데이터 반출 보호는 네트워크 컨트롤과 데이터 거버넌스 컨트롤을 결합하는 심층 방어 접근 방식입니다. 세 가지 네트워크 보안 아키텍처 모두에 적용됩니다. 이 페이지에서는 네트워크 수준 컨트롤과 Unity 카탈로그 컨트롤을 결합하여 Azure Databricks 배포에서 무단 데이터 전송을 방지하는 방법을 설명합니다.
이러한 컨트롤을 구현하는 엔드투엔드 참조 아키텍처는 데이터 반출 보호 아키텍처를 참조하세요.
데이터 반출 보호란?
데이터 반출은 Azure Databricks 환경에서 중요한 데이터를 무단으로 전송하는 것입니다. 데이터 반출 보호를 사용하면 열린 네트워크 경로, 잘못 구성된 스토리지, 지나치게 허용되는 송신 규칙 또는 손상된 자격 증명의 악용을 방지할 수 있습니다. 합법적인 액세스 권한이 있는 사용자가 쿼리 결과를 다운로드하거나 승인되지 않은 외부 대상에 쓰는 것을 방지할 수도 있습니다.
네트워크 컨트롤은 권한이 없는 네트워크 경로를 닫습니다. Unity 카탈로그 컨트롤은 권한 있는 사용자 및 컴퓨팅이 도달할 수 있는 데이터로 수행할 수 있는 작업을 제어합니다. 둘 다 필요합니다.
네트워크 컨트롤:
- 네트워크 격리: 공용 인터넷 액세스 없이 프라이빗 네트워크에 워크로드를 배포합니다.
- 사용자 연결: Private Link 사용하여 인터넷에 노출하지 않고 클라우드 서비스에 액세스합니다.
- 출구 제어: 방화벽 또는 프록시 기반 제어를 사용하여 외부로 나가는 액세스를 제어합니다.
- 스토리지 액세스 정책: 워크로드가 도달할 수 있는 스토리지 계정 및 서비스 제한
Unity 카탈로그 제어:
-
표준 액세스 제어:
GRANTREVOKE카탈로그, 스키마, 테이블 및 볼륨에 대한 권한. - ABAC(특성 기반 액세스 제어) : 개체 ID뿐만 아니라 데이터 개체에 연결된 특성(태그)에 따라 데이터 액세스를 제어합니다.
- 행 필터 및 열 마스크: 행 수준 및 열 수준 보안을 적용하여 테이블 내에서 사용자가 보는 내용을 제한합니다.
- 작업 영역 카탈로그 바인딩: 데이터에 액세스할 수 있는 작업 영역을 격리합니다.
- 감사 로깅: 모니터링 및 규정 준수를 위해 모든 데이터 액세스를 캡처합니다.
각 네트워크 아키텍처와 관련된 방법
네트워크 컨트롤의 깊이는 선택한 아키텍처로 확장됩니다. Unity 카탈로그 컨트롤은 세 아키텍처 모두에 동일하게 적용되며 권한 있는 사용자 및 컴퓨팅이 데이터로 수행할 수 있는 작업을 제어하며 네트워크 태세에 따라 변경되지 않습니다.
| Architecture | 네트워크 제어 |
|---|---|
| 관리형 보안 | 고객 관리형 VNet, SCC, 백엔드 클래식 컴퓨팅 계층 Private Link |
| 강화된 연결 | 컨텍스트 기반 인그레스, VPC 엔드포인트, 서버리스 이그레스 제어 및 선택적 방화벽을 추가합니다. |
| 격리된 환경 | 전체 프라이빗 연결을 위해 인바운드 Private Link 및 필수 방화벽 추가 |
네트워크 컨트롤만으로는 권한 있는 사용자가 액세스를 오용하는 것을 방지할 수 없습니다. 완전한 데이터 반출 보호를 위해 Unity 카탈로그 컨트롤과 결합합니다.
구현 시기
다음과 같은 경우 데이터 반출 보호를 구현합니다.
- 매우 민감하거나 규제된 데이터 처리(금융, 의료, 정부).
- 규정 준수 프레임워크는 송신 제어(예: SOC 2, HIPAA, PCI DSS 및 FedRAMP)를 의무화합니다.
- 조직에서는 데이터 이동에 대한 완전한 가시성이 필요합니다.
- 산업 규정은 특정 지역 또는 서비스로의 데이터 전송을 금지합니다.
Important
데이터 반출 보호를 사용하려면 네트워크 제어 및 데이터 거버넌스 제어와 같은 여러 보안 계층이 함께 작동해야 합니다. 단일 계층만으로는 충분하지 않습니다.
보안 계층
데이터 반출 보호는 여러 보안 메커니즘을 결합합니다. 다음 표에는 각 계층과 해당 Azure 구현이 요약되어 있습니다.
| 보안 계층 | Purpose | Implementation | Priority |
|---|---|---|---|
| 네트워크 제어 | 사용자 고유의 네트워크 가져오기 | VNet 주입 | 높음 |
| 네트워크 격리 | 공용 액세스 제거 | SCC(보안 클러스터 연결) | 높음 |
| 프라이빗 연결 | 클라우드 서비스 액세스(프라이빗) | Private Link, 프라이빗 엔드포인트 | 높음 |
| 출구 검사 | 아웃바운드 트래픽 모니터링 | Azure Firewall 또는 타사 NVA(네트워크 가상 어플라이언스) | 높음 |
| 데이터 거버넌스 | 액세스 제어 및 감사 | Unity 카탈로그 | 높음 |
| 보안 연결 | 클라우드 서비스 액세스(무료) | 서비스 엔드포인트 정책을 사용하는 서비스 엔드포인트 | 중간 |
| 서버리스 컨트롤 | 서버리스 아웃바운드 트래픽 관리 | 네트워크 정책, 서버리스 출구 게이트웨이(SEG), NCC | 중간 |
AWS 및 Azure 이러한 계층을 구현하는 전체 참조 아키텍처는 데이타 반출 방지 아키텍처 참조하세요.
비용 고려 사항
데이터 반출 보호는 프라이빗 연결 및 트래픽 검사에 필요한 추가 인프라로 인해 표준 배포보다 네트워킹 비용이 더 높습니다.
| 비용 요소 | Description |
|---|---|
| Private Link | 프라이빗 엔드포인트당 시간당 요금과 GB당 인바운드 및 아웃바운드 데이터 처리. |
| 서비스 엔드포인트 | 엔드포인트에 대한 추가 비용은 없지만 구성이 필요합니다. 보안이 허용하는 프라이빗 엔드포인트에 대한 저렴한 대안입니다. |
| 서비스 엔드포인트 정책 | 추가 비용이 없습니다. 데이터 전송 비용을 줄이고 제한을 방지하기 위해 Azure Databricks 시스템 스토리지(아티팩트, 로깅, 시스템 테이블)에 대한 방화벽을 우회하는 데 사용합니다. |
| Azure Firewall 또는 NVA | Azure Firewall: 시간당 배포 및 GB당 처리. 타사 NVA: 라이선스 및 VM 컴퓨팅. |
| 데이터 전송 | 아티팩트 스토리지(클러스터 노드당 최대 11GB)를 포함하여 방화벽을 통해 라우팅되는 트래픽에 대한 추가 요금입니다. |