mit Cloud-Diensten müssen sich die Benutzer nicht um die Einzelheiten der Einrichtung und Wartung von Hardware kümmern. Cloud-Dienste bieten virtuelle Maschinen mit unterschiedlichen Leistungsniveaus, um den Benutzeranforderungen gerecht zu werden.
Auch die Softwaretechnologie hat sich verbessert, um gut mit der Cloud-Architektur zusammenzuarbeiten. Nun können wir über Web-Oberflächen ganz einfach mehr Rechenressourcen hinzufügen, ohne die Dienste zu unterbrechen. Dies macht das manuelle Einrichten von virtuellen Maschinen überflüssig.
Einführung von Snowflake
Die Cloud-Infrastruktur berechnet stundenweise, so dass Entwickler die Rechenressourcen je nach Bedarf anpassen können. Dies kann zu erheblichen Kosteneinsparungen führen.
Da sich das Cloud-Computing verbessert hat, hat auch der Bedarf an besserer Integration zwischen Cloud-Tools und Datenverarbeitungslösungen zugenommen. Die Snowflake-Datenplattform erfüllt diese Bedürfnisse.
Sie bietet eine skalierbare und effiziente Plattform für die Datenverarbeitung und -analyse. Sie integriert sich nahtlos in verschiedene Datenquellen und Tools. Dieser Artikel zielt darauf ab, Methoden zur weiteren Verbesserung und zur Erzielung einer präziseren Kontrolle über die Daten mit DataSunrise zu diskutieren.
Eingebaute Sicherheitsfunktionen von Snowflake
Snowflake bietet eine Reihe von Sicherheitsfunktionen, die darauf abzielen, Daten sowohl im Ruhezustand als auch während der Übertragung zu schützen. Dazu gehören immer aktive Verschlüsselung, rollenbasierte Zugriffskontrolle und Unterstützung für Multi-Faktor-Authentifizierung.
Die Funktionen von Snowflake verbessern die Sicherheit, erfüllen jedoch möglicherweise nicht die Anforderungen jeder Institution. Diese Funktionen bilden eine starke Grundlage für die Sicherheit, sie decken jedoch möglicherweise nicht alle Sicherheits- und Compliance-Anforderungen ab. Jede Organisation kann unterschiedliche Sicherheits- und Compliance-Bedürfnisse haben, die diese Funktionen nicht vollständig erfüllen können.
Wesentliche Sicherheitsbefehle und -funktionen
Einige wesentliche Aspekte zur Sicherheit von Snowflake. Snowflake hat ein Sicherheitssystem ähnlich traditionellen Datenbanken wie Oracle oder MySQL. In Snowflake können Sie User, Rollen erstellen und Privilegien gewähren, ähnlich wie in anderen Datenbanken.
Im Folgenden sind einige wesentliche Befehle und Funktionen aufgeführt, die Sie kennen sollten:
Rollenmanagement, Benutzerverwaltung, Zugriffskontrolle:
CREATE ROLE: Erstellen Sie Rollen auf Basis des Prinzips der geringstmöglichen Privilegien.
GRANT ROLE: Weisen Sie Rollen Benutzern oder anderen ausgewiesenen Einheiten zu.
REVOKE ROLE: Entfernen Sie Rollen von Benutzern oder anderen Rollen.
CREATE USER: Erstellen Sie Benutzer mit entsprechenden Berechtigungen.
ALTER USER: Ändern Sie Benutzerattribute oder Berechtigungen.
DROP USER: Eliminieren Sie Benutzerprofile, wenn der Zugriff nicht mehr benötigt wird.
GRANT: Gewähren Sie Privilegien für Datenbanken, Schemas, Tabellen, Ansichten und andere Einheiten.
REVOKE: Entfernen Sie Privilegien von Benutzern oder Rollen.
DENY: Verweigern Sie explizit den Zugriff auf bestimmte Ressourcen.
Snowflake schützt Daten durch Verschlüsselung, ob sie sich im Ruhezustand oder in der Übertragung befinden. Snowflake entschlüsselt Daten innerhalb einer Tabelle automatisch, verarbeitet sie und verschlüsselt sie wieder, nachdem die notwendigen Operationen abgeschlossen sind.
