Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A proteção contra exfiltração de dados é uma abordagem de defesa em profundidade que combina controlos de rede com controlos de governação de dados. Aplica-se a todas as três arquiteturas de segurança de rede. Esta página descreve como combinar controlos ao nível da rede e controlos do Catálogo Unity para evitar transferências não autorizadas de dados em implementações do Azure Databricks.
Para arquiteturas de referência de ponta a ponta que implementam estes controlos, veja Arquitetura de proteção por exfiltração de dados.
O que é a proteção contra exfiltração de dados?
A exfiltração de dados é a transferência não autorizada de dados sensíveis para fora do seu ambiente Azure Databricks. Com a proteção contra exfiltração de dados pode evitar a exploração de caminhos de rede abertos, armazenamento mal configurado, regras de saída excessivamente permissivas ou credenciais comprometidas. Também pode impedir que utilizadores com acesso legítimo descarreguem resultados de consultas ou escrevam para um destino externo não aprovado.
Os controlos de rede fecham os caminhos de rede não autorizados; Os controlos do Catálogo Unity determinam o que os utilizadores autorizados e os computadores podem fazer com os dados que lhes é permitido aceder. Você precisa de ambos.
Controlos de rede:
- Isolamento de rede: Implementar cargas de trabalho em redes privadas sem acesso público à internet.
- Conectividade privada: Use Private Link para aceder a serviços cloud sem exposição à internet.
- Controlo de saída: Controla o acesso de saída usando controlos baseados em firewall ou proxy.
- Políticas de acesso ao armazenamento: Restringa quais as contas de armazenamento e os serviços que as cargas de trabalho podem alcançar.
Controlos do Unity Catalog:
-
Controlo de acesso padrão:
GRANTeREVOKEpermissões em catálogos, esquemas, tabelas e volumes. - Controlo de acesso baseado em atributos (ABAC): Governa o acesso aos dados com base em atributos (etiquetas) associados a objetos de dados, não apenas na identidade do objeto.
- Filtros de linhas e máscaras de coluna: Aplique segurança ao nível da linha e da coluna para restringir o que os utilizadores veem numa tabela.
- Associações do catálogo a espaços de trabalho: Isole os espaços de trabalho que podem aceder a determinados dados.
- Registo de auditorias: Capturar todos os acessos aos dados para monitorização e conformidade.
Como se relaciona com cada arquitetura de rede
A profundidade dos controlos de rede escala consoante a arquitetura que escolher. Os controlos do Catálogo Unity aplicam-se de forma idêntica em todas as três arquiteturas e regulam o que os utilizadores autorizados e a computação podem fazer com os dados, não mudando consoante a sua postura de rede.
| Architecture | Controlos de rede |
|---|---|
| Segurança gerida | VNet gerida pelo cliente, SCC, plano de computação clássico de back-end, Private Link |
| Conectividade reforçada | Adiciona controlos de tráfego de entrada baseados no contexto, endpoints VPC, controlos de tráfego de saída sem servidor e uma firewall opcional |
| Ambiente isolado | Adiciona Private Link de entrada e firewall obrigatório para conectividade privada total |
Os controlos de rede, por si só, não impedem que utilizadores autorizados usem indevidamente o acesso. Combine-os com os controlos do Unity Catalog para proteção completa contra a exfiltração de dados.
Quando implementar
Implementar proteção contra exfiltração de dados quando:
- Lidar com dados altamente sensíveis ou regulados (financeiros, de saúde, governamentais).
- Os quadros de conformidade exigem controlos de saída (por exemplo, SOC 2, HIPAA, PCI DSS e FedRAMP).
- A sua organização exige total visibilidade sobre o movimento de dados.
- As regulamentações da indústria proíbem a transferência de dados para regiões ou serviços específicos.
Importante
A proteção contra a exfiltração de dados requer múltiplas camadas de segurança a trabalhar em conjunto: tanto controlos de rede como controlos de governação de dados. Nenhuma camada isolada é suficiente por si só.
Camadas de segurança
A proteção contra exfiltração de dados combina múltiplos mecanismos de segurança. A tabela seguinte resume cada camada e a sua implementação no Azure:
| Camada de segurança | Purpose | Implementation | Priority |
|---|---|---|---|
| Controlo de rede | Traga a sua própria rede de contactos | Injeção de VNet | Alto |
| Isolamento de rede | Eliminar o acesso público | Conectividade Segura de Aglomerado (SCC) | Alto |
| Conectividade privada | Acesso a serviços cloud (privado) | Private Link, pontos finais privados | Alto |
| Inspeção de saída | Monitorizar o tráfego de saída | Azure Firewall ou dispositivo virtual de rede de terceiros (NVA) | Alto |
| Governação de dados | Controlo de acesso e auditoria | Catálogo Unity | Alto |
| Conectividade segura | Acesso a serviços cloud (gratuito) | Pontos finais de serviço com políticas de ponto final de serviço | Medium |
| Controlos sem servidor | Gerir o tráfego de saída serverless | Políticas de rede, gateway de saída sem servidor (SEG), NCC | Medium |
Para as arquiteturas de referência completas que implementam estas camadas na AWS e Azure, veja Arquitetura de proteção por exfiltração de dados.
Considerações de custos
A proteção contra exfiltração de dados tem custos de rede mais elevados do que as implementações padrão devido à infraestrutura adicional necessária para conectividade privada e inspeção de tráfego.
| Fator de custo | Description |
|---|---|
| Private Link | Cobranças por hora por endpoint privado, mais processamento de dados de entrada e saída por GB. |
| Pontos finais de serviço | Não há custo adicional para o endpoint, mas requer configuração. Alternativa de menor custo aos endpoints privados onde a segurança o permite. |
| Políticas dos pontos finais dos serviços | Sem custo adicional. Use para contornar o firewall do armazenamento do sistema Azure Databricks (artefactos, registos, tabelas do sistema) para reduzir custos de transferência de dados e evitar limitação. |
| Azure Firewall ou NVA | Azure Firewall: implementação por hora mais processamento por GB. NVA de terceiros: licenciamento mais computação de VM. |
| Transferência de dados | Cobranças adicionais pelo tráfego encaminhado através do firewall, incluindo armazenamento de artefactos (até 11 GB por nó do cluster). |