恶意 IP 防护¶
概述¶
The Malicious IP Protection service continuously detects network access attempts that originate from IP addresses that are maintained on a curated list. The service protects the Snowflake instance by blocking network access attempts that originate from those IP addresses. The service hardens both Snowflake's and the customer’s security posture by reducing the risk of unauthorized access, data breaches, and malicious activity.
Snowflake maintains and curates a list of IP addresses, based on data that is obtained from third-party cybersecurity data sources that provide external threat intelligence. The IP addresses are from known bad actors. The following table lists and describes how Snowflake categorizes IP addresses based on impact analysis:
IP 类别 |
描述 |
|---|---|
ANONYMOUS_VPN |
与匿名 VPN 服务关联的 IP 地址。 |
ANONYMOUS_PROXIES |
与匿名代理服务器关联的 IP 地址。 |
MALICIOUS_BEHAVIOR |
IP addresses associated with known malware and behavior such as automated brute force login attempts. |
TOR_EXITS |
IP addresses used as exit nodes for the Tor network. |
默认情况下,Malicious IP Protection 服务会阻止来自该精选列表中所有类别 IP 地址的网络访问尝试。
查看网络登录详细信息¶
您可以使用 Account Usage LOGIN_HISTORY 视图 查看 Malicious IP Protection 服务已阻止的网络访问尝试的详细信息。例如,要查看账户的登录事件,请运行以下查询:
SELECT *
FROM SNOWFLAKE.ACCOUNT_USAGE.LOGIN_HISTORY
WHERE NOT is_success AND login_details IS NOT NULL
ORDER BY event_timestamp DESC;
接下来,检查账户的 LOGIN_HISTORY 视图输出中的 is_success 和 login_details 列。
对于被阻止的网络访问尝试,NO 会出现在 is_success 列中。
以下示例显示了针对被阻止的 IP 地址,在 login_details 列中出现的输出:
- 示例 – 被归类为“LOW”风险的被阻止 IP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}
- 示例 – 被归类为“HIGH”风险的被阻止 IP:
{
"malicious_ip_protection_info":"{\"result\":\"BLOCKED\",\"riskClassification\":\"HIGH\",\"categories\":[\"ANONYMOUS_VPN\",\"ANONYMOUS_PROXIES\"]}"
}
与每个结果对应的 IP 地址出现在 ip_address 列中。
如果您注意到被归类为低风险的 IP 地址被阻止,您可以选择退出阻止该类别。
Manage Malicious IP Protection for low-risk categories¶
您可以通过选择退出阻止被归类为低风险的 IP 地址来管理 Malicious IP Protection。您无法选择退出阻止被归类为高风险的 IP 地址。
要选择退出阻止某个类别,请运行 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 函数并提供一个低风险类别名称作为实参。例如:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('MALICIOUS_BEHAVIOR');
要选择退出阻止另一个类别,请再次运行 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 函数并同时提供 两个 低风险类别名称作为实参。例如:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN,MALICIOUS_BEHAVIOR');
要重新启用阻止 IP 地址,请运行 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 函数并提供 '' 作为实参。例如:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('');
(可选)运行该函数并提供用户名作为第二个实参,以仅针对您指定的用户选择退出或重新启用阻止 IP 地址。例如,要为特定用户 JSMITH 禁用 ANONYMOUS_VPN 类别中 IP 地址的 Malicious IP Protection,请运行以下命令:
USE ROLE ACCOUNTADMIN;
SELECT SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY('ANONYMOUS_VPN', 'JSMITH');
以下示例显示了 login_details 列中的 Account Usage LOGIN_HISTORY 视图输出。通过运行 SYSTEM$OPT_OUT_MALICIOUS_IP_PROTECTION_BY_CATEGORY 函数,此结果的 IP 地址已选择退出阻止 MALICIOUS_BEHAVIOR 类别:
- 示例 – 被归类为“LOW”风险的未阻止 IP:
{
"malicious_ip_protection_info":"{\"result\":\"OPTED_OUT\",\"riskClassification\":\"LOW\",\"categories\":[\"MALICIOUS_BEHAVIOR\"]}"
}