Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Schutz vor Datenexfiltration ist ein mehrschichtiger Sicherheitsansatz, der Netzwerkkontrollen mit Data-Governance-Kontrollen kombiniert. Sie gilt für alle drei Netzwerksicherheitsarchitekturen. Auf dieser Seite wird beschrieben, wie Sie Steuerelemente auf Netzwerkebene und Unity-Katalogsteuerelemente kombinieren, um nicht autorisierte Datenübertragungen in Azure Databricks Bereitstellungen zu verhindern.
End-to-End-Referenzarchitekturen, die diese Steuerelemente implementieren, finden Sie unter Datenexfiltrationsschutzarchitektur.
Was ist Datenexfiltrationsschutz?
Datenexfiltration ist die nicht autorisierte Übertragung vertraulicher Daten aus Ihrer Azure Databricks Umgebung. Mit Datenexfiltrationsschutz können Sie die Nutzung offener Netzwerkpfade, falsch konfigurierter Speicher, übermäßig zulässige Ausgangsregeln oder kompromittierte Anmeldeinformationen vermeiden. Sie können auch verhindern, dass Benutzer mit legitimen Zugriff Abfrageergebnisse herunterladen oder in ein nicht genehmigtes externes Ziel schreiben.
Netzwerkkontrollen unterbinden nicht autorisierte Netzwerkpfade; die Kontrollen in Unity Catalog legen fest, was autorisierte Benutzer und Rechenressourcen mit den Daten tun dürfen, auf die sie zugreifen dürfen. Sie benötigen beide.
Netzwerksteuerelemente:
- Netzwerkisolation: Bereitstellen von Workloads in privaten Netzwerken ohne öffentlichen Internetzugang.
- Private-Konnektivität: Verwenden Sie Private Link, um ohne Internetverbindung auf Clouddienste zuzugreifen.
- Ausgangssteuerung: Steuern des ausgehenden Zugriffs mithilfe von Firewall- oder proxybasierten Steuerelementen.
- Speicherzugriffsrichtlinien: Einschränken, welche Speicherkonten und Dienstarbeitslasten erreicht werden können.
Unity-Katalogsteuerelemente:
-
Standardzugriffskontrolle:
GRANTundREVOKEBerechtigungen für Kataloge, Schemas, Tabellen und Volumes. - Attributbasierte Zugriffssteuerung (ABAC): Steuern des Datenzugriffs basierend auf Attributen (Tags), die an Datenobjekte angefügt sind, nicht nur die Objektidentität.
- Zeilenfilter und Spaltenformate: Wenden Sie die Sicherheit auf Zeilenebene und Spaltenebene an, um einzuschränken, was Benutzer in einer Tabelle sehen.
- Bindungen im Arbeitsbereichskatalog: Legen Sie fest, welche Arbeitsbereiche auf welche Daten zugreifen können.
- Audit-Protokollierung: Sämtliche Datenzugriffe für Überwachung und Compliance erfassen.
Beziehung zu jeder Netzwerkarchitektur
Die Tiefe der Netzwerksteuerelemente wird mit der von Ihnen ausgewählten Architektur skaliert. Die Steuerelemente von Unity Catalog gelten in allen drei Architekturen gleichermaßen und legen fest, was autorisierte Benutzer und Rechenressourcen mit Daten tun dürfen; sie ändern sich nicht abhängig von Ihrer Netzwerkkonfiguration.
| Architecture | Steuerelemente für das Netzwerk |
|---|---|
| Verwaltete Sicherheit | Vom Kunden verwaltetes VNet, SCC, Backend, klassische Compute-Ebene, Private Link |
| Gehärtete Konnektivität | Fügt kontextbasierten Ingress, VPC-Endpunkte, serverlose Egress-Kontrollen und eine optionale Firewall hinzu. |
| Isolierte Umgebung | Fügt einen eingehenden Private Link und die erforderliche Firewall für eine vollständige private Konnektivität hinzu |
Netzwerksteuerelemente allein verhindern nicht, dass autorisierte Benutzer den Zugriff falsch nutzen. Kombinieren Sie sie mit Unity Catalog-Steuerelementen für den vollständigen Schutz der Datenexfiltration.
Wann muss ich implementieren?
Implementieren des Datenexfiltrationsschutzes in folgenden Fällen:
- Umgang mit hochsensiblen oder regulierten Daten (Finanzdaten, Gesundheitsversorgung, Behörden).
- Compliance-Frameworks mandatieren Ausgangskontrollen (z. B. SOC 2, HIPAA, PCI DSS und FedRAMP).
- Ihre Organisation erfordert vollständige Einblicke in die Datenbewegung.
- Branchenvorschriften verbieten die Datenübertragung an bestimmte Regionen oder Dienstleistungen.
Important
Der Schutz vor Datenexfiltration erfordert mehrere Sicherheitsschichten, die zusammenwirken: sowohl Netzwerkkontrollen als auch Data-Governance-Kontrollen. Es reicht keine einzelne Ebene allein aus.
Sicherheitsebenen
Datenexfiltrationsschutz kombiniert mehrere Sicherheitsmechanismen. In der folgenden Tabelle sind die einzelnen Ebenen und ihre Azure Implementierung zusammengefasst:
| Sicherheitsebene | Purpose | Implementation | Priority |
|---|---|---|---|
| Netzwerksteuerung | Bringen Sie Ihr eigenes Netzwerk mit | VNet-Injektion | Hoch |
| Netzwerkisolation | Entfernen des öffentlichen Zugriffs | Secure Cluster Connectivity (SCC) | Hoch |
| Private Konnektivität | Clouddienstzugriff (privat) | Private Link, private Endpunkte | Hoch |
| Überprüfung des Austritts | Ausgehenden Datenverkehr überwachen | Azure Firewall oder virtuelle Netzwerk-Appliance (NVA) von Drittanbietern | Hoch |
| Datenverwaltung | Zugriffssteuerung und -überwachung | Unity-Katalog | Hoch |
| Sichere Konnektivität | Clouddienstzugriff (kostenlos) | Dienstendpunkte