Audit Logging (siehe die Beschreibung weiter unten in diesem Artikel):
CREATE OR REPLACE AUDIT POLICY: Definieren Sie Audit-Richtlinien, um relevante Aktivitäten zu erfassen.
ENABLE DATABASE AUDIT: Aktivieren Sie die Überwachung für bestimmte Datenbanken.
DISABLE DATABASE AUDIT: Dieser Befehl deaktiviert die Überwachung bei Bedarf.
GET_AUDIT_LOG_FILES: Rufen Sie Audit-Protokolle für die Compliance ab.
CREATE NETWORK POLICY: Definieren Sie Netzwerksicherheitsrichtlinien, um den Zugriff von bestimmten IP-Adressen oder -Bereichen zu steuern. ALTER NETWORK POLICY: Modifizieren Sie bestehende Netzwerksicherheitsrichtlinien. DROP NETWORK POLICY: Entfernen Sie Netzwerksicherheitsrichtlinien, wenn sie nicht mehr benötigt werden.
Datenmaskierung (Daten-Governance) und Daten-Tags:
CREATE MASKING POLICY: Definieren Sie Richtlinien zur Maskierung sensibler Daten. ALTER MASKING POLICY: Ändern Sie bestehende Maskierungsrichtlinien. DROP MASKING POLICY: Entfernen Sie Maskierungsrichtlinien, wenn sie nicht mehr benötigt werden.
Multifaktor-Authentifizierung (MFA):
Aktivieren Sie die MFA für die Benutzerauthentifizierung, was eine zusätzliche Sicherheitsschicht hinzufügt.
Regelmäßige Sicherheitsaudits und -updates:
Überprüfen und aktualisieren Sie regelmäßig die Sicherheitskonfigurationen und Zugriffskontrollen.
Überwachen Sie Systemprotokolle auf verdächtige Aktivitäten und Sicherheitsverstöße.
Die Rolle von DataSunrise in der Snowflake-Sicherheit
DataSunrise hebt die Snowflake-Sicherheit auf die nächste Stufe, indem es zusätzliche Schutzschichten bietet. Es handelt sich nicht um eine einfache Datenbank, sondern um ein Werkzeug für die Sicherheits- und Compliance-Automatisierung, das nahtlos mit Snowflake zusammenarbeitet. Die Tool-Suite von DataSunrise umfasst Aktivitätsüberwachung, Datenbank-Firewall, dynamische Datenmaskierung, Erkennung von sensiblen Daten und mehr. Diese Werkzeuge helfen, unberechtigte Zugriffe, SQL-Injection-Angriffe und potenzielle Datenverletzungen zu erkennen und zu verhindern.
Aktivitätsüberwachung und Bedrohungserkennung
Eine der Schlüsselfunktionen von DataSunrise ist die Überwachung von Aktivitäten in Echtzeit. Diese Fähigkeit ermöglicht es Organisationen, alle Benutzeraktionen innerhalb der Snowflake-Datenbank genau im Auge zu behalten. Durch das Erkennen von Missbräuchen von Zugriffsrechten und potenziellen Vorbereitungen auf Datenverletzungen verstärkt DataSunrise die Sicherheit von Snowflake durch eine zusätzliche Überwachungsebene.
Die Audit-Regeln in DataSunrise und Snowflake sind unterschiedlich. Sie variieren in Bezug auf den Umfang der Überwachung, die Anpassungsmöglichkeiten und die Fähigkeit, Sicherheitsrichtlinien durchzusetzen.
DataSunrise und Snowflake haben unterschiedliche Audit-Regeln. DataSunrise bietet im Vergleich zu Snowflake mehr Überwachungs- und Anpassungsmöglichkeiten. Die Fähigkeit von Snowflake zur Durchsetzung von Sicherheitsrichtlinien ist geringer als die von DataSunrise.
Eingebaute Überwachung von Snowflake
Die eingebaute Web-UI-Überwachung von Snowflake sieht folgendermaßen aus:

Drei Optionen zur Verwaltung der Audit-Daten in Snowflake:
- Query History Seite
- QUERY_HISTORY Ansicht
- QUERY_HISTORY, QUERY_HISTORY_BY_* Tabellenfunktionen
Die erste Methode finden Sie auf der Seite Überwachung – Query History im Web-UI. Sie können auf die beiden anderen Methoden mit SQL-Syntax zugreifen. Standardmäßig hat Snowflake keine Audit-Regel-Einstellungen.
