A segurança tem sido parte integrante da plataforma Snowflake desde a fundação da empresa. Com os recursos de segurança configuráveis pelo cliente do Snowflake Horizon Catalog, tornamos possível que administradores de segurança e diretores de segurança da informação (chief information security officers, CISOs) protejam melhor seus ambientes e centralizem o monitoramento de ameaças e os controles de acesso baseados em funções (RBAC) em várias nuvens. Recentemente, reafirmamos nosso compromisso de tornar o Snowflake ainda mais seguro ao assinar o Secure by Design Pledge, da Cybersecurity and Infrastructure Security Agency (CISA), que é um acordo para realizar ações específicas e mensuráveis conforme os princípios de segurança do CISA para produtos e serviços de software empresariais. 

Com base nesse compromisso, estamos mudando o nosso modelo de responsabilidade compartilhada de segurança para um modelo de destino compartilhado. Nesse modelo, assumimos um papel mais proativo para ajudar os clientes a proteger suas contas. Esse método revisado terá uma influência clara nas nossas prioridades deste ano:

• Mais opções de autenticação multifator. Nossos clientes usam uma grande variedade de autenticações e esperam que essas autenticações estejam disponíveis no Snowflake. Nosso objetivo é oferecer suporte para chaves de acesso (WebAuthn) e apps de autenticação (TOTP), além dos nossos autenticadores Duo SMS e push já existentes, visando dar aos usuários uma experiência de login mais segura, resistente a phishing e sem atritos.

• Mais opções para acesso programático seguro. Os casos de uso programáticos representam uma parte significativa do tráfego para o Snowflake. A começar pelos tokens de acesso programático (PATs; in private preview), queremos oferecer métodos mais fáceis para o desenvolvedor de fazer a autenticação segura das cargas de trabalho no Snowflake. As plataformas PAT oferecem um substituto ergonômico e seguro para senhas, fluxos de credenciais de clientes OAuth, entre outros. Além dos PATs, queremos ampliar os recursos da OAuth/OIDC para oferecer suporte a identidades de cargas de trabalho de plataforma com autenticação direta, e, com isso, eliminar completamente a necessidade de gerenciamento de credenciais.  

• Autenticação padrão mais segura. Recentemente, anunciamos que o Snowflake vai proibir as autenticações com senhas de fator único a partir de novembro de 2025. Os recursos expandidos de autenticação descritos nos itens anteriores vão ajudar os clientes a migrar da autenticação apenas com senha para soluções mais seguras.

• Serviços de monitoramento na nuvem mais completos. Uma autenticação mais forte ajuda a reduzir áreas de ataque, mas não substitui os serviços de monitoramento para detectar ataques e responder a eles. Nosso objetivo é expandir nosso conjunto de recursos de detecção constante de ameaças a fim de notificar os clientes a respeito de logins anônimos e comportamentos suspeitos de contas. 

O modelo de destino compartilhado terá como base as características da estratégia de segurança já existente do Snowflake, tais como:

• Entre nuvens: o Snowflake oferece controles de segurança fáceis de usar para gerenciamento de identidade e acesso, rede e criptografia entre provedores de serviços na nuvem (cloud service providers, CSPs). Isso permite que nossos clientes adotem uma estratégia multinuvem contínua com controles uniformes em toda a área de acesso à CSP, reduzindo significativamente o custo total de propriedade. 

• Fácil de usar: por padrão, o Snowflake oferece controles de segurança integrados e configuração fácil para adicionar outros controles de segurança para os casos de uso específicos dos clientes. O Trust Center também ajuda a orientar os clientes para a direção certa, identificando configurações incorretas de segurança e áreas de preocupação e risco. 

• Centrado em dados: com o Snowflake, os clientes podem proteger os dados em armazenamento e processamento desde o momento em que são ingeridos no Snowflake e durante todo o ciclo de vida, gerando análises de dados, insights, experiências de LLM/IA generativa, entre outras funções.

• Mais completo: os clientes podem proteger todo o ecossistema de dados dentro do Snowflake, incluindo apps, serviços e modelos de ML.

Existem três categorias de controles de segurança disponibilizados no Snowflake Horizon Catalog: gerenciamento de identidade e acesso, rede e criptografia.

Gerenciamento de identidade e acesso

O Snowflake oferece controles sofisticados de autenticação e autorização. Por exemplo, o Snowflake oferece grande flexibilidade ao criar e gerenciar usuários, seja diretamente com o Snowflake ou sincronizado com outro provedor de identidade (IDP) por meio do SCIM. Da mesma forma, o Snowflake oferece várias opções de credenciais de usuário:

• Fornecidas por um IDP de terceiros (single sign-on ou SSO). É o tipo de credencial recomendada pelo Snowflake, onde uma ou mais entidades externas fornecem autenticação independente das credenciais do usuário. O Snowflake oferece suporte aos padrões do setor com SAML ou OAuth para configurar a autenticação federada. 

