某YouTuberがオススメしていた「あずきのチカラ 目もと用」を最近愛用しているCI部の宮本です。夜眠りにつくときに使用しているのですが、最初は「あったか〜い。。。」と気持ち良さを感じ、温度が徐々に下がると同時に眠りにつくことが出来ます。
また、こんな副次的な効果があります。目の上にあずきが乗っていてスマホが見られない為、寝床で覚醒してしまって寝られなくなる、といったことが全くなくなりました。
いやあ一石二鳥ですね〜。目の疲れと闘うITエンジニアの皆さんにオススメです。

さて、今回は Snowflake のセキュリティについてのお話です。

はじめに

これまで、Snowflake に関するブログを幾つか書いてきたのですが、いづれも Snowflakeのエンドポイントへのアクセスはユーザーとパスワードのみでの認証でした。

• DWH製品の注目株!! Snowflake をさわってみた
• SnowSQL コマンドで Snowflake に接続する
• Pythonコネクタを使ってSnowflake に接続してみる

現実にエンタープライズ利用する際、ユーザー・パスワード認証だけでは心許ないですよね。どの様に Snowflakeのエンドポイント、蓄積されている大切なデータを保護すれば良いのでしょうか。

Snowflake のセキュリティ

Snowflake のセキュリティ機能の概要は こちら で確認できます。幾つかかいつまんでご紹介します。

ネットワーク/サイトへのアクセス

ネットワーク的に Snowflake へのアクセスを制御する方法です。

IP ホワイトリストとブラックリストによるサイトアクセス制限

ネットワークポリシー を利用を作成することで、エンドポイントへのアクセス元IPアドレスを制限することができます。ホワイトリスト、ブラックリストどちらの方法でも指定できます。

アクセス元IPアドレスは CIDR 形式で指定できます。

AWS PrivateLink を介した、Snowflakeと他の VPCs 間におけるプライベート通信

Snowflake はアカウント作成時に Cloud provider(AWS or GCP or Azure) とそのリージョンを選択します。Snowflake は指定されたCloud providerのリージョンに、そのアカウント用の 仮想ウェアハウスと呼ばれるコンピューティングエンジンと、データストレージ等を用意します。また、AWS PrivateLink に対応しており、ユーザーが同一リージョンに構築するVPCと接続することによりインターネットを経由せずに Snowflakeのエンドポイントにアクセス出来ます。

エンタープライズ利用でAWSにシステムを構築する場合はこの方法がよりセキュアかつ、レイテンシーも小さい為ベストな選択ではないでしょうか。但し、この機能は Buisiness Critical（またはそれ以上） のプランでのみ使用できます。

参考）AWS PrivateLink と Snowflake

同様の仕組みで Azure Private Link にも対応している様です。

アカウント/ユーザー認証

ユーザー認証はデフォルトでユーザー・パスワードでの認証ですが、以下の方法で強化することができます。

MFA (Multi Factor Authentication)

認証時にユーザー・パスワードに加えて以下のどちらかで追加の認証を行うことが出来ます。

• Duo Security
• SMS

Duo Security って初めて知りました。。Google Authenticator や Authy などの二段階認証時に使用するトークンソフトウェアの一種の様です。

参考）多要素認証 (MFA)

SSO (Single Sign On)

OneLogin や Okta などの シングルサインオンサービスと連携して認証をすることも出来ます。

参考）フェデレーション認証と SSO

OAuth

OAuth にも対応しています。

参考）OAuth

まとめ

その他にも データの暗号化やオブジェクトセキュリティなど、充実したセキュリティ機能があります。詳しくはこちらを参照してみて下さい。

次回は実際にアクセス制限を試してみたいと思います。