DataSunrise hat eine benutzerfreundliche Oberfläche. Diese Oberfläche ermöglicht es Benutzern, Audit-Regeln zu erstellen. Benutzer können auch die Ergebnisse dieser Regeln in Transactional Trails auf der Audit-Seite sehen. Die Oberfläche ist über eine webbasierte Benutzeroberfläche erreichbar.
In DataSunrise können Sie Regeln für spezifische Abfragen von Snowflake-Datenbankobjekten einrichten. Gehen Sie einfach zu Audit, Regeln, Regel hinzufügen, Abfrage zu Datenbankobjekten verarbeiten und Auswählen. Siehe das unten stehende Bild für Details.
Die präzise Regel-Einstellung in DataSunrise erleichtert die Analyse von Audit-Ergebnissen. Die eingebauten Überwachungstools von Snowflake bieten alle notwendigen Funktionen. Sie sind jedoch möglicherweise nicht so genau in ihrer Konfiguration. Dies kann zu einer großen Menge an Daten in der Query-History-Tabelle führen. Dies geschieht, wenn das Datenbankprogramm mit dem Datenbankschema kommuniziert. Dadurch werden zahlreiche Serviceanfragen erzeugt. Diese Anfragen haben nicht direkt mit der tatsächlichen Nutzung des Programms durch die Benutzer zu tun. Dies geschieht, wenn die Datenbankanwendung mit dem Datenbankschema interagiert. Dies erzeugt viele Service-Abfragen. Diese Abfragen haben keinen direkten Bezug zur Nutzungsslogik.

Beachten Sie, dass DataSunrise eine präzise Auswahl der zu überwachenden Objekte bietet und somit eine bessere Kontrolle über die Regeln ermöglicht.
Die Audit-Regeln von DataSunrise wurden entwickelt, um eine umfassende Echtzeit-Überwachung aller Benutzeraktionen innerhalb einer Datenbank zu ermöglichen. Dies beinhaltet die Fähigkeit, Versuche des Missbrauchs von Zugriffsrechten zu erkennen und vorbereitende Maßnahmen für eine Datenverletzung vorab zu verhindern.
DataSunrise kann detaillierte Informationen über Datenbankoperationen erfassen. Dazu gehören die Identitäten der Benutzer, der Zeitpunkt und die Attribute der Operationen. Die Audit-Fähigkeiten von DataSunrise sind umfangreich. Detaillierte Informationen sind für Organisationen, die verschiedenen nationalen und internationalen Datenschutzregelungen entsprechen müssen, unerlässlich.
Außerdem lässt DataSunrise Sie wählen, wo Sie Audit-Protokolle für spätere Analysen oder Untersuchungen speichern wollen. Sie können sie entweder in einer internen oder externen Datenbank speichern.”
Erweiterte Datenbank-Firewall
Die Datenbank-Firewall von DataSunrise ist besser als die standardmäßigen Sicherheitsmaßnahmen von Snowflake. Sie erkennt und stoppt SQL-Injection-Angriffe und unberechtigte Zugriffsversuche in Echtzeit. Dieser proaktive Ansatz zur Snowflake-Sicherheit stoppt fortgeschrittene Cyber-Bedrohungen, bevor sie Schaden anrichten können.
Die Web-Konsole von DataSunrise bietet eine logische und intuitive grafische Benutzeroberfläche (GUI) zur Verwaltung von Datenbanksicherheits- und Compliance-Richtlinien.
Snowflake verteilt seine Sicherheitsfunktionen auf der Website, um Daten zu schützen und zu analysieren. Sicherheitseinstellungen können Sie auf der Plattformoberfläche einrichten oder durch die Verwendung von SQL-Befehlen. Die Web-Oberfläche von Snowflake wird oft als Snowflake-Konsole oder Snowflake Web-UI bezeichnet.
