EVALUATE_CANDIDATE_NETWORK_POLICY

模拟对历史入口流量应用候选网络策略的效果,而无需激活该策略。

通过分析输出,管理员可以回答以下问题:

  • 此策略会阻止哪些内容?

  • 合法用户会受到影响吗?

该过程评估所有观察到的入口客户端 IPs,并生成行级假设结果。它不会修改账户配置。

另请参阅:

RECOMMEND_NETWORK_POLICY

语法

SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => '<string>'
  [, LOOKBACK_DAYS => <integer> ]
  [, USER_NAME => <string> ])

实参

必填:

POLICY_NAME => 'string'

要评估的候选网络策略的名称。

可选:

LOOKBACK_DAYS => 'integer'

要评估的历史入口流量的天数。控制模拟的回溯时间。

默认值:None。90

USER_NAME => 'string'

筛选评估以仅包含来自指定用户的流量。

默认值:None。无筛选器;包括所有用户。

返回

返回一个表(至少)包含以下列:

列名称

数据类型

描述

ACCESS_CLIENT_IP

VARCHAR

在历史入口流量中观察到的客户端 IP 地址。

IS_ALLOWED

VARCHAR

如果候选策略已激活,IP 是否会被允许 (YES) 或被阻止 (NO)。

解释:

  • YES – 如果策略已激活,IP 将被允许

  • NO – 如果策略被激活,IP 将被阻止

评估结果不会激活策略。如果要强制执行建议的网络策略,则必须通过运行 ALTER ACCOUNT 命令来激活推荐的网络策略。有关示例,请参阅 生成和评估候选网络策略 中的第 8 步。

访问控制要求

用户至少必须具有 SECURITYADMIN 角色才能运行此存储过程。

有关创建具有指定权限集的自定义角色的说明,请参阅 创建自定义角色

有关对 安全对象 执行 SQL 操作的相应角色和权限授予的一般信息,请参阅 访问控制概述

使用说明

  • 该过程相对于账户配置是只读的。它不会激活或修改任何网络策略。

  • 此过程无法确定哪些 IP 地址对于您的组织来说是正确的或安全的。在激活策略之前,您必须与 IT 和安全团队一起验证结果。

  • 对于具有大量历史入口访问数据的账户,执行时间可能为 1-2 分钟。

  • 对于高流量账户,评估结果可能很密集,可能需要筛选或可视化。

  • 输出中的每一行都代表一个管理员应审查的决策点。

示例

使用默认回顾窗口评估候选网络策略:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY'
  );

根据过去 90 天的入口流量评估候选网络策略:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY',
  LOOKBACK_DAYS => 90
  );

根据过去 90 天名为 user1 的用户入口流量评估候选网络策略:

USE ROLE SECURITYADMIN;

CALL SNOWFLAKE.NETWORK_SECURITY.EVALUATE_CANDIDATE_NETWORK_POLICY(
  POLICY_NAME => 'MY_INGRESS_POLICY',
  LOOKBACK_DAYS => 90,
  USER_NAME => 'user1'
  );