AWS PrivateLink pour Snowflake : aucun accès Internet requis

AWS PrivateLink pour Snowflake : aucun accès Internet requis


Améliorez la sécurité et simplifiez la connectivité avec PrivateLink pour Snowflake

AWS a récemment annoncé PrivateLink, la dernière génération de points de terminaison VPC qui permet une connectivité directe et sécurisée entre les VPC AWS, sans traverser l’Internet public. Nous avons travaillé en étroite collaboration avec l’équipe produit AWS pour intégrer PrivateLink à Snowflake et nous sommes ravis d’être parmi les premiers partenaires de lancement. En intégrant PrivateLink, nous permettons aux clients ayant des politiques de sécurité strictes de se connecter à Snowflake sans exposer leurs données à Internet. Dans cet article de blog, nous expliquerons comment PrivateLink améliore nos capacités de sécurité existantes et comment les clients peuvent facilement configurer PrivateLink avec Snowflake.

Snowflake est un entrepôt de données cloud de niveau entreprise doté d’une architecture de données partagée multicluster unique spécialement conçue pour le cloud. Dès le premier jour, la sécurité a été un pilier central de l’architecture de Snowflake, avec des fonctionnalités de sécurité avancées intégrées à la solution. Les clients bénéficient de différents niveaux de sécurité de Snowflake cinq éditions de produits différentes: Standard, Premier, Enterprise, Enterprise for Sensitive Data (ESD) et Virtual Private Snowflake (VPS).

Dans toutes les éditions, Snowflake fournit un environnement sécurisé pour les données client, en les protégeant en transit et au repos. Toutes les données des clients sont cryptées par défaut en utilisant les dernières normes de sécurité et les meilleures pratiques, et validées par la conformité aux protocoles de sécurité standard de l’industrie. En outre, les clients ont accès à une multitude de fonctionnalités de sécurité et d’améliorations de la protection des données telles que la liste blanche IP, le contrôle d’accès basé sur les rôles et l’authentification multifacteur.

Comme le montre la figure 1 ci-dessous, le service mutualisé de Snowflake s’exécute dans un cloud privé virtuel (VPC), isolant et limitant l’accès à ses composants internes. Le trafic entrant des VPC client est acheminé via un Elastic Load Balancer (ELB) vers le VPC Snowflake.

privatelink v2 1

Pour les clients travaillant avec des données hautement sensibles ou avec des exigences de conformité spécifiques, telles que HIPAA et PCI, Snowflake propose Entreprise pour les données sensibles (ESD). Avec l’édition ESD, les données client sont cryptées en transit à travers tout réseaux, y compris au sein du propre VPC de Snowflake. Les clients ESD bénéficient également de fonctionnalités de sécurité supplémentaires telles que Sécurisé Tri-Secret, leur donnant un contrôle total sur l’accès à leurs données. Voir figure 2 ci-dessous.

privatelink v2 2

Plus tôt cette année, nous avons également introduit une version privée à locataire unique du service Snowflake – Flocon de neige privé virtuel. VPS, qui est l’édition la plus avancée et la plus sécurisée de Snowflake, inclut toutes les fonctionnalités d’ESD et répond aux besoins spécifiques des entreprises réglementées telles que celles du secteur financier. Avec VPS, les clients obtiennent une instance dédiée et gérée de Snowflake au sein d’un VPC séparé et dédié. De plus, les clients VPS peuvent utiliser des proxys sécurisés pour le contrôle du trafic de sortie afin de minimiser les risques associés à leurs utilisateurs et systèmes internes communiquant avec des hôtes externes non autorisés, comme illustré à la figure 3 ci-dessous :

privatelink v2 3

Mais nous reconnaissons que l’un des principaux sujets de préoccupation de certains clients concerne la manière dont les données sont envoyées de leur sous-réseau privé à Snowflake. Ces clients doivent appliquer des règles de pare-feu restrictives sur le trafic de sortie. D’autres ont des politiques restrictives concernant l’accès de leurs ressources à Internet. Alors, comment envoyer des données sans autoriser un accès sortant illimité à l’Internet public et sans enfreindre les exigences de conformité en matière de sécurité ?

Entrez AWS PrivateLink : une technologie spécialement conçue qui permet une connectivité directe et sécurisée entre les VPC tout en maintenant le trafic réseau au sein du réseau AWS. Grâce à PrivateLink, les clients peuvent se connecter à Snowflake sans passer par l’Internet public et sans nécessiter la configuration de proxys entre Snowflake et leur réseau en tant que solution de remplacement pour le contrôle du trafic de sortie. Au lieu de cela, toutes les communications entre le VPC client et Snowflake sont effectuées au sein de la dorsale du réseau privé AWS.

Snowflake exploite PrivateLink en exécutant son service derrière un Network Load Balancer (NLB) et partage le point de terminaison avec les VPC des clients. Le point de terminaison Snowflake apparaît dans le VPC client, permettant une connectivité directe à Snowflake via des adresses IP privées. Les clients peuvent ensuite accepter le point de terminaison et choisir lesquels de leurs VPC et sous-réseaux auront accès à Snowflake. Cela permet effectivement à Snowflake de fonctionner comme un service hébergé directement sur le réseau privé du client. Les figures 4 et 5 montrent la connectivité PrivateLink des VPC clients à Snowflake dans les scénarios multi-locataires (ESD) et mono-locataire (VPS).

privatelink v2 4

privatelink v2 5

De plus, les clients peuvent accéder aux points de terminaison PrivateLink à partir de leur réseau sur site via AWS Direct Connect, ce qui leur permet de connecter tous leurs environnements virtuels et physiques dans un seul réseau privé. En tant que tel, Direct Connect peut être utilisé conjointement avec PrivateLink pour connecter le centre de données du client à Snowflake. Voir la figure 6 ci-dessous.

privatelink v2 6

Snowflake fournit déjà l’entrepôt de données le plus sécurisé au monde conçu pour le cloud. Nos éditions de produits ESD et VPS sont conçues pour répondre aux besoins de sécurité et aux exigences de conformité les plus élevés des organisations, grandes et petites. Avec PrivateLink, nous allons encore plus loin en permettant à nos clients d’établir une connectivité directe et privée à Snowflake, sans jamais exposer leurs données à l’Internet public.

PrivateLink est disponible pour tous les clients Snowflake avec les éditions de produits ESD et VPS. Vous pouvez visiter notre mode d’emploi pour savoir comment démarrer avec PrivateLink.

Vous pouvez également essayer Snowflake gratuitement. S’inscrire et recevez 400 USD d’utilisation gratuite. Vous pouvez créer un bac à sable ou lancer une implémentation de production à partir du même environnement Snowflake.

Liens supplémentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.