Dynamische Datenmaskierung in DataSunrise
Datenbankadministratoren können die dynamische Datenmaskierung von DataSunrise anpassen, um komplexe Maskierungsregeln und -richtlinien zu erstellen. Benutzer lösen diese Regeln basierend auf Bedingungen wie Benutzerrollen, Zugriffsrechten oder dem Inhalt der Daten aus. DataSunrise bietet eine hohe Kontrolle über die Maskierung, indem es die Maskierung von Daten basierend auf ihrem Typ oder internen Inhalt ermöglicht. Dies bietet einen individuelleren Ansatz zum Datenschutz.
DataSunrise ermöglicht das Logging von Maskierungsereignissen im Dynamic Masking Events Log in Abbildung 03.a. Beachten Sie das Kontrollkästchen ‘Log Event in Storage’. DataSunrise hat auch die Möglichkeit, Abfragen zu blockieren.


DataSunrise erkennt Tabelle-Spalten automatisch und schlägt entsprechende Maskierungstypen vor, so dass Sie sie bei Bedarf anpassen können.
Das System kann den Datentyp automatisch erkennen, wie die E-Mail-Spalte im Beispiel. Sie können diese Funktion anpassen, um die Daten in den Datenbankzeilen zu analysieren, wenn die Maskierung auf Standard steht.
Ein weiterer bedeutender Vorteil der Verwendung von DataSunrise ist, dass seine Maskierungslösung keine Änderungen an der Datenbank selbst erfordert. DataSunrise maskiert Daten im Proxy-Modus, während sie zum Benutzer übertragen werden.”
Snowflake Data Masking
Die Datenmaskierungsfähigkeiten von Snowflake bieten möglicherweise nicht so viel Detail wie die auf Datentyp oder Inhalt basierende Maskierung. Snowflake hat starke Sicherheitsfunktionen. Die dynamische Datenmaskierung von DataSunrise bietet jedoch mehr Flexibilität. Dies ist besonders vorteilhaft für Unternehmen, die eine vielseitige Lösung benötigen.
DataSunrise geht über traditionelle spalten-/zeilenbasierte Ansätze hinaus. Um die Maskierung nach Spalten anzuwenden, erstellen Sie zuerst eine Maskierungsrichtlinie. Dann wenden Sie die Richtlinie auf die Spalte an, indem Sie die Tabelle ändern. Der SQL-Code für das folgende Beispiel sieht folgendermaßen aus:
CREATE OR REPLACE MASKING POLICY email_mask AS (val string) returns string -> CASE WHEN current_role() IN ('ACCOUNTADMIN') THEN VAL ELSE '*********' END; ALTER TABLE mock_table_1 MODIFY COLUMN email SET MASKING POLICY email_mask;
Die Maskierungsergebnisse in Snowflake könnten folgendermaßen aussehen.

In DataSunrise steht bei der Maskierung eine viel größere Bandbreite an Einstellungsoptionen zur Verfügung. Sie können die formatierte Maskierung auswählen und Ihre eigenen Datentypen zusammen mit deren Maskierungsstil definieren.
In Snowflake ist die dynamische Maskierung nur in der Enterprise Edition und nicht in der Standard Edition verfügbar. Versucht man, sie in der Standard Edition zu implementieren, erhält man eine ‘Unsupported feature ‘MASKING POLICY …’ Nachricht.
Entdecken von sensiblen Daten
Ein weiterer Aspekt, bei dem DataSunrise die Sicherheit von Snowflake ergänzt, ist das Sensitive Data Discovery tool. Dieses Tool sucht in der Snowflake-Datenbank nach wichtigen Informationen. Es hilft beim Aufbau von Sicherheitsmaßnahmen und beim Verfolgen der Datennutzung. Diese Fähigkeit ist für Organisationen, die verschiedenen regulatorischen Compliance-Standards gerecht werden müssen, entscheidend.
Das Sicherheits- und Vertrauenszentrum von Snowflake enthält keine OCR (Optical Character Recognition) Tools zur Entdeckung sensibler Daten in Bildern. Der Hauptfokus von Snowflake liegt auf der sicheren Aufbewahrung von Daten auf seiner Plattform. Dazu gehören strukturierte und semi-strukturierte Daten wie JSON, Avro, Parquet und XML.
