Ir al contenido
Producto y tecnología
JAN 20, 2025|6 min de lectura

Destino compartido con seguridad integrada de Snowflake Horizon Catalog

Icon for Snowflake Horizon Catalog and icons for capabilities like governance, privacy, accessibility.

La seguridad ha sido parte integral de Snowflake desde que se fundó la empresa. Gracias a las capacidades de seguridad configurables por el cliente del Snowflake Horizon Catalog, podemos ayudar a los administradores de seguridad y Chief Information Security Officers (CISO) a proteger mejor sus entornos y centralizar la supervisión de amenazas y los controles de acceso basados en roles (role-based access control, RBAC) en las nubes. Recientemente, hemos reafirmado nuestro compromiso de aumentar la seguridad de Snowflake firmando el compromiso Secure by Design de la Cybersecurity and Infrastructure Security Agency (CISA), para tomar medidas específicas y medibles en consonancia con los principios Secure by Design de CISA para productos y servicios de software empresarial. 

En consonancia con ese compromiso, estamos cambiando nuestro modelo de responsabilidad compartida en materia de seguridad a un modelo de destino compartido. En este modelo, asumimos un papel más proactivo para ayudar a los clientes a proteger sus cuentas. Este enfoque revisado repercutirá claramente en nuestras prioridades para este año:

  • Más opciones de autenticación multifactorial (MFA): Nuestros clientes utilizan una amplia gama de autenticadores y esperan que estén disponibles en Snowflake. Nuestro objetivo es ofrecer soporte para claves de paso (WebAuthn) y aplicaciones de autenticación (TOTP), además de nuestros autenticadores Duo SMS y push existentes, para permitir una experiencia de inicio de sesión más segura, resistente a la suplantación de identidad y sin fricciones para los usuarios.

  • Más opciones de acceso programático seguro: Los casos de uso programáticos representan una parte importante del tráfico a Snowflake. Comenzando con los tokens de acceso programático (programmatic access tokens, PAT), en vista previa privada, nuestro objetivo es admitir métodos más fáciles para los desarrolladores para que los workloads se autentiquen de forma segura en Snowflake. Los PAT sustituyen de forma segura y ergonómica las contraseñas, los flujos de credenciales de los clientes de OAuth y mucho más. Más allá de los PAT, pretendemos ampliar nuestras capacidades de OAuth/OIDC para admitir la autenticación directa de identidades de workloads de la plataforma y, por lo tanto, eliminar por completo la necesidad de gestionar las credenciales.  

  • Autenticación predeterminada más segura: Hace poco anunciamos que Snowflake bloqueará los inicios de sesión de un solo factor con contraseñas a partir de noviembre de 2025. Las funciones de autenticación ampliadas descritas en los puntos anteriores ayudarán a los clientes a migrar de la autenticación solo con contraseña a soluciones más seguras.

  • Servicios de supervisión en la nube más completos: Una autenticación más sólida ayuda a reducir la superficie de ataque, pero no sustituye a los servicios de supervisión para detectar ataques y responder a ellos. Nuestro objetivo es ampliar nuestro conjunto de funciones de detección de amenazas siempre activas para notificar a los clientes sobre inicios de sesión anómalos y comportamientos sospechosos de las cuentas. 

El modelo de destino compartido se basará en los fundamentos de seguridad existentes de Snowflake, que son:

  • Entre nubes: Snowflake ofrece controles de seguridad fáciles de usar para la gestión de identidad y acceso, las redes y el cifrado entre proveedores de servicios en la nube (cloud service provider, CSP). Esto permite a nuestros clientes adoptar una estrategia multinube fluida con controles uniformes en todo el área de acceso al CSP, lo que luego reduce en gran medida su coste total de la propiedad. 

  • Fácil de usar: Snowflake ofrece controles de seguridad integrados de forma predeterminada, además de facilidad para configurar controles de seguridad adicionales para los casos de uso únicos de los clientes. Trust Center también ayuda a guiar a los clientes en la dirección correcta, ya que identifica errores de configuración de seguridad y áreas de preocupación y riesgo. 

  • Centrado en datos: Con Snowflake, los clientes pueden proteger los datos en todo el almacenamiento y el procesamiento desde el momento en que se ingieren en Snowflake y durante todo su ciclo de vida, impulsando analíticas, información, experiencias de IA generativa y LLM, y mucho más.

  • Exhaustivo: Los clientes pueden proteger todo su ecosistema de datos en Snowflake, incluidas las aplicaciones, los servicios y los modelos de ML.

Snowflake Horizon Catalog ofrece tres categorías de controles de seguridad: gestión de identidad y acceso, redes y cifrado.

Gestión de identidad y acceso

Snowflake ofrece sofisticados controles de autenticación y autorización. Por ejemplo, Snowflake ofrece una gran flexibilidad a la hora de crear y gestionar usuarios, ya sea directamente con Snowflake o sincronizados desde otro proveedor de identidades (identity provider, IDP) a través de SCIM. De forma similar, Snowflake ofrece varias opciones de credenciales de usuario:

  • Aprovisionadas por un IDP de terceros (inicio de sesión único o SSO): Este es el tipo de credencial recomendado por Snowflake, en el que una o varias entidades externas proporcionan autenticación independiente de las credenciales de usuario. Snowflake admite los estándares del sector con SAML u OAuth para configurar la autenticación federada

  • Aprovisionadas por Snowflake (credenciales estáticas): Destinadas principalmente para accesos de emergencia, temporales o para clientes sin su propio IDP, Snowflake proporciona credenciales estáticas (par de claves, contraseñas con autenticación multifactorial Duo) y PAT con más autenticadores próximamente, como se mencionó anteriormente. 

