Snowflake annonce la prise en charge de Microsoft Azure Private Link

Snowflake annonce la prise en charge de Microsoft Azure Private Link


Les clients font confiance à Snowflake Cloud Data Platform pour leurs données les plus sensibles. Pour gagner cette confiance, Snowflake utilise une approche de sécurité multicouche (gestion du réseau, des identités et des accès [IAM], et cryptage des données) pour protéger les données des clients. La sécurité du réseau, également connue sous le nom de sécurité périmétrique, fournit la première ligne de défense contre les acteurs malveillants qui tentent d’accéder aux comptes clients Snowflake. Pour se prémunir contre les acteurs malveillants, Snowflake propose deux types de contrôles pour la sécurité du réseau : la connectivité privée et l’utilisation de politiques réseau pour autoriser les plages d’adresses IP connues à se connecter à Snowflake.

Nous sommes heureux d’annoncer la disponibilité générale de l’intégration Azure Private Link pour les clients Snowflake qui utilisent Azure pour faciliter la connectivité privée à Snowflake. Grâce à cette intégration, les comptes Snowflake sont accessibles via des adresses IP privées à partir du réseau d’un client similaire à d’autres applications exécutées sur leur réseau, tout en gardant le flux de données privé sur le réseau sécurisé de Microsoft Azure. Les données ne traversent jamais l’Internet public, ce qui réduit considérablement l’exposition aux menaces de sécurité courantes. En plus d’améliorer la posture de sécurité, l’intégration d’Azure Private Link simplifie la topologie du réseau.

Avantages clés

L’intégration d’Azure Private Link offre les avantages suivants :

  • Permet un accès privé à Snowflake : les clients peuvent connecter leurs réseaux virtuels (VNets) à Snowflake de manière sécurisée et évolutive.
  • Le compte Snowflake apparaît comme une adresse IP privée dans le réseau virtuel du client.
  • Le trafic reste sur le réseau sécurisé de Microsoft Azure.
  • Il existe une connectivité unidirectionnelle entre le réseau virtuel et Snowflake.
  • Fonctionne avec les réseaux sur site et appairés : les clients peuvent accéder à leur compte Snowflake via des tunnels d’appairage/VPN privés (à partir de systèmes sur site) et également à partir de réseaux virtuels appairés.

Comment ça marche?

Azure Snowflake 3

Snowflake sur Azure expose le point de terminaison du service Private Link. Les clients se connectent au point de terminaison de service à partir d’un point de terminaison privé dans leur réseau virtuel. Le diagramme suivant résume la configuration unique dans Snowflake et Microsoft Azure. Vous trouverez des instructions détaillées dans le Documentation.

Azure Snowflake 4

Une fois la configuration terminée, vous pouvez vous connecter à Snowflake via Azure Private Link à partir de n’importe quelle application client exécutée sur site ou dans votre réseau virtuel ou vous pouvez vous connecter via l’interface utilisateur Snowflake.

Comment me connecter à Snowflake à partir de plusieurs réseaux virtuels dans la même région ou dans plusieurs régions ?

Vous pouvez configurer une topologie de réseau hub-and-spoke où un réseau virtuel est utilisé pour se connecter à Snowflake dans la même région. Le reste des réseaux virtuels dans la même région ou entre les régions sont appairés à ce réseau virtuel concentrateur.

Azure 1

Comment puis-je me connecter à partir de réseaux virtuels appartenant à différents locataires Azure Active Directory ?

Vous pouvez vous connecter à Snowflake à partir de réseaux virtuels qui appartiennent à différents locataires Azure AD en itérant sur le processus de configuration pour chacun de vos réseaux virtuels de locataire Azure AD.

Azure Snowflake 2

De quelles URL ai-je besoin pour résoudre via DNS le point de terminaison privé ?

Snowflake ne prend pas en charge les URL personnalisées et vous devez configurer la résolution DNS pour ces deux URL :

  • ..azure.privatelink.snowflakecomputing.com
  • ocsp...azure.privatelink.snowflakecomputing.com

Comment configurer DNS pour résoudre les URL de lien privé Snowflake ?

Comme meilleure pratique, vous pouvez utiliser le Zone DNS privé Azure (ou un serveur DNS personnalisé) dans votre réseau virtuel pour résoudre les URL Snowflake. Si vous souhaitez accéder à Snowflake à partir d’un réseau sur site, vous pouvez configurer des règles de transfert DNS pour *.privatelink.snowflakecomputing.com dans votre DNS sur site. Si votre équipe réseau a besoin de l’URL complète au lieu d’utiliser l’URL générique, vous pouvez l’obtenir en exécutant la fonction système SYSTEM$WHITELIST_PRIVATELINK() en flocon de neige.

Comment bloquer l’accès au point de terminaison public une fois qu’Azure Private Link est configuré ?

Pour bloquer l’accès des terminaux publics à votre compte Snowflake, configurez une politique réseau dans Snowflake et ajoutez la plage IP de votre réseau privé à la liste autorisée. L’adresse IP du client est propagée par Azure Private Link à Snowflake à l’aide du protocole proxy TCP v2 (PPv2).

Les outils tiers exécutés en dehors du réseau du client peuvent-ils se connecter à Snowflake via Azure Private Link ?

Non. Étant donné que la connectivité Azure Private Link est verrouillée de votre réseau virtuel au réseau virtuel Snowflake, vous ne pouvez pas utiliser d’outils tiers tels que le service Power BI, Fivetran et d’autres qui s’exécutent en dehors de votre réseau. Si vous avez besoin d’utiliser ces outils, utilisez le point de terminaison public Snowflake avec ces outils. Vous pouvez utiliser une stratégie réseau au niveau de l’utilisateur Snowflake pour ouvrir un accès limité à Snowflake au lieu de mettre en liste blanche les plages d’adresses IP sortantes de l’outil tiers dans la stratégie réseau au niveau du compte.

Apprendre encore plus:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.