Comment utiliser Zepl pour sécuriser vos identifiants Snowflake dans les notebooks Jupyter et Zeppelin

Comment utiliser Zepl pour sécuriser vos identifiants Snowflake dans les notebooks Jupyter et Zeppelin

Un aspect intéressant d’être un spécialiste de la sécurité dans une entreprise de plate-forme de données cloud est que je suis souvent assis dans des réunions en écoutant des conversations que je ne comprends pas complètement jusqu’à ce que ce soit mon tour de parler. Il y a quelques mois, je me suis assis confus pendant toute une conversation sur les cahiers. Je ne pouvais pas imaginer pourquoi tous ces gens profondément techniques écrivaient toutes ces informations dans un cahier, et j’étais doublement confus quand ils se sont retournés et m’ont demandé comment ils devaient sécuriser ces cahiers. Ce qui m’est venu à l’esprit était une serrure comme celle-ci :

Notebook Zepl 5

Cette confusion a été rapidement dissipée, mais elle a conduit à de nombreuses questions réelles qui n’ont pas été aussi facilement écartées. Comment nos clients utilisaient-ils des notebooks pour gérer leurs informations d’identification Snowflake ? Quelle était la meilleure pratique que nous pouvions les encourager à utiliser ? Comment nos partenaires ont-ils tiré parti des meilleures pratiques que nous avons intégrées aux fonctionnalités de sécurité de Snowflake Cloud Data Platform ? Ces questions m’ont conduit à découvrir comment les ordinateurs portables sont utilisés, et ils m’ont mis à la porte de Zepl une fois que j’ai réalisé l’ampleur des tâches que j’avais assumées.

J’aime appeler quand un partenaire fait les choses correctement. Voici donc l’histoire de la façon dont Zepl n’a pas réussi à résoudre mon problème en faisant tout correctement.

Les ordinateurs portables sont une faille de sécurité imminente

Lorsque je veux savoir comment les choses sont utilisées, je me tourne en premier lieu vers nos clients. Après avoir bien ri du fait que je n’avais jamais entendu parler de notebooks comme Zeppelin et Jupyter, les clients avec qui j’ai parlé m’ont expliqué comment ils géraient les informations d’identification qu’ils utilisent pour authentifier leurs notebooks. La nouvelle était assez décevante. Beaucoup enregistraient des mots de passe en texte clair directement dans les cahiers. D’autres utilisaient des processus compliqués et sujets aux erreurs qui revenaient à enregistrer un fichier crypté sur un serveur, qui contenait alors le mot de passe – et tout le monde avait la clé nécessaire pour le décrypter. Certains ont raconté des histoires de cahiers publiés sur GitHub avec des mots de passe visibles publiquement. La plupart ont confirmé que le système Jupyter partagé qu’ils utilisaient ne les obligeait même pas à se connecter. Tous m’ont demandé : « Quelle meilleure pratique suggéreriez-vous ? »

Les meilleures pratiques pour l’authentification Snowflake des personnes (par opposition aux comptes de service et aux charges de travail programmatiques sans surveillance) consistent à utiliser des informations d’identification personnelles gérées par un fournisseur d’identité (IdP). Ces informations d’identification seraient des identités gérées par un fournisseur d’identité tel qu’Azure Active Directory, Okta ou d’autres systèmes de fédération alimentés par SAML et OAuth. Cela garantit que lorsqu’un utilisateur accède aux données dans Snowflake, il le fait en utilisant un contexte qui lui accorde uniquement les rôles et les droits de son utilisateur personnel. Cela signifie également que l’audit montrera que l’activité a été effectuée par cet utilisateur spécifique. Les informations d’identification personnelles et l’audit au niveau de la personne sont, bien sûr, les meilleures pratiques de sécurité que j’encourage toujours. Donc, les clients entendants ont été obligés d’être si loin de cela que j’ai été chargé de voir ce que je pouvais faire pour aider.

La première étape de mon processus consiste toujours à mettre la main à la pâte. J’ai donc décidé de créer un laboratoire avec Zeppelin et Jupyter pour reproduire ce que les clients de Snowflake voyaient. Le problème avec cela est que je dois toujours presser ces exercices de construction de laboratoire dans des fenêtres entre les sessions client. Alors que j’essayais de gagner du temps pour construire ce laboratoire, j’ai continué à rencontrer les obstacles typiques que vous rencontrez lorsque vous construisez vous-même des serveurs, des réseaux, des systèmes et des plates-formes. Chaque barrage routier signifiait s’éloigner pour revenir plus tard et devoir tout recommencer avec une nouvelle approche pour contourner le défi. Et c’était avant même que Zeppelin et Jupyter soient installés dans le monde réel.

Comment Zepl a obtenu le bon niveau de sécurité pour ordinateur portable

C’est alors que j’ai trouvé Zepl. Ils ont participé à notre lancement des ventes en février et j’ai parlé à quelqu’un de Zepl après avoir vu que le produit de Zepl était dans l’espace des ordinateurs portables. J’ai dit à cette personne ce que j’essayais de faire, et ils ont dit qu’ils me trouveraient un moyen de faire des tests. La première bonne chose qui s’est produite, c’est qu’il s’est avéré que la plate-forme de Zepl est une plate-forme SaaS. Cela a éliminé les défis de construction de l’image, j’ai donc eu mon premier cahier qui me regardait en face. Il était maintenant temps de le connecter à Snowflake et de faire l’expérience de ces conversions de clients décrites. Sauf quand je suis allé ajouter une source de données, j’ai vu ceci:

Notebook Zepl 4

Zepl a déjà intégré l’authentification unique (SSO) dans ses sources de données. J’aurais pu choisir l’option « Utilisateur/Mot de passe » (même si tu sais que je ne le ferais jamais), mais même cela ne serait pas l’expérience janky « mot de passe dans un fichier » que les clients ont décrite. Zepl gère ces mots de passe en tant qu’entités sécurisées sur sa plateforme. Leur SSO exploite le OAuth flocon de neige fonctionnalité, que je conseille toujours aux clients est le moyen le plus élégant de se connecter en toute sécurité à d’autres plates-formes.

Cela m’a fait me demander comment ils verrouillent la porte d’entrée. Les clients avaient déclaré que leurs ordinateurs portables actuels étaient largement ouverts à toute personne de leur réseau connaissant les URL. Lorsque j’ai vérifié ces options, j’ai découvert que Zepl l’avait également verrouillé. Et ils avaient également des options SSO fédérées ici. À l’époque, je n’avais configuré que le mot de passe, mais je pouvais maintenant faire mieux pour verrouiller mon petit laboratoire si je le souhaitais.

Notebook Zepl 1

Pour m’assurer que tout cela fonctionnait d’un point de vue de bout en bout, je suis allé de l’avant et j’ai joué avec les cahiers que Zepl inclut pour Snowflake. J’ai pu me connecter à mon laboratoire, accéder à ma table préférée remplie de nombres premiers et obtenir les résultats dans une jolie petite table. J’ai aussi dû chercher « pandas » sur Google, mais c’est une autre histoire.

Notebook Zepl 3

Comme dernier coup de pied, j’ai découvert que Zepl avait lié à la documentation de Snowflake pour que les gens en apprennent plus sur les fonctionnalités OAuth de Snowflake, et Zepl avait également construit un guide étape par étape dans leur documentation. Le manque de documentation claire a causé plus de failles de sécurité que n’importe quel méchant. C’était donc bien de voir que tout cela était en place pour aider les gens.

Notebook Zepl 2

Comme indiqué au début de ce post, j’aime appeler quand les partenaires ont fait la bonne chose. Zepl fait partie d’un petit club qui obtient des notes maximales pour cela, et j’espère voir tous nos autres partenaires emboîter le pas. Cela me laisse cependant au sec et en sécurité. Donc, si vous me voulez, je vais exécuter une tonne de commandes dans un désordre vaudou sans papiers pour me mettre dans le même mauvais état que la plupart des clients semblent se trouver. Je dois encore trouver quelque chose de cassé pour mon laboratoire, parce que Zepl a réparé toutes leurs affaires avant mon arrivée.

Vous souhaitez utiliser Zepl pour sécuriser vos Notebooks Jupyter et Zeppelin ? Essayez-le gratuitement sur Snowflake Connexion partenaire ou à: www.zepl.com.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.