• Fornecidas pela Snowflake (credenciais estáticas): Principalmente destinadas a clientes que não precisam de seu próprio IDP, o Snowflake fornece credenciais estáticas (par de chaves, senhas com autenticação autenticação multifator (MFA) dupla e PATs, além de outras autenticações como mencionado anteriormente. 

O Snowflake oferece métodos intuitivos para os clientes distinguirem entre usuários humanos e de serviços. Isso é crucial considerando as diferenças fundamentais nas formas como esses usuários acessam o Snowflake. Por exemplo, o Snowflake exige que somente os usuários humanos possam ativar a MFA ou que os usuários de serviços não possam usar senhas para fazer login no Snowflake ou ter acesso à interface de usuário do Snowflake. 

Para o gerenciamento de acesso, o Snowflake oferece suporte ao controle de acesso baseado em funções (role-based access control, RBAC). O que torna o RBAC da Snowflake único é a sua estreita integração com nossos controles de governança de dados, oferecendo controle granular sobre o acesso aos dados (por exemplo, políticas de acesso a linhas nas tabelas). Todo o conjunto de recursos do Snowflake possui integração RBAC, o que permite um modelo de segurança uniforme em todo o ecossistema de dados (por exemplo, Snowflake Model Registry, Snowflake Cortex AI, dados hospedados em tabelas externas para treinamento de modelos ou para análise de dados, Snowpark Container Services, repositório de imagens e serviços, entre outros). Todo o suporte onipresente em diferentes nuvens para o Snowflake RBAC simplifica a governança, a conformidade e a auditoria com o Snowflake.  

Além do RBAC, a Snowflake em breve oferecerá concessões baseadas no usuário (em breve, disponíveis em versão preliminar privada), permitindo que os privilégios sejam atribuídos diretamente aos usuários de objetos seguros. Esse método simplifica o compartilhamento de produtos analíticos, como apps Streamlit, ao possibilitar que cientistas de dados e de IA compartilhem seu trabalho diretamente com o público-alvo desejado sem depender de funções predefinidas. Aliados ao conceito de banco de dados pessoal (disponível em versão preliminar pública), que oferece suporte à propriedade baseada no usuário de objetos seguros, o Snowflake simplifica a criação e o compartilhamento de produtos analíticos, tornando o processo mais intuitivo e familiar.

Sistemas de rede

Para melhor privacidade, você pode configurar a conectividade privada aos serviços Snowflake, ao Streamlit e aos estágios internos de forma que seu tráfego para o Snowflake nunca passe pela Internet pública. Da mesma forma, para fins de conectividade de saída, é possível criar endpoints privados no Snowflake para acessar a plataforma de nuvem usando a solução de conectividade privada da plataforma, em vez de usar a Internet pública. O Snowflake torna fácil a configuração dessas conexões privadas.

O Snowflake também oferece políticas de rede para controlar o acesso de entrada/saída aos serviços Snowflake e estágios internos, como restringir usuários a determinados níveis de propriedade intelectual (PI). Essas políticas são configuradas entre nuvens e podem ser associadas a uma conta inteira ou a usuários ou integrações individuais, proporcionando flexibilidade considerável aos administradores para determinar a política certa com base no comportamento do usuário ou da conta.

Criptografia

Por padrão, todos os dados armazenados em estágios internos do Snowflake são criptografados com um modelo de chave hierarquizado enraizado em um módulo de segurança de hardware. As chaves de criptografia são trocadas automaticamente a cada 30 dias. Como opção, a Snowflake oferece o Tri-Secret Secure, que permite aos clientes criar uma chave-mestre de conta (usada para criptografar todas as chaves da hierarquia) a partir de uma combinação de uma chave mantida pelo Snowflake e uma chave gerenciada pelo cliente. Com esse recurso, os clientes têm controle sobre a capacidade da Snowflake de acessar seus dados e a capacidade de revogar esse acesso sempre que decidirem.

Saber mais

• Analise a postura de segurança da sua conta com o benchmark Snowflake CIS. 

• Verifique a conformidade de forma programática usando o pacote de CIS scanner do Trust Center.

• Leia este white paper e assista ao nosso vídeo de suporte para saber como migrar para credenciais seguras.  

• Acesse o hub Snowflake CISO para conhecer as últimas atualizações de segurança. 

Declarações prospectivas