恶意 IP 防护¶
概述¶
Malicious IP Protection 服务会持续检测来自精选列表中保留的 IP 地址的网络访问尝试。该服务通过阻止来自这些 IP 地址的网络访问尝试来保护 Snowflake 实例。该服务通过降低未经授权的访问、数据泄露和恶意活动的风险,强化了 Snowflake 和客户的安全状况。
Snowflake 根据从提供外部威胁情报的第三方网络安全数据源获得的数据,维护并整理一份 IP 地址列表。这些 IP 地址来自已知的不良行为者。下表列出并描述了 Snowflake 如何根据影响分析对 IP 地址进行分类:
IP 类别 |
描述 |
|---|---|
ANONYMOUS_VPN |
与匿名 VPN 服务关联的 IP 地址。 |
ANONYMOUS_PROXIES |
与匿名代理服务器关联的 IP 地址。 |
MALICIOUS_BEHAVIOR |
与已知恶意软件和行为(如自动化暴力破解登录尝试)关联的 IP 地址。 |
TOR_EXITS |
用作 Tor 网络出口节点的 IP 地址。 |
默认情况下,Malicious IP Protection 服务会阻止来自该精选列表中所有类别 IP 地址的网络访问尝试。
查看网络登录详细信息¶
您可以使用 Account Usage LOGIN_HISTORY 视图 查看 Malicious IP Protection 服务已阻止的网络访问尝试的详细信息。例如,要查看账户的登录事件,请运行以下查询:
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
接下来,检查账户的 LOGIN_HISTORY 视图输出中的 is_success 和 login_details 列。
对于被阻止的网络访问尝试,NO 会出现在 is_success 列中。
以下示例显示了针对被阻止的 IP 地址,在 login_details 列中出现的输出:
- 示例 – 被归类为“LOW”风险的被阻止 IP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- 示例 – 被归类为“HIGH”风险的被阻止 IP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
与每个结果对应的 IP 地址出现在 ip_address 列中。
如果您注意到被归类为低风险的 IP 地址被阻止,您可以选择退出阻止该类别。
管理低风险类别的 Malicious IP Protection¶
您可以通过选择退出阻止被归类为低风险的 IP 地址来管理 Malicious IP Protection。您无法选择退出阻止被归类为高风险的 IP 地址。
要选择退出阻止某个类别,请运行 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 函数并提供一个低风险类别名称作为实参。例如:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
要选择退出阻止另一个类别,请再次运行 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 函数并同时提供 两个 低风险类别名称作为实参。例如:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
要重新启用阻止 IP 地址,请运行 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 函数并提供 '' 作为实参。例如:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
(可选)运行该函数并提供用户名作为第二个实参,以仅针对您指定的用户选择退出或重新启用阻止 IP 地址。例如,要为特定用户 JSMITH 禁用 ANONYMOUS_VPN 类别中 IP 地址的 Malicious IP Protection,请运行以下命令:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
以下示例显示了 login_details 列中的 Account Usage LOGIN_HISTORY 视图输出。通过运行 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 函数,此结果的 IP 地址已选择退出阻止 MALICIOUS_BEHAVIOR 类别:
- 示例 – 被归类为“LOW”风险的未阻止 IP:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}