Zscaler 与 Snowflake：AI 与云计算的数据安全挑战 交流会纪要

访谈简介：

这场电话会议是 $Zscaler(ZS)$ 与$Snowflake(SNOW)$ 联合举办的专题分析师交流会，主题是 “Beyond the Firewall: Shielding & Securing Your AI Data Cloud”。会议聚焦于在 AI 与云计算背景下的数据安全挑战，特别是随着企业在 Snowflake 等云平台上存储和处理的海量敏感数据急剧增长，如何在 共享责任模型 下平衡云服务商与客户的安全职责。

Snowflake 介绍了其平台安全与合规能力，以及客户在用户权限、数据分类与合规管理上的责任；

Zscaler 则展示了其 数据安全态势管理（DSPM） 方案，强调通过自动化、AI 驱动的分类与权限治理，帮助企业在 数据发现、风险识别、合规管理 等方面实现端到端保护。这场访谈不仅传递了两家公司在数据安全合作上的定位，也解答了分析师关于产品架构、性能影响、合规模块与客户定制化能力的关切。

下面是访谈的主要观点，供投资者参考：

📌 管理层观点

1. Snowflake 的安全与共享责任模型（Jake Berkowsky）

– 数据规模与复杂性：

◦ 每天 63 亿次查询；最大单客户一分钟内执行 20.5 万次查询；单一客户表格行数达 256 万亿。

◦ 数据体量巨大且复杂，复杂性是安全的敌人。

– 共享责任模型：

◦ CSP（AWS/GCP/Azure） → 提供合规认证，Snowflake 继承并传递。

◦ Snowflake → 确保平台安全（FedRAMP High、审计、认证），监控与防护。

◦ 客户 → 负责用户权限管理、数据分类、RBAC、动态数据脱敏、活动监控、合规性执行。

– 强化安全的措施：

◦ 强制 MFA、多因素身份验证。

◦ 自动扫描外泄凭证并吊销。

◦ 发布最佳实践指南，与合作伙伴（如 Zscaler）强化整体安全。

– 客户挑战：

◦ 管理用户权限、数据分类、合规性复杂度高。

◦ 数据分散在 Snowflake、原生云工具、联邦技术中，需要统一视角。

◦ 推荐自动化和与 Zscaler 等合作，简化和提升安全。

2. Zscaler DSPM 的价值主张（Ofer Yarom）

– 核心痛点：

◦ 数据分散在 Snowflake、云端、SaaS、本地等多处，手动管理不可能。

◦ 合规需求激增（GDPR、PCI、ISO、NIST 等），AI 进一步增加数据流动复杂度。

– DSPM 核心能力：

◦ 数据发现与分类：AI+传统分类，识别敏感数据。

◦ 全链路可见性：不仅关注数据静态存储，还覆盖数据传输（Snowflake → 终端 → 邮件/网页）。

◦ 配置与权限检测：识别 Snowflake 配置错误和权限过度授权，防止误操作与数据泄露。

◦ 合规与基准对齐：结合数据类型与控制措施，减少冗余告警，提升合规检测精度。

3. Zscaler DSPM 架构与功能（Sushil Menon）

– 架构原则：

◦ 无代理（Agentless）、API First。

◦ 部署在客户的云账户中，数据不出区，不涉及额外传输费用。

– 主要功能模块：

a. 数据发现与分类：定位 Snowflake 数据库、识别敏感数据类型、支持 GDPR 合规检查。

b. 风险识别：

◦ Posture：加密、日志审计、保留策略、公开暴露、脱敏与行/列级安全控制。

◦ Entitlements：权限治理，自动计算用户/角色的访问路径与权限模型，识别过度授权。

◦ Compliance：内置 20+ 合规标准，也可自定义。

c. 自动化与可视化：

◦ 风险自动优先级排序与补救建议。

◦ 350+ 预置检测策略，支持自定义策略与合规框架。

◦ 直观的调查模块，无需 SQL/JSON 技能。

📌 分析师 Q&A 环节

Q1: Zscaler DSPM 是否支持 Snowflake VPS Edition？

– 答：完全支持，包括标准版、企业版、Business Critical 和 VPS，在 AWS/Azure/GCP 上均支持。

Q2: 是否有监控数据库数量或规模的限制？

– 答：没有限制。架构可自动扩展，并有高效扫描技术（数据采样），保障性能。

Q3: 数据分类器是否可以自定义？

– 答：支持。客户可配置自定义分类器，且统一适用于 DSPM、DLP（邮件、端点、流量等）。

Q4: 扫描是否影响 Snowflake 性能？

– 答：几乎无影响。

◦ 使用数据采样扫描，仅抽取少量行。

◦ 使用独立的专用仓库，避免与生产工作负载冲突。

Q5: 是否可以设置扫描频率？

– 答：支持多种模式：按需扫描、定期扫描（每日/每周/月）、指定维护时间窗口（如周日凌晨）。

Q6: 如果我公司需要自定义合规框架，是否支持？

– 答：支持。可使用内置 25+ 框架，或基于调查模块创建/修改/扩展为自定义框架。