Snowflake verfügt über Sicherheitsfunktionen wie Datenverschlüsselung und Zugriffskontrolle. Es fehlen jedoch Tools zum Durchsuchen und Identifizieren sensibler Informationen in Bilddateien.
Für Organisationen, die das Identifizieren und Schützen sensibler Daten in Bildern benötigen, sind Drittanbieter-Lösungen wie das OCR Data Discovery Werkzeug von DataSunrise unerlässlich.
Für Unternehmen, die an regulatorische Standards gebunden sind, vereinfacht DataSunrise die Einhaltung der Snowflake-Sicherheit. Diese selbstverwaltende Funktion verringert die Notwendigkeit manueller Eingriffe und gewährleistet die Compliance ohne ständige Aufsicht.
Zum Daten-Compliance
DataSunrise und Snowflake helfen beide bei der Einhaltung von Vorschriften wie GDRP, SOX, PCI DSS und HIPAA. DataSunrise bietet ein breiteres Spektrum an Tools für verschiedene Datenbanken, während Snowflake den Fokus auf Compliance innerhalb seiner eigenen Umgebung legt. Die Tools von DataSunrise können mit jeder Datenbank arbeiten, um die Sicherheit zu verbessern. Snowflake hingegen konzentriert sich auf die Verwaltung und den Schutz von Daten innerhalb seiner Plattform.
Individuell anpassbare Traffic-Filterung
Mit der individuell anpassbaren Traffic-Filterung von DataSunrise können granulare Sicherheitsregeln implementiert werden. Dies ermöglicht es Organisationen, Abfragen, die von bestimmten Benutzern, Anwendungen, Hosts und IP-Adressen stammen, zu verwalten. Damit stärken wir die Snowflake-Sicherheit, indem wir sicherstellen, dass nur legitimer Traffic Zugang erhält.
Umfassende Bedrohungserkennung
Die umfassenden Fähigkeiten von DataSunrise zur Bedrohungserkennung bieten eine Echtzeit-Zugriffs- und Benutzer-Suspicious-Behavior Kontrolle. Diese Funktion ist unerlässlich für die Identifizierung bösartiger Datenbankaktivitäten und das automatische Blockieren von SQL-Injection-Angriffen, was die Snowflake-Sicherheit weiter stärkt.
Zusätzliche Authentifizierungsmethoden
Um die Sicherheit von Snowflake zu verbessern, unterstützt DataSunrise zusätzliche Authentifizierungsmethoden wie Kerberos und LDAP. Diese Protokolle werden von den gängigen Betriebssystemen weitgehend unterstützt und fügen der Snowflake-Datenbank eine weitere Sicherheitsebene hinzu.
Fazit
Snowflake hat viele eingebaute Datenschutzfunktionen. In diesem Artikel haben wir nur einige davon besprochen. Das Hauptziel besteht darin zu demonstrieren, dass die DataSunrise Software die Datenbanksicherheit verbessert, indem sie zusätzliche Kontrolle und Optionen bietet.
Durch die Verwendung von DataSunrise als separate Schicht können Benutzer mehr Flexibilität bei der Erreichung ihrer Sicherheitsziele haben. Dieser Ansatz ermöglicht eine individuellere und anpassungsfähige Sicherheitsstrategie.
Durch die Integration von DataSunrise Sicherheitstools mit der sicheren Datenplattform von Snowflake können Sie den Schutz gegen verschiedene Cyber-Bedrohungen erheblich verbessern. DataSunrise verstärkt die Sicherheitsmaßnahmen von Snowflake, indem es fortschrittliche Funktionen wie Aktivitätsüberwachung, Datenbank-Firewall, dynamische Maskierung und Erkennung sensibler Daten bereitstellt.
Unternehmen, die der Sicherheit von Snowflake Priorität einräumen, können von einem umfassenden Ansatz profitieren. Sie können eine DataSunrise Demo-Sitzung ausprobieren, um zu sehen, wie sie ihre Datenschutzstrategie verbessern können.
Diese Demo-Sitzung wird es ihnen ermöglichen, die Fähigkeiten von DataSunrise zur Stärkung ihrer Sicherheitsmaßnahmen zu verstehen. Durch die Teilnahme an der Demo-Sitzung können Unternehmen die Effektivität von DataSunrise bei der Sicherung ihrer Daten beurteilen.