保证 Snowflake Native App with Snowpark Container Services 的安全¶
本主题介绍 Snowflake Native App with Snowpark Container Services 的安全注意事项。除了对所有应用程序的一般安全要求外,带容器的应用程序还需要关注特定的安全影响和注意事项。对带容器的应用程序的安全审查流程包括对其包含的容器镜像进行彻底检查。
Snowflake 使用容器镜像扫描工具来检测已知漏洞和违反安全最佳实践的情况。
网络隔离和出口控制¶
带容器的应用程序采用严格的网络隔离和出口控制措施,有助于防止未授权的数据外泄,保护使用者数据。每个带容器的应用程序都在其独立的网络环境中运行,对外部系统和服务的访问都受到控制。
Snowflake 使用网络监控和筛选机制来检测和阻止可疑的出口流量模式。应用程序提供商必须在应用程序清单中明确声明所有外部端点,并对其进行安全审查。
采用以下方式保护使用者数据:
安全的数据访问模式。
传输中和静态加密。
细粒度访问控制。
Snowflake Native App Framework 可确保带容器的应用程序只能访问已获准访问的特定数据和资源。这样可以最大限度地降低数据外泄风险。
带容器的应用程序的额外审批要求¶
Snowflake 为带容器的应用程序实施了额外的审批流程。在将带容器的应用程序发布到 Snowflake Marketplace 之前,必须先获得批准。在提供商为带容器的应用程序创建公开或专用列表之前,必须获得 Snowflake 产品安全团队的批准。
成功通过该审批流程的提供商方能为带容器的应用程序发布公开列表。发布后,Snowflake 客户就可以发现和访问该应用程序。
如果提供商未通过审批流程,则不得为带容器的应用程序发布列表。
启动提供商审批流程¶
当提供商为带容器的应用程序的应用程序包设置 DISTRIBUTION=EXTERNAL 属性时,如果提供商尚未获准发布带容器的应用程序,Snowflake 将返回以下错误:
Error Code: 093197 Account is not allowed to create application package versions or patches with
Snowpark Container Services for EXTERNAL distribution
如果收到此错误,您必须提交 安全调查问卷 (https://docs.google.com/forms/d/1XLjbcSrp689kXEvVELa6KbEUOPfsJIirSTG5pGQDMZE/edit?ts=65fb4866) 以开启审批流程。
安全调查问卷旨在评估如下内容:
提供商的安全措施。
提供商的合规就绪度。
提交安全调查问卷后,开启提供商审批流程。
安全调查问卷评估¶
提供商提交安全调查问卷后,Snowflake 的安全与合规团队会评估每个答复和提供商提供的文件。 对答复进行评估,以确保符合行业最佳实践和标准。
在某些情况下,会要求提供商提供更多信息或接受更深入的审查,以明确任何潜在的问题或风险。
审查调查问卷后,Snowflake 会决定是否允许提供商发布带容器的应用程序。如果提供商没有获得批准,他们必须等到 Snowflake Native App with Snowpark Container Services 正式发布时才能发布。
提供商会收到 Snowflake 发送的电子邮件,说明他们是已获批准还是在等待名单中,直至正式发布。
扫描带容器的应用程序¶
提供商获得批准后,带容器的应用程序将接受自动安全扫描。该扫描包括普通应用程序安全扫描和应用程序中包含的容器镜像扫描。
完成安全扫描所需的时间取决于:
应用程序大小 |
完成扫描的大致时间 |
|---|---|
五个镜像或更少/小于 40 GB |
少于 8 小时 |
十个镜像或更少/小于 70 GB |
少于 24 小时 |
十个镜像或更多/大于 70 GB |
2 个工作日或更长时间 |
小心
所提供的时间范围仅供参考,并不构成正式的服务级别协议 (SLAs)。