Snowflake ofrece a los clientes formas intuitivas de distinguir entre usuarios humanos y usuarios de servicios. Esto es crucial dadas las diferencias fundamentales en la forma en que estos usuarios acceden a Snowflake. Por ejemplo, Snowflake exige que solo los usuarios humanos puedan habilitar MFA o que los usuarios de servicios no puedan utilizar contraseñas para iniciar sesión en Snowflake o tener acceso a la interfaz de usuario (IU) de Snowflake. 

Para la gestión del acceso, Snowflake admite el control de acceso basado en roles (RBAC). Lo que hace que el RBAC de Snowflake sea único es su estrecha integración con nuestros controles de gobernanza de datos, que ofrecen un control detallado sobre el acceso a los datos, por ejemplo políticas de acceso a filas (row access policies) en tablas. Todo el conjunto de funciones de Snowflake está integrado con RBAC, lo que permite un modelo de seguridad uniforme en todo el ecosistema de datos, por ejemplo, Snowflake Model Registry, Snowflake Cortex AI, datos alojados en tablas externas para entrenar modelos o para analíticas, Snowpark Container Services, repositorio de imágenes y servicios, etc. Esta omnipresente compatibilidad entre nubes con Snowflake RBAC simplifica la gobernanza, el cumplimiento y la auditoría con Snowflake.  

Además de RBAC, Snowflake pronto ofrecerá concesiones basadas en usuarios (disponibles en vista previa privada próximamente), lo que permitirá asignar privilegios directamente a los usuarios para objetos protegibles. Este enfoque simplifica el uso compartido de productos analíticos, como las aplicaciones de Streamlit, ya que permite a los científicos de datos e IA compartir su trabajo directamente con su público objetivo sin depender de roles predefinidos. En combinación con el concepto de base de datos personal (disponible en vista previa pública), que respalda la propiedad basada en usuarios de objetos protegibles, Snowflake optimiza la creación y el uso compartido de productos analíticos, lo que hace que el proceso sea más intuitivo y familiar.

Redes

Para mejorar la privacidad, puede configurar la conectividad privada con los servicios de Snowflake, Streamlit y las fases internas de modo que su tráfico a Snowflake nunca transite por el Internet público. De forma similar, para la conectividad saliente, puede crear puntos de conexión privados en Snowflake para acceder a la plataforma de nube utilizando la solución de conectividad privada de la plataforma en lugar de usar el Internet público. Snowflake facilita la configuración de estas conexiones privadas.

Snowflake también ofrece políticas de red para controlar el acceso entrante y saliente a los servicios y las fases internas de Snowflake, como restringir a los usuarios a ciertos rangos de IP. Estas políticas se configuran entre nubes y se pueden adjuntar a una cuenta completa o a usuarios o integraciones individuales, lo que proporciona una gran flexibilidad a los administradores para determinar la política adecuada en función del comportamiento del usuario o la cuenta.

Cifrado

Todos los datos almacenados en las fases internas de Snowflake se cifran de forma predeterminada con un modelo de clave jerárquica basado en un módulo de seguridad de hardware. Las claves de cifrado se renuevan automáticamente cada 30 días. Opcionalmente, Snowflake ofrece Tri-Secret Secure, que permite a los clientes componer una clave maestra de cuenta (utilizada para cifrar todas las claves de la jerarquía) a partir de una combinación de una clave mantenida por Snowflake y una clave gestionada por el cliente. Esta función proporciona a los clientes control sobre la capacidad de Snowflake de acceder a sus datos y la capacidad de revocar ese acceso cuando lo decidan.

Más información

Declaraciones prospectivas

Esta entrada de blog contiene declaraciones expresas e implícitas sobre previsiones de futuro, incluidas las declaraciones relativas a (i) la estrategia empresarial de Snowflake, (ii) los productos, servicios y ofertas tecnológicas de Snowflake, incluidos los que están en fase de desarrollo o no cuentan con disponibilidad general, (iii) el crecimiento del mercado, las tendencias y las consideraciones competitivas, y (iv) la integración, interoperabilidad y disponibilidad de los productos de Snowflake con y en plataformas de terceros. Estas declaraciones prospectivas están sujetas a una serie de riesgos, incertidumbres y suposiciones, incluidos los descritos en la sección de factores de riesgo (“Risk Factors”) y en otras secciones de los Informes Anuales del Formulario 10.K y en los Informes Trimestrales del Formulario 10-Q que Snowflake presenta ante la Comisión de Bolsa y Valores de los Estados Unidos (SEC). En vista de estos riesgos, incertidumbres y suposiciones, los resultados reales podrían diferir de forma sustancial y desfavorable de los previstos o implícitos en las declaraciones prospectivas. En consecuencia, no se debe confiar en ninguna de las declaraciones prospectivas como predicción de acontecimientos futuros.

Icon representing 3 sheets of stacked paper next to a shield icon with a lock symbold on it.
White Paper

Best Practices to Mitigate the Risk of Credential Compromise

Learn how to leverage Snowflake native platform features to enforce strong authentication and mitigate the risks of credential theft.
Compartir artículo

Subscribe to our blog newsletter

Get the best, coolest and latest delivered to your inbox each week

Where Data Does More

  • Prueba gratuita de 30 días
  • No se requiere tarjeta de crédito
  • Cancela en cualquier momento
empezar gratis
ver demostración