Vai al contenuto
Prodotto e tecnologia
NOV 10, 2025|Lettura: 5 min

Best practice di sicurezza e governance per il deployment di Snowflake Intelligence con Horizon Catalog

Digital illustration with security lock between a validating check mark and the Snowflake logo

Con la GA di Snowflake Intelligence e l’accelerazione dell’adozione di soluzioni basate sull’intelligenza artificiale in ambito aziendale, è il momento ideale per riesaminare i propri programmi di sicurezza e governance. Snowflake Horizon Catalog fornisce un catalogo AI universale senza vendor lock-in, unificando contesto e governance per tutti i dati in modo che le organizzazioni possano gestire, scoprire e governare in modo sicuro l’intero patrimonio di dati e AI su qualsiasi motore, formato o cloud. In questo articolo spiegheremo l’architettura e le best practice che aiutano a distribuire Snowflake Intelligence in modo sicuro, responsabile e su vasta scala utilizzando Horizon Catalog.

Snowflake offre controlli di defense-in-depth di livello enterprise, oltre a controlli di sicurezza proattivi integrati per i dati e l’AI. A un livello generale, Snowflake Intelligence è simile al resto di Snowflake per quanto riguarda la cura con cui gestiamo i tuoi dati e ti aiutiamo a proteggere e governare il tuo ambiente. Tuttavia, ci sono alcune sfide uniche legate all’uso dell’AI. Il diagramma riportato di seguito illustra l’architettura di Snowflake Intelligence con annotazione della protezione di ogni fase. 

Diagram of Snowflake Intelligence with security touchpoint annotations

1. Connessione

Un utente si connette a ai.snowflake.com o a un URL come si-<org-acct>.privatelink.snowflakecomputing.com utilizzando la connettività privata. Con il nuovo supporto per l’accesso solo a Snowflake Intelligence (tramite configurazione ALLOWED_INTERFACES), gli utenti possono accedere in modo trasparente a ai.snowflake.com senza dover accedere al resto dell’esperienza Snowflake. 

2. Snowflake Horizon

È qui che ricade la maggior parte dei controlli di defense-in-depth per aiutarti a proteggere e governare l’accesso su vasta scala. 

2a. Sicurezza della rete: Snowflake offre una serie completa di controlli per proteggere una rete, come policy di rete e privatelink. Utilizzando solo privatelink, il cliente può bloccare l’istanza Snowflake per consentire solo alle reti private del cliente di accedere a Snowflake Intelligence. Di default, Snowflake impedisce l’accesso da IP dannosi tramite la funzionalità di protezione da IP dannosi integrata. I clienti possono anche utilizzare le regole di rete in modalità egress per controllare l’accesso solo ai propri strumenti esterni affidabili. 

2b. Gestione delle identità e degli accessi: le sessioni Snowflake Intelligence ereditano automaticamente l’identità, il ruolo e il warehouse predefiniti dell’utente collegato. Questa identità utente viene mappata e mantenuta durante tutto il ciclo di vita della sessione, per garantire che tutti gli strumenti e gli agenti in background ereditino i privilegi assegnati all'utente. Di conseguenza, né gli agenti né Snowflake Intelligence possono eseguire alcuna azione al di là delle autorizzazioni dell’utente connesso. 

Gli utenti devono autenticarsi alla propria istanza Snowflake utilizzando metodi di autenticazione avanzati. Consigliamo ai clienti di utilizzare l’autenticazione confederata o l’autenticazione a più fattori (ad esempio una passkey o qualsiasi app di autenticazione). Per impostazione predefinita, Snowflake verifica la presenza di credenziali nel dark web e blocca l’accesso utilizzando la password di protezione divulgata. Inoltre, Snowflake sta implementando di default l’autenticazione avanzata

2c. Classificazione e tagging: i clienti devono classificare e taggare i propri dati per identificare con precisione le informazioni sensibili. Questa identificazione è essenziale per applicare le policy di protezione appropriate per mitigare la fuga di dati sensibili e garantire che gli utenti (insieme agli agenti e agli strumenti che utilizzano) accedano solo a ciò che sono autorizzati a vedere. La classificazione e tagging automatici dei dati di Snowflake semplificano la classificazione dei dati. Snowflake Intelligence rispetta la classificazione dei dati e contribuisce a proteggere i dati sensibili.

