雪花服务帐户安全，第2部分2020年6月8日|6分钟读数作者：雅各布·萨拉西|作者：乔纳森·桑德雪花保安在第1部分中，我们介绍了攻击服务帐户的高级目标和方法。在第2部分中，我们将讨论这些方法的纵深防御缓解措施。在本博客结束时，您将能够对影响雪花服务帐户的威胁应用默认安全缓解措施。下表来自第1部分，重点介绍了我们希望缓解的目标和方法：安全默认缓解这些默认情况下的安全缓解措施有助于防止和限制凭据误用，以防被盗和猜测攻击：最低特权短暂的强凭证防止凭证传输防止人员进入最低特权减轻盗窃滥用现代网络安全战略假定对手是聪明的，并且有可能发生破坏。我们的首要任务是：通过减少可能场景的数量，使架构在默认情况下安全对剩余的可能情况应用适当的纵深防御机制这意味着帐户只有完成当前操作所需的最低权限。（操作是由API调用、批处理和数据加载等操作引起的与雪花数据库的交互）。仔细确保每个操作都定义良好，并具有最低限度的必要权限。这可以确保当凭证被盗时，故意限制损坏。使用以下最佳实践来设计雪花服务帐户：通过创建只读和只写角色来分离读写权限。将只读和只写角色上的数据访问范围限定为单个操作所需的范围。为处理敏感数据创建单独的角色。应用将特定IP地址白名单的网络策略，以限制可以从哪些网络位置使用服务帐户。应用这些最佳实践为我们提供了以下保证：攻击者不能使用只写凭据读取范围外的数据只读凭据不能被攻击者用于超出范围写入限定到特定字段范围的只读凭据不能被攻击者用于读取范围外的字段攻击者不能使用作用域为特定字段的只写凭据修改超出范围的字段被盗的凭据不能在网络外围之外使用短暂的强凭证减轻盗窃猜测最小权限限制可使用被盗凭证的空间。现在我们集中精力限制凭证有用的时间。凭证有用的时间越短，它为攻击者提供的价值就越小。只要凭证活动地包含允许数据访问的权限，它就被认为是有用的。当它只能用于请求新的、有用的凭据时，它就不被认为是有用的。被迫反复获取凭证也可能增加执行攻击的成本。使用以下最佳做法可确保雪花服务帐户使用短期凭据：在专门构建的秘密存储平台（如HashiCorp Vault、KMS或SSM）中存储凭据。确保基于密码的身份验证方案利用强随机生成的值。首选一次性凭据。有用的凭据生存期不应超过操作生存期。应用这些最佳做法可以保证被盗的凭证可以在有限的时间内使用，而这些期限是由维护者事先知道的。Snowflake为Hashicorp Vault编写了一个示例插件，这是一个机密管理平台，因此您可以看到这些有时间限制的凭证是如何与Snowflake一起工作的。我们将在本系列博客文章的第3部分中更深入地探讨这一点的使用阻止凭证传输减轻盗窃披露攻击者无法截获从未通过网络传输的凭据。它们也不太可能出现在日志文件中公钥身份验证方案（如RSA密钥对）从不在网络上传输私钥材料。相反，只传输一个签名。由于私钥不被传输，因此它不会显示在包含原始HTTP流量的调试或跟踪日志中。在为雪花服务帐户部署密钥对身份验证时，请使用以下最佳做法：在专门构建的秘密存储平台（如HashiCorp Vault、KMS或SSM）中存储私钥和密钥密码短语。用密码短语加密私钥。使用自动化将公钥和私钥的有效性限制在数小时或几分钟内，并在无需人工交互的情况下旋转它们。应用这些最佳实践可以保证凭证不能通过网络被截获。防止人员进入减轻披露盗窃使用计算机服务帐户进行测试很方便，但它会产生可审核性和安全性问题。此外，不可能识别共享凭据可能存在的每个位置，甚至不可能识别当前正在使用它的用户。因此，通过使内部人员无法直接访问凭证，使其无法披露或窃取凭证。在为雪花服务帐户部署密钥对身份验证时，请使用以下最佳做法：通过自动化将人员从服务帐户凭据管理生命周期中消除限制人工操作员只能对专门构建的机密存储平台中的服务帐户凭据进行写入访问应用这些最佳实践可以确保操作员永远看不到服务帐户凭据。缓解和雪花安全功能Snowflake支持以下高级服务帐户身份验证方法：OAuth公司钥匙对密码此外，雪花还提供了网络策略来控制帐户可以从何处登录。以下两个表格涵盖了每种方法提供的缓解措施（相对程度）以及各自的优缺点：结论服务账户将长期存在。只要你充分了解风险，你就可以安全地应对它们。雪花为您提供了一整套功能，可以帮助您在充分利用这些功能时降低风险。与往常一样，您可以联系您的雪花团队以了解有关这些功能的更多信息并获得帮助参考文献：1号文件：为什么不使用万事达卡/第二章：https://tools.ietf.org/html/rfc6819节-4.1条三：https://tools.ietf.org/html/rfc6819节-4.1.3第四章：https://docs.snowflake.com/en/user-guide/odbc parameters.html-连接参数第五章：https://stackoverflow.com/questions/15093440/change-keystore-password-from-no-password-to-a-non-blank-password第六章：https://docs.snowflake.com/en/user-guide/network-policies.html管理-用户级网络策略就像你读的？通过喜欢和分享来表达你的感激之情！Facebook推特LinkedIn