La sicurezza è stata parte integrante della piattaforma Snowflake fin dalla sua fondazione. Grazie alle funzionalità di sicurezza configurabili dal cliente dello Snowflake Horizon Catalog, consentiamo agli amministratori della sicurezza e ai Chief Information Security Officer (CISO) di proteggere meglio i propri ambienti e centralizzare il monitoraggio delle minacce e i controlli degli accessi basati sui ruoli tra cloud. Di recente abbiamo rafforzato il nostro impegno a rendere Snowflake ancora più sicuro aderendo al Secure by Design Pledge della Cybersecurity and Infrastructure Security Agency (CISA), un impegno a intraprendere azioni specifiche e misurabili in linea con i principi Secure by Design di CISA per i prodotti e i servizi software aziendali. 

In linea con questo impegno, stiamo passando dal nostro modello di responsabilità condivisa per la sicurezza a un modello di destino condiviso. In questo modello, assumiamo un ruolo più proattivo per aiutare i clienti a proteggere i propri account. Questo approccio riveduto avrà un chiaro impatto sulle nostre priorità per quest’anno:

• Più opzioni per l’autenticazione a più fattori. I nostri clienti utilizzano un’ampia gamma di autenticatori e si aspettano che siano disponibili in Snowflake. Il nostro obiettivo è creare il supporto per passkey (WebAuthn) e app di autenticazione (TOTP), in aggiunta ai nostri autenticatori Duo SMS e push, per consentire agli utenti un’esperienza di accesso più sicura, resistente al phishing e senza attrito.

• Più opzioni per un accesso sicuro ai programmi. I casi d’uso programmatici rappresentano una porzione significativa del traffico verso Snowflake. A partire dai token di accesso programmatici (PAT; in private preview), il nostro obiettivo è supportare modalità di autenticazione sicura dei workload su Snowflake più facili da sviluppare. I PAT offrono un sostituto sicuro ed ergonomico per password, flussi di credenziali dei clienti OAuth e altro ancora. Al di là dei PAT, intendiamo espandere le nostre funzionalità OAuth/OIDC per supportare l’autenticazione diretta delle identità dei workload della piattaforma ed eliminare così completamente la necessità di gestire le credenziali.  

• Autenticazione predefinita più sicura. Di recente abbiamo annunciato che Snowflake bloccherà gli accessi a un solo fattore con password a partire da novembre 2025. Le funzionalità di autenticazione ampliate descritte nei punti precedenti aiuteranno i clienti a migrare dall’autenticazione con sola password a soluzioni più sicure.

• Servizi di monitoraggio cloud più completi. L’autenticazione rafforzata aiuta a ridurre la superficie di attacco, ma non sostituisce i servizi di monitoraggio per rilevare gli attacchi e rispondervi. Il nostro obiettivo è ampliare la nostra suite di funzionalità di rilevamento delle minacce sempre attive per avvisare i clienti di accessi anomali e comportamenti sospetti degli account. 

Il modello del destino condiviso si baserà sulle basi di sicurezza esistenti di Snowflake, che sono:

• Cross-cloud. Snowflake offre controlli di sicurezza facili da usare per la gestione di identità e accessi, il networking e la crittografia tra provider di servizi cloud (CSP). Questo consente ai nostri clienti di adottare una strategia multi-cloud trasparente con controlli uniformi in tutta l’impronta CSP, il che riduce notevolmente il TCO. 

• Facilità d’uso. Snowflake offre controlli di sicurezza predefiniti e una facile configurabilità per aggiungere controlli di sicurezza aggiuntivi per i casi d’uso unici dei clienti. Il Trust Center aiuta anche a guidare i clienti nella giusta direzione individuando le configurazioni sbagliate di sicurezza e le aree di preoccupazione e rischio. 

• Centralità dei dati. Con Snowflake, i clienti possono proteggere i dati in tutta la capacità di archiviazione e di calcolo, dal momento in cui vengono caricati in Snowflake e per tutto il suo ciclo di vita, stimolando analisi, insight, esperienze di AI generativa/LLM e altro ancora.

• Completezza. I clienti possono proteggere l’intero ecosistema di dati all’interno di Snowflake, compresi app, servizi e modelli ML.

Snowflake Horizon Catalog fornisce tre categorie di controlli di sicurezza: gestione delle identità e degli accessi, networking e crittografia.

Gestione delle identità e degli accessi

Snowflake offre sofisticati controlli di autenticazione e autorizzazione. Ad esempio, Snowflake offre grande flessibilità nella creazione e gestione degli utenti, direttamente con Snowflake o sincronizzati da un altro provider di identità (IDP) tramite SCIM. Allo stesso modo, Snowflake offre diverse opzioni di credenziali utente:

• Fornite da un IDP di terze parti (single sign-on, SSO). Questo è il tipo di credenziali consigliato da Snowflake, in cui una o più entità esterne forniscono l’autenticazione indipendente delle credenziali utente. Snowflake supporta gli standard di settore con SAML o OAuth per configurare l’autenticazione federata. 

• Fornite da Snowflake (credenziali statiche). Destinato principalmente all’accesso “break‐glass”, all’accesso temporaneo o all’accesso per clienti senza un proprio IDP, Snowflake fornisce credenziali statiche (coppia di chiavi, password con autenticazione Duo a più fattori e PAT), a cui si aggiungono gli autenticatori, come dicevamo in precedenza. 

Snowflake offre ai clienti modi intuitivi per distinguere tra utenti umani e utenti di servizio. Questo è cruciale date le differenze fondamentali nei modi in cui questi utenti accedono a Snowflake. Ad esempio, Snowflake impone che solo gli utenti umani possano abilitare MFA o che gli utenti di servizio non possano utilizzare password per accedere a Snowflake o all’interfaccia utente di Snowflake. 

Per la gestione degli accessi, Snowflake supporta il controllo degli accessi basato sui ruoli. Ciò che rende unico l’RBAC di Snowflake è la sua stretta integrazione con i controlli di governance dei dati, che offre un controllo granulare sull’accesso ai dati (ad esempio, criteri di accesso alle righe nelle tabelle). L’intera suite di funzionalità di Snowflake è integrata RBAC, che consente un modello di sicurezza uniforme in tutto l’ecosistema di dati (ad esempio, Snowflake Model Registry, Snowflake Cortex AI, dati ospitati in tabelle esterne per addestrare i modelli o per l’analisi, Snowpark Container Services, repository di immagini e servizi e così via). Questo onnipresente supporto cross-cloud per Snowflake RBAC semplifica la governance, la conformità e il controllo con Snowflake.  

Oltre a RBAC, Snowflake presto offrirà accessi basati sugli utenti (presto disponibili in private preview), consentendo di assegnare direttamente agli utenti privilegi per oggetti protetti. Questo approccio semplifica la condivisione dei prodotti di analisi, come le app Streamlit, consentendo ai data scientist e agli AI scientist di condividere il proprio lavoro direttamente con il pubblico di destinazione senza dover ricorrere a ruoli predefiniti. In combinazione con il personal database concept (disponibile in public preview), che supporta la proprietà basata sugli utenti degli oggetti protetti, Snowflake semplifica la creazione e la condivisione dei prodotti di analisi, rendendo il processo più intuitivo e familiare.

Networking

Per una migliore privacy, puoi configurare la connettività privata ai servizi Snowflake, Streamlit e agli stage interni in modo che il tuo traffico verso Snowflake non transiti mai su internet pubblico. Allo stesso modo, per la connettività in uscita, è possibile creare endpoint privati in Snowflake per accedere alla piattaforma cloud utilizzando la soluzione di connettività privata della piattaforma invece di attraversare la rete internet pubblica. Con Snowflake configurare queste connessioni private è un gioco da ragazzi.

Snowflake offre anche criteri di rete per controllare l’accesso in entrata/uscita ai servizi e agli stage interni di Snowflake, ad esempio limitando gli utenti a determinati intervalli IP. Questi criteri sono configurati cross-cloud e possono essere collegati a un intero account o a singoli utenti o integrazioni, offrendo agli amministratori una notevole flessibilità per determinare i criteri giusti in base al comportamento dell’utente o dell’account.

Crittografia

Tutti i dati archiviati negli stage interni di Snowflake sono crittografati di default con un modello di chiave gerarchico in un modulo di sicurezza hardware. Le chiavi di crittografia vengono ruotate automaticamente ogni 30 giorni. Opzionalmente, Snowflake offre Tri-Secret Secure, che consente ai clienti di comporre una chiave master dell’account (utilizzata per crittografare tutte le chiavi nella gerarchia) da una combinazione di una chiave gestita da Snowflake e una chiave gestita dal cliente. Questa funzione offre ai clienti il controllo sulla capacità di Snowflake di accedere ai dati e la possibilità di revocare tale accesso ogni volta che decidono.

Scopri di più

• Esamina la postura di sicurezza del tuo account con il benchmark Snowflake CIS. 

• Verifica programmaticamente la tua conformità sfruttando il pacchetto scanner Trust Center.

• Leggi questo white paper e guarda il video su come migrare alle credenziali sicure.  

• Visita l’hub CISO Snowflake per tutti gli ultimi aggiornamenti sulla sicurezza. 

Affermazioni riferite al futuro 

Questo articolo contiene affermazioni riferite al futuro sia esplicite che implicite, tra cui affermazioni relative a (i) strategia aziendale di Snowflake, (ii) prodotti, servizi e offerte tecnologiche di Snowflake, inclusi quelli ancora in fase di sviluppo o non ancora disponibili al pubblico, (iii) crescita e tendenze del mercato e considerazioni competitive e (iv) integrazione, interoperabilità e disponibilità dei prodotti Snowflake con o su piattaforme di terze parti. Queste affermazioni riferite al futuro sono soggette a una serie di rischi, incertezze e presupposti, tra cui quelli descritti nella sezione “Risk Factors” e altrove nelle relazioni trimestrali su modulo 10-Q e nelle relazioni annuali su modulo 10-K che Snowflake deposita presso la Securities and Exchange Commission. Alla luce di tali rischi, incertezze e presupposti, gli eventi e i trend futuri discussi in questo materiale potrebbero non verificarsi e i risultati effettivi potrebbero differire in modo significativo e sfavorevole da quelli previsti o sottintesi nelle affermazioni riferite al futuro. Di conseguenza, chi legge non deve trattare le affermazioni riferite al futuro come previsioni di eventi futuri.