2d. Controllo degli accessi e protezione dei dati: Dopo che l’utente ha superato i controlli di rete ed è stato autenticato, scatta una fase di autorizzazione. È qui che i clienti dovrebbero sfruttare l’accesso con i privilegi minori attenendosi alle seguenti linee guida:

  • Utilizzare il controllo degli accessi basato sui ruoli (RBAC) per governare l’accesso a tutti gli oggetti, compresi dati e warehouse. Per applicare una sicurezza più rigorosa, i clienti dovrebbero anche controllare l’accesso ai large language model. Snowflake consente alle organizzazioni di gestire l’accesso ai modelli a due livelli: Un elenco di autorizzazioni a livello di account che definisce tutti i modelli e i controlli di accesso a livello di ruolo consentiti per limitare ulteriormente quali modelli sono consentiti a utenti (o ruoli) specifici. Inoltre, i clienti possono utilizzare ruoli granulari come CORTEX USER e CORTEX_EMBED_USER per concedere l’accesso alle funzionalità AI di Snowflake Cortex. 
  • Protezione dei dati: i clienti devono utilizzare controlli di accesso basati sugli attributi per limitare l’accesso ai data set sensibili sfruttando la sicurezza a livello di colonna e la sicurezza a livello di riga di Snowflake. Snowflake Intelligence rispetta tutte le policy di protezione dei dati applicate ai data object. Per impostazione predefinita, Snowflake mantiene rigorosi standard di sicurezza, crittografando sempre i dati dei clienti inattivi e in transito. 

2e. Qualità dei dati. Quando si utilizza Snowflake Intelligence, l’accuratezza delle risposte generate dagli strumenti sottostanti (come Snowflake Cortex Search e le soluzioni personalizzate) dipende direttamente dalla qualità dei dati. Per incoraggiare risultati affidabili e imparziali, i clienti devono gestire in modo proattivo l’integrità dei dati. Le funzionalità native di Snowflake, tra cui politicy di qualità, rilevamento delle anomalie e notifiche, possono essere sfruttate per avvisare immediatamente gli amministratori dei dati di problemi come valori duplicati o nulli che potrebbero portare a risposte AI inaccurate o tendenziose.

2f. Monitoraggio: il monitoraggio e le valutazioni degli agenti consentono di valutare gli agenti prima della distribuzione e monitorare tutto il traffico degli agenti in produzione, fornendo visibilità dettagliata sulla qualità e la latenza degli agenti.

3. API agenti

Snowflake Intelligence utilizza le API agenti per orchestrare l’accesso a una serie completa di strumenti. Questo set di strumenti include funzionalità native come Cortex Search e Snowflake Cortex Analyst, insieme a qualsiasi altro strumento definito dal cliente, per generare la risposta finale appropriata.

4. Orchestrazioni degli strumenti Snowflake Cortex

Tutta l’orchestrazione e la comunicazione tra gli strumenti è governata attraverso il layer dei servizi cloud per mantenere un sistema di controlli e contrappesi coerente (come descritto nel passaggio 2). Ad esempio, quando Cortex Analyst genera una query SQL (Cortex Analyst può generare solo query selezionate), può accedere solo agli oggetti per cui l’utente chiamante dispone dell’autorizzazione. Il virtual warehouse esegue quindi questa query rigorosamente all’interno del contesto di sicurezza dell’utente. In questo modo, tutte le policy di governance dei dati esistenti, tra cui mascheramento, policy a livello di riga, tokenizzazione e così via, vengono applicate automaticamente, poiché ogni operazione comporta l’identità, il contesto e le autorizzazioni dell’utente.

5. Risposta finale

Snowflake Intelligence utilizzerà l’orchestratore per ripetere più passaggi attraverso modelli Anthropic o Azure-OpenAI per generare la risposta finale. In tutte queste fasi, Snowflake Intelligence preserva le autorizzazioni e l’identità dell’utente end-to-end.

Trust Center è un compagno essenziale per i team di sicurezza per comprendere l’attuale postura di sicurezza del proprio ambiente Snowflake (inclusa Snowflake Intelligence) e la conformità ai benchmark CIS. 

Anche la regolamentazione e i quadri normativi in materia di conformità (normative attuali ed emergenti, come la legge UE sull’intelligenza artificiale) sono una parte fondamentale della valutazione degli strumenti AI. Snowflake ha recentemente conseguito la certificazione ISO/IEC 42001, che sottolinea il nostro impegno a fornire ai clienti trasparenza e responsabilità nelle nostre pratiche di gestione dell’AI. 

Fasi successive

Quando inizi il tuo percorso con l’intelligenza artificiale con Snowflake Intelligence, ricorda che l’innovazione si fonda sulla fiducia. Sicurezza e governance non sono solo misure di salvaguardia, ma accelerano l’adozione responsabile dell’AI. Ecco tre azioni che puoi intraprendere oggi stesso per rafforzare la postura di sicurezza della tua organizzazione e scalare con sicurezza Snowflake Intelligence:

  1. Dai un’occhiata al monitoraggio degli agenti per monitorare l’utilizzo degli agenti nel tempo e configurare un RBAC granulare per garantire agli agenti l’accesso con i minimi privilegi.

  2. Imposta la classificazione automatica per rilevare e contrassegnare automaticamente i dati sensibili ed evitare la fuga di dati sensibili.

  3. Visita il Trust Center per comprendere la tua attuale postura di sicurezza e intervenire sui rilievi critici.

Condividi articolo

Contenuticorrelati

Democratizzare l’enterprise AI: le nuove funzionalità AI di Snowflake accelerano e semplificano ulteriormente l’innovazione data-driven

Snowflake presenta nuove funzionalità di enterprise AI che semplificano l’analisi dei dati, la distribuzione degli agenti e l’addestramento dei modelli, il tutto con una governance unificata.

Snowflake Ventures investe in Veza per semplificare la sicurezza delle identità

Snowflake collabora con Veza per semplificare la gestione delle identità e degli accessi, aiutando le aziende a fornire l’accesso ai dati in modo sicuro e a rimanere conformi su vasta scala.

Snowpark Container Services per il deployment di AI generativa e app full-stack

Snowpark Container Services, in private preview, è un’opzione runtime di Snowpark per distribuire in modo sicuro AI generativa e app full-stack

Governance dei dati avanzata e integrata con Snowflake Horizon Catalog

Semplifica la governance, la discovery e collaborazione sui dati con Snowflake Horizon Catalog. Accedi e gestisci dati, app e modelli in sicurezza.

Abbattere i silos di dati: creare, distribuire e servire modelli su vasta scala con Snowflake ML

Scopri come Snowflake ML consente lo sviluppo e la produzione scalabili di modelli con strumenti integrati per training, inferenza, osservabilità e governance.

9 best practice per la transizione dall’on-premise al cloud con Snowflake

Scopri le best practice per la transizione dal sistema on-premise al cloud con Snowflake. Scopri come semplificare la migrazione dei dati e ottimizzare l’efficienza del cloud.

Calling All Builders: Get Hands-On with AI and Apps at Snowflake’s Dev Conference

BUILD 2024: scopri annunci di prodotto Snowflake, usa i migliori strumenti e conosci le best practice per creare app di nuova generazione con l’AI e i LLM.

Snowflake annuncia l’intenzione di acquisire Observe per fornire osservabilità basata sull’AI

Snowflake annuncia l’intenzione di acquisire Observe per fornire osservabilità basata sull’AI, ridurre i costi di telemetria e unificare log, metriche e tracce su vasta scala.

I server MCP su Snowflake unificano ed estendono i data agent

Come il supporto per i server MCP Snowflake semplifica l’integrazione degli agenti AI, per l’accesso sicuro a Cortex Search e Analyst con orchestrazione unificata.

Subscribe to our blog newsletter

Get the best, coolest and latest delivered to your inbox each week

Where Data Does More

  • prova gratuita di 30 giorni
  • nessuna carta di credito
  • annulli quando vuoi 
inizia subito
guarda la demo