DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Seguridad de Snowflake: Mejoras y Medidas

Seguridad de Snowflake: Mejoras y Medidas

Seguridad de Snowflake - Imagen del artículo

Entendiendo Snowflake

Para comprender el tema de la seguridad de Snowflake, es esencial primero profundizar en qué es Snowflake. Imagina que tienes un sitio web alojado en un servidor dedicado con capacidades específicas de CPU, memoria y almacenamiento. A medida que más personas visitan tu sitio web, necesitas más potencia de cómputo para mantener el ritmo.

Tradicionalmente, esto requeriría detener el servidor, actualizar componentes de hardware como CPU y memoria, y expandir la capacidad de almacenamiento. Actualizar servidores es un trabajo arduo y lleva mucho tiempo, lo cual puede ser un problema para los administradores de sistemas. Esto es especialmente cierto para empresas medianas que dependen de servidores de bases de datos donde los errores pueden costar mucho.

Transición a Infraestructura Virtual

Los servicios en la nube como AWS o Azure han facilitado mucho la gestión de TI. Ya no necesitamos preocuparnos por el hardware físico. Con los servicios en la nube, los usuarios no tienen que lidiar con los detalles de configurar y mantener el hardware. Los servicios en la nube ofrecen máquinas virtuales con diferentes niveles de rendimiento para satisfacer las necesidades de los usuarios.

La tecnología de software también ha mejorado para trabajar bien con la arquitectura de la nube. Ahora, podemos agregar fácilmente más recursos de cómputo usando interfaces web sin interrumpir los servicios. Esto elimina la necesidad de configurar manualmente las máquinas virtuales.

Introducción de Snowflake

La infraestructura en la nube cobra por hora, lo que permite a los desarrolladores ajustar los recursos de cómputo según la demanda. Esto puede generar ahorros significativos en costos.

A medida que la computación en la nube ha mejorado, la necesidad de una mejor integración entre las herramientas de la nube y las soluciones de procesamiento de datos ha aumentado. La plataforma de datos Snowflake satisface estas necesidades.

Proporciona una plataforma escalable y eficiente para el procesamiento y análisis de datos. Se integra sin problemas con diversas fuentes de datos y herramientas. Este artículo tiene como objetivo discutir métodos para mejorar aún más y lograr un control más preciso de los datos con DataSunrise.

Características de Seguridad Integradas en Snowflake

Snowflake proporciona una gama de características de seguridad diseñadas para proteger los datos tanto en reposo como en tránsito. Estas incluyen cifrado siempre activo, control de acceso basado en roles y soporte para autenticación multifactor.

Las características de Snowflake mejoran la seguridad, sin embargo, pueden no cumplir con los requisitos de cada institución. Estas características forman una base sólida para la seguridad, pero pueden no cubrir todos los requisitos de seguridad y cumplimiento. Cada organización puede tener diferentes necesidades de seguridad y cumplimiento que estas características pueden no abordar completamente.

Comandos y Características Clave de Seguridad

Algunos aspectos clave para entender sobre la seguridad de Snowflake. Snowflake tiene un sistema de seguridad similar a bases de datos tradicionales como Oracle o MySQL. En Snowflake, puedes crear usuarios, roles, y otorgar privilegios de manera similar a otras bases de datos.

A continuación, algunos comandos y características esenciales a tener en cuenta:

Gestión de Roles, Gestión de Usuarios, Control de Acceso:

CREATE ROLE: Crear roles basados en el principio de privilegio mínimo.
GRANT ROLE: Asignar roles a usuarios u otras entidades designadas.
REVOKE ROLE: Eliminar roles de usuarios u otros roles.
CREATE USER: Crear usuarios con permisos apropiados.
ALTER USER: Modificar atributos o permisos de usuarios.
DROP USER: Eliminar perfiles de usuario cuando ya no se requiera acceso.
GRANT: Otorgar privilegios en bases de datos, esquemas, tablas, vistas y otras entidades.
REVOKE: Eliminar privilegios de usuarios o roles.
DENY: Denegar explícitamente el acceso a ciertos recursos.

Cifrado:

Snowflake protege los datos mediante cifrado, ya sea en reposo o en tránsito. Snowflake desencripta automáticamente los datos dentro de una tabla, los procesa y luego los vuelve a encriptar una vez completadas las operaciones necesarias.

Registro de Auditoría (ver la descripción a continuación en este artículo):

CREATE OR REPLACE AUDIT POLICY: Definir políticas de auditoría para captar actividades relevantes.
ENABLE DATABASE AUDIT: Activar la auditoría para bases de datos específicas.
DISABLE DATABASE AUDIT: Este comando desactiva la auditoría según sea necesario.
GET_AUDIT_LOG_FILES: Recuperar registros de auditoría para el cumplimiento.

Políticas de Seguridad:

CREATE NETWORK POLICY: Definir políticas de red para controlar el acceso desde direcciones IP específicas o rangos de direcciones IP. ALTER NETWORK POLICY: Modificar políticas de red existentes. DROP NETWORK POLICY: Eliminar políticas de red cuando ya no sean necesarias.

Enmascaramiento de Datos (Gobernanza de Datos) y Etiquetas de Datos:

CREATE MASKING POLICY: Definir políticas para enmascarar datos sensibles. ALTER MASKING POLICY: Modificar políticas de enmascaramiento existentes. DROP MASKING POLICY: Eliminar políticas de enmascaramiento cuando ya no sean necesarias.

Autenticación Multifactor (MFA):

Habilitar MFA para la autenticación de usuarios, lo que agrega una capa adicional de seguridad.

Auditorías y Actualizaciones de Seguridad Regulares:

Revisar y actualizar regularmente las configuraciones de seguridad y controles de acceso.

Monitorear los registros del sistema en busca de actividades sospechosas e infracciones de seguridad.

El Rol de DataSunrise en la Seguridad de Snowflake

DataSunrise lleva la seguridad de Snowflake al siguiente nivel, ofreciendo capas adicionales de protección. No es una base de datos regular, sino una herramienta de automatización de seguridad y cumplimiento que funciona sin problemas con Snowflake. La suite de herramientas de DataSunrise incluye monitoreo de actividad, firewall de bases de datos, enmascaramiento dinámico de datos, descubrimiento de datos sensibles y más. Estas herramientas ayudan a detectar y prevenir el acceso no autorizado, ataques de inyección SQL y posibles incumplimientos de datos.

Monitoreo de Actividad y Detección de Amenazas

Una de las características clave de DataSunrise es su monitoreo de actividad en tiempo real. Esta capacidad permite a las organizaciones mantener un ojo vigilante sobre todas las acciones de los usuarios dentro de la base de datos de Snowflake. Al detectar abusos de derechos de acceso y preparaciones para incumplimientos de datos, DataSunrise mejora la seguridad de Snowflake proporcionando una capa adicional de vigilancia.

Las reglas de auditoría en DataSunrise y Snowflake son diferentes. Varían en la extensión del monitoreo, opciones de personalización y capacidad para hacer cumplir las políticas de seguridad.

DataSunrise y Snowflake tienen diferentes reglas de auditoría. DataSunrise ofrece más opciones de monitoreo y personalización en comparación con Snowflake. Snowflake tiene menos capacidad para hacer cumplir las políticas de seguridad que DataSunrise.

Monitoreo Integrado en Snowflake

El Monitoreo Web-UI Integrado en Snowflake se ve como sigue:

Historial de Consultas en Snowflake 01 - Monitoreo - Historial de Consultas - Filtros Expandidos
Figura 01 – Snowflake Web-UI: Monitoreo – Historial de Consultas. Nótese el volumen significativo de consultas de servicio en el Historial de Consultas, que son solicitudes de esquema. La configuración precisa de Auditoría de DataSunrise ayuda a prevenir la sobrecarga de eventos y permite una monitorización precisa de la actividad.

Tres opciones para manejar los datos de auditoría en Snowflake:

  • Página de Historial de Consultas
  • Vista QUERY_HISTORY
  • Funciones de tabla QUERY_HISTORY, QUERY_HISTORY_BY_*

Puedes encontrar el primer método en la página de Monitoreo – Historial de Consultas en el Web-UI. Puedes acceder a los otros dos métodos utilizando la sintaxis SQL. De manera predeterminada, Snowflake no tiene una configuración de Reglas de Auditoría.

DataSunrise tiene una interfaz amigable para el usuario. Esta interfaz permite a los usuarios crear Reglas de Auditoría. Los usuarios también pueden ver los resultados de estas reglas en Rastro Transaccional en la página de Auditoría. La interfaz es accesible a través de un UI basado en web.

En DataSunrise, puedes configurar reglas para consultas específicas de objetos en la base de datos de Snowflake. Simplemente ve a Auditoría, Reglas, Agregar Regla, Procesar Consulta a Objetos de Base de Datos, y Seleccionar. Consulta la imagen a continuación para más detalles.

La configuración precisa de las reglas en DataSunrise facilita el análisis de los resultados de la Auditoría. Las herramientas de monitoreo integradas de Snowflake proporcionan todas las características necesarias. Sin embargo, puede que no sean tan precisas en su configuración. Esto puede resultar en una gran cantidad de datos en la tabla de historial de consultas. Esto ocurre cuando el programa de la base de datos se comunica con el diseño de la base de datos. Esto provoca la generación de numerosas solicitudes de servicio. Estas solicitudes no están relacionadas con cómo los usuarios realmente utilizan el programa. Esto sucede cuando la aplicación de la base de datos interactúa con el esquema de la base de datos. Esto crea muchas consultas de servicio. Estas consultas no están directamente relacionadas con la lógica de uso.

Seguridad de Snowflake - Configuración de reglas de auditoría - Seleccionar Objetos de Base de Datos
Figura 02 – DataSunrise opera como un proxy para salvaguardar la base de datos Snowflake. Esta imagen muestra la selección de los objetos de la base de datos DataSunrise para la configuración de las nuevas reglas de auditoría. La flexibilidad de esta configuración reside en la capacidad de seleccionar objetos específicos de Snowflake.

Nótese que DataSunrise ofrece una configuración precisa de los objetos monitoreados, proporcionando un mejor control sobre las reglas.

DataSunrise diseñó reglas de auditoría para ofrecer un monitoreo integral en tiempo real de todas las acciones de los usuarios dentro de una base de datos. Esto incluye la capacidad de detectar intentos de abuso de derechos de acceso y prevenir preventivamente preparaciones para incumplimientos de datos.

DataSunrise puede capturar información detallada sobre las operaciones de la base de datos. Esto incluye las identidades de los usuarios, el momento y los atributos de las operaciones. Las capacidades de auditoría de DataSunrise son extensivas. Tener información detallada es esencial para las organizaciones que necesitan cumplir con varias regulaciones nacionales e internacionales de protección de datos.

Además, DataSunrise permite elegir dónde almacenar los registros de auditoría para su posterior análisis o investigación. Puedes almacenarlos en una base de datos interna o externa.

Firewall Avanzado de Bases de Datos

El firewall de base de datos de DataSunrise es mejor que las medidas de seguridad predeterminadas de Snowflake. Detecta y detiene activamente inyecciones SQL e intentos de acceso no autorizado en tiempo real. Este enfoque proactivo hacia la seguridad de Snowflake detiene amenazas cibernéticas avanzadas antes de que puedan causar daño.

La Consola Web de DataSunrise ofrece una interfaz gráfica de usuario (GUI) lógica e intuitiva para manejar la seguridad y las políticas de cumplimiento de la base de datos.

Snowflake distribuye sus características de seguridad por todo el sitio web para mantener los datos seguros y analizarlos. Puedes configurar ajustes de seguridad en la interfaz de la plataforma o utilizando comandos SQL. La interfaz web de Snowflake, comúnmente conocida como la Consola de Snowflake o Snowflake Web UI.

Enmascaramiento Dinámico de Datos en DataSunrise

Los administradores de bases de datos pueden personalizar el enmascaramiento dinámico de datos de DataSunrise para crear reglas y políticas complejas de enmascaramiento. Los usuarios activan estas reglas basadas en condiciones como roles de usuario, derechos de acceso o el contenido de los datos. DataSunrise ofrece un alto nivel de control de enmascaramiento, permitiendo el enmascaramiento de datos basado en su tipo o contenido interno. Esto proporciona un enfoque más personalizado para la protección de datos.

DataSunrise permite registrar eventos de enmascaramiento en el registro de Eventos de Enmascaramiento Dinámico en la Figura 03.a. Por favor, nota la casilla de verificación ‘Registrar Evento en Almacenamiento’. DataSunrise también tiene la capacidad de bloquear consultas.

Seguridad de Snowflake - Configuración de Enmascaramiento de DataSunrise
Figura 03 – Configuración de Enmascaramiento de Datos en DataSunrise. Proporciona todas las capacidades de enmascaramiento integradas de Snowflake, junto con un control preciso sobre la selección de datos a enmascarar. Además, separa las capacidades del firewall de la funcionalidad de la base de datos y permite implementar el enmascaramiento sin alterar el esquema de la base de datos. En esta configuración, la columna de correo electrónico se designa como texto.
Resultados de Enmascaramiento
Figura 04 – Resultados de Enmascaramiento de DataSunrise según lo mostrado en la aplicación (script de Python en PyCharm). En esta representación, los datos se acceden a través del proxy, y a medida que atraviesan DataSunrise, se someten a enmascaramiento basado en la configuración mostrada en la imagen anterior. La columna de correo electrónico está enmascarada.

DataSunrise identifica automáticamente las columnas de las tablas y sugiere tipos de enmascaramiento correspondientes según sea apropiado, permitiéndote modificarlos según sea necesario.

El sistema puede detectar automáticamente el tipo de datos, como la columna de correo electrónico en el ejemplo. Puedes ajustar esta característica para analizar los datos en las filas de la base de datos cuando el enmascaramiento es Predeterminado.

Otra ventaja significativa de utilizar DataSunrise es que su solución de enmascaramiento no requiere alterar la base de datos en sí. DataSunrise enmascara los datos en modo proxy a medida que se pasan al usuario.

Enmascaramiento de Datos en Snowflake

Las capacidades de enmascaramiento de datos de Snowflake pueden no ofrecer tanto detalle como el enmascaramiento basado en el tipo de datos o contenido. Snowflake tiene fuertes características de seguridad. Sin embargo, el enmascaramiento dinámico de DataSunrise proporciona más flexibilidad. Esto es especialmente beneficioso para organizaciones que requieren una solución versátil.

DataSunrise va más allá de los enfoques tradicionales basados en columnas/filas. Para aplicar el enmascaramiento por columnas, primero crea una política de enmascaramiento. Luego, aplica la política a la columna cambiando la tabla. El código SQL para el ejemplo a continuación es el siguiente:

CREATE OR REPLACE MASKING POLICY email_mask AS (val string) returns string ->
  CASE
    WHEN current_role() IN ('ACCOUNTADMIN') THEN VAL
    ELSE '*********'
  END;
ALTER TABLE mock_table_1
  MODIFY COLUMN email
  SET MASKING POLICY email_mask;

Los resultados del enmascaramiento en Snowflake pueden verse como sigue.

Resultados de Enmascaramiento en Snowflake - Enmascaramiento Basado en Column</div><div class=

Siguiente

RBAC en MySQL

RBAC en MySQL

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]