某YouTuberがオススメしていた「あずきのチカラ 目もと用」を最近愛用しているCI部の宮本です。夜眠りにつくときに使用しているのですが、最初は「あったか〜い。。。」と気持ち良さを感じ、温度が徐々に下がると同時に眠りにつくことが出来ます。
また、こんな副次的な効果があります。目の上にあずきが乗っていてスマホが見られない為、寝床で覚醒してしまって寝られなくなる、といったことが全くなくなりました。
いやあ一石二鳥ですね〜。目の疲れと闘うITエンジニアの皆さんにオススメです。
さて、今回は Snowflake のセキュリティについてのお話です。
はじめに
これまで、Snowflake に関するブログを幾つか書いてきたのですが、いづれも Snowflakeのエンドポイントへのアクセスはユーザーとパスワードのみでの認証でした。
現実にエンタープライズ利用する際、ユーザー・パスワード認証だけでは心許ないですよね。どの様に Snowflakeのエンドポイント、蓄積されている大切なデータを保護すれば良いのでしょうか。
Snowflake のセキュリティ
Snowflake のセキュリティ機能の概要は こちら で確認できます。幾つかかいつまんでご紹介します。
ネットワーク/サイトへのアクセス
ネットワーク的に Snowflake へのアクセスを制御する方法です。
IP ホワイトリストとブラックリストによるサイトアクセス制限
ネットワークポリシー を利用を作成することで、エンドポイントへのアクセス元IPアドレスを制限することができます。ホワイトリスト、ブラックリストどちらの方法でも指定できます。
アクセス元IPアドレスは CIDR 形式で指定できます。
AWS PrivateLink を介した、Snowflakeと他の VPCs 間におけるプライベート通信
Snowflake はアカウント作成時に Cloud provider(AWS or GCP or Azure) とそのリージョンを選択します。Snowflake は指定されたCloud providerのリージョンに、そのアカウント用の 仮想ウェアハウスと呼ばれるコンピューティングエンジンと、データストレージ等を用意します。また、AWS PrivateLink に対応しており、ユーザーが同一リージョンに構築するVPCと接続することによりインターネットを経由せずに Snowflakeのエンドポイントにアクセス出来ます。
エンタープライズ利用でAWSにシステムを構築する場合はこの方法がよりセキュアかつ、レイテンシーも小さい為ベストな選択ではないでしょうか。但し、この機能は Buisiness Critical(またはそれ以上)
のプランでのみ使用できます。
参考)AWS PrivateLink と Snowflake
同様の仕組みで Azure Private Link にも対応している様です。
アカウント/ユーザー認証
ユーザー認証はデフォルトでユーザー・パスワードでの認証ですが、以下の方法で強化することができます。
MFA (Multi Factor Authentication)
認証時にユーザー・パスワードに加えて以下のどちらかで追加の認証を行うことが出来ます。
- Duo Security
- SMS
Duo Security って初めて知りました。。Google Authenticator や Authy などの二段階認証時に使用するトークンソフトウェアの一種の様です。
参考)多要素認証 (MFA)
SSO (Single Sign On)
OneLogin や Okta などの シングルサインオンサービスと連携して認証をすることも出来ます。
OAuth
OAuth にも対応しています。
参考)OAuth
まとめ
その他にも データの暗号化やオブジェクトセキュリティなど、充実したセキュリティ機能があります。詳しくはこちらを参照してみて下さい。
次回は実際にアクセス制限を試してみたいと思います。