Protección contra la filtración de datos

La protección contra la filtración de datos es un enfoque de defensa en profundidad que combina controles de red con controles de gobernanza de datos. Se aplica en las tres arquitecturas de seguridad de red. En esta página se describe cómo combinar controles de nivel de red y controles de Catálogo de Unity para evitar la transferencia de datos no autorizada en implementaciones de Azure Databricks.

Para obtener arquitecturas de referencia de un extremo a otro que implementan estos controles, consulte Arquitectura de protección contra filtración de datos.

¿Qué es la protección de filtración de datos?

La filtración de datos es la transferencia no autorizada de datos confidenciales fuera de su entorno de Azure Databricks. Con la protección de filtración de datos, puede evitar la explotación de rutas de acceso de red abiertas, almacenamiento mal configurado, reglas de salida excesivamente permisivas o credenciales en peligro. También puede impedir que los usuarios con acceso legítimo descarguen los resultados de la consulta o escriban en un destino externo no aprobado.

Los controles de red bloquean las rutas de red no autorizadas; los controles de Unity Catalog determinan lo que los usuarios autorizados y los recursos de cómputo pueden hacer con los datos a los que se les permite acceder. Necesitas ambos.

Controles de red:

  • Aislamiento de red: implemente cargas de trabajo en redes privadas sin acceso público a Internet.
  • Private connectivity: use Private Link para acceder a servicios en la nube sin exposición a Internet.
  • Control de salida: controle el acceso saliente mediante el firewall o los controles basados en proxy.
  • Directivas de acceso al almacenamiento: Restrinja a qué cuentas y servicios de almacenamiento pueden acceder las cargas de trabajo.

Controles de catálogo de Unity:

  • Control de acceso estándar: GRANT y REVOKE permisos en catálogos, esquemas, tablas y volúmenes.
  • Control de acceso basado en atributos (ABAC): controle el acceso a datos basado en atributos (etiquetas) adjuntos a objetos de datos, no solo a la identidad del objeto.
  • Filtros de fila y máscaras de columna: aplique seguridad de nivel de fila y de columna para restringir lo que ven los usuarios dentro de una tabla.
  • Vinculaciones de catálogo de espacios de trabajo: Aísla qué espacios de trabajo pueden acceder a qué datos.
  • Registro de auditoría: Capture todos los accesos a los datos para la monitorización y el cumplimiento.

Cómo se relaciona con cada arquitectura de red

La profundidad de los controles de red se escala con la arquitectura que elija. Los controles de Unity Catalog se aplican por igual en las tres arquitecturas y determinan lo que los usuarios autorizados y los recursos de cómputo pueden hacer con los datos; no cambian en función de la configuración de red.

Architecture Controles de red
Seguridad administrada Red virtual administrada por el cliente, SCC, plano de proceso clásico de back-end, Private Link
Conectividad protegida Agrega entrada basada en contexto, puntos de conexión de VPC, controles de salida sin servidor y firewall opcional
Entorno aislado Agrega Private Link de entrada y el firewall requerido para una conectividad privada completa

Los controles de red por sí solos no impiden que los usuarios autorizados puedan usar incorrectamente el acceso. Combínelos con los controles de Unity Catalog para una protección completa frente a la exfiltración de datos.

Cuándo implementar

Implemente la protección de filtración de datos cuando:

  • Control de datos altamente confidenciales o regulados (financieros, sanitarios, gubernamentales).
  • Los marcos de cumplimiento exigen controles de salida (por ejemplo, SOC 2, HIPAA, PCI DSS y FedRAMP).
  • La organización requiere una visibilidad completa del movimiento de datos.
  • Las regulaciones del sector prohíben la transferencia de datos a regiones o servicios específicos.

Important

La protección contra la filtración de datos requiere que varias capas de seguridad funcionen conjuntamente: controles de red y controles de gobernanza de datos. No hay una sola capa suficiente por sí sola.

Capas de seguridad

La protección contra filtración de datos combina varios mecanismos de seguridad. En la tabla siguiente se resumen cada capa y su implementación de Azure:

Capa de seguridad propósito Implementation Prioridad
Control de red Traiga su propia red Inyección de red virtual Alto
Aislamiento de red Eliminación del acceso público Conectividad segura de clústeres (SCC) Alto
Conectividad privada Acceso al servicio en la nube (privado) Private Link, puntos de conexión privados Alto
Inspección de salida Supervisión del tráfico saliente Azure Firewall o aplicación virtual de red de terceros (NVA) Alto
Gobernanza de datos Control de acceso y auditoría Catálogo de Unity Alto
Conectividad segura Acceso al servicio en la nube (gratuito) Puntos de conexión de servicio con directivas para puntos de conexión de servicio Medio
Controles sin servidor Controlar la salida sin servidor Directivas de red, puerta de enlace de salida sin servidor (SEG), NCC Medio

Para obtener las arquitecturas de referencia completas que implementan estas capas en AWS y Azure, consulte Arquitectura de protección contra filtración de datos.

Consideraciones sobre los costos

La protección contra la filtración de datos tiene mayores costos de red que las implementaciones estándar debido a la infraestructura adicional necesaria para la conectividad privada y la inspección del tráfico.

Factor de coste Description
Enlace privado Cargos por hora por cada punto de conexión privado, además del procesamiento de datos entrantes y salientes por cada GB.
Puntos de conexión del servicio No hay ningún costo adicional para el punto de conexión, pero requiere configuración. Alternativa de menor costo a los puntos de conexión privados en los que la seguridad permite.
Directivas de punto de conexión de servicio Sin costo adicional. Úselo para sortear el firewall del almacenamiento del sistema de Azure Databricks (artefactos, registros, tablas del sistema), reducir los costes de transferencia de datos y evitar las limitaciones de velocidad.
Azure Firewall o NVA Azure Firewall: implementación por hora más procesamiento por GB. NVA de terceros: licencias y capacidad de proceso de la máquina virtual.
Transferencia de datos Costes adicionales por el tráfico enrutado a través del firewall, incluidos los correspondientes al almacenamiento de artefactos (hasta 11 GB por nodo del clúster).