Snowflake가 Google Cloud Private Service Connect에 대한 지원을 발표합니다

참고: 이 내용은 2021. 10. 27에 게시된 컨텐츠(Snowflake Announces Support for Google Cloud Private Service Connect)에서 번역되었습니다.

Snowflake는 네트워크 액세스에서 인증 및 액세스 제어, 암호화를 사용한 데이터 보호에 이르기까지 여러 계층으로 이뤄진 강력한 보호를 제공하는 클라우드 간 보안 기능을 코어에 내장하여 설계되었습니다. (Snowflake 보안에 대한 자세한 내용은 Snowflake Summit의 온디맨드 세션 확인). 가장 엄격한 규제를 받는 전 세계 고객에게는 비공개 연결을 활성화하는 것이 중요한 첫 방어선입니다. Snowflake는 AWS PrivateLink 및 Azure Private Link와의 기본 통합을 통해 클라우드 또는 지역과 관계없이 이를 쉽게 구성할 수 있도록 합니다. 이제 Google Cloud가 Google Cloud Private Service Connect의 일반 이용 가능을 발표한 데 이어 Google Cloud를 사용하는 Snowflake 고객을 위한 Private Service Connect 통합의 일반 이용 가능을 발표하게 되어 기쁩니다. 

이 통합을 통해 Snowflake 계정은 Google Cloud의 보안 네트워크에서 데이터 흐름을 비공개로 유지하면서 네트워크에서 실행되는 다른 애플리케이션과 유사하게 고객의 네트워크에서 비공개 IP 주소를 통해 액세스할 수 있습니다. Private Service Connect는 고객의 가상 프라이빗 클라우드(VPC)에서 Snowflake로 단방향 연결을 보장하며, 데이터가 공용 인터넷을 절대 통과하지 않으므로(그림 1 참조) 일반적인 보안 위협에 대한 노출이 크게 줄어듭니다. 또한 Private Service Connect 

통합은 보안 태세 강화 외에도 네트워크 토폴로지를 단순화합니다.

“보안 및 성능 요구 사항이 강력한 Snowflake와 같은 회사가 Private Service Connect를 선택하여 Google Cloud에서 기본적으로 서비스를 제공하게 되어 매우 기쁩니다. Snowflake와 Private Service Connect를 사용하면 고객은 데이터에 원활하고 안전하며 빠르게 액세스할 수 있습니다.”
—Pierre Ettori, 클라우드 네트워킹 제품 관리, Google Cloud

어떤 식으로 작동할까요?

Google Cloud에서 Snowflake가 Private Service Connect 서비스 첨부 파일을 노출합니다. 고객은 VPC에서 이 서비스 첨부 파일에 대한 전달 규칙을 생성합니다. 그러면 고객의 VPC에서 Snowflake가 비공개 IP 주소와 함께 리소스로 나타납니다.

그림 1: Private Service Connect는 고객의 VPC에서 Snowflake로의 단방향 연결을 보장하며 데이터가 공용 인터넷을 통과하지 않습니다. 

모범 사례

여기 이 기능을 사용하는 것에 관한 몇 가지 모범 사례가 있습니다.

#1: 온프레미스 시스템 또는 또 다른 Google Cloud 지역에서 Snowflake에 액세스하기

Private Service Connect는 현재 동일한 Google Cloud 지역의 연결에만 사용할 수 있으므로(즉, 고객과 Snowflake VPC가 us-central-1과 같은 동일한 지역에 있어야 함) 온프레미스 시스템 또는 다른 Google Cloud 지역에서 Snowflake에 액세스하려면 프록시 기반 해결 방법을 사용하면 됩니다. 이러한 프록시 옵션 중 하나는 그림 2에 표시된 바와 같이 글로벌 액세스가 활성화된 계층 4(L4) 내부 부하 분산 장치 뒤의 가상 머신 기반 NAT 게이트웨이에서 적용되는 소스 및 대상 네트워크 주소 변환(NAT)을 사용합니다

그림 2: 프록시 옵션

#2 DNS 설정

어떤 것이든 사용자 지정 도메인 이름 서비스(DNS)를 사용하여 Snowflake URL을 변환할 수 있지만, 쉽게 설정하려면 Cloud DNS 서비스를 가능한 한 사용하십시오. 온프레미스 네트워크에서 Snowflake에 액세스하려는 경우 온프레미스 DNS에서 DNS 전달 규칙을 *.privatelink.snowflakecomputing.com로 설정하면 됩니다.

#3 Snowflake 계정에 대한 공용 액세스 차단

Snowflake 계정으로 Private Service Connect를 설정하고 나면 Snowflake에서 네트워크 정책을 설정하고 비공개 네트워크 IP 범위를 허용 목록에 추가하여 Snowflake 계정에 대한 공개 엔드포인트 액세스를 차단할 수 있습니다. 네트워크 정책에서 사용하는 클라이언트 IP 주소는 Snowflake에 대한 Private Service Connect가 TCP 프록시 프로토콜 v2(PPv2)를 사용하여 전파합니다.

#4 고객 네트워크 외부에서 실행되는 타사 도구가 Snowflake에 연결할 수 있도록 허용

일단 Snowflake와 함께 Private Service Connect를 설정하고 공용 액세스를 차단하고 나면, 네트워크 외부에서 실행되는 타사 도구를 Snowflake에 연결할 수 없습니다. 이러한 도구를 Snowflake에 연결하도록 허용하려면 이 타사 도구에서 연결할 사용자를 위해 Snowflake에서 사용자 수준 네트워크 정책을 생성하십시오. 또는 타사 도구가 OAuth를 사용하는 경우 OAuth 통합 수준에서 네트워크 정책을 설정하십시오.

결론

오늘부터 Google Cloud Private Service Connect 통합을 이용하여 Snowflake 계정과의 비공개 연결 이점을 평가할 수 있습니다. Snowflake 설명서에서 Google Cloud Private Service Connect에 대해 더 자세히 알아볼 수 있습니다. Snowflake 커뮤니티 포털을 통해 피드백을 공유하거나 개선을 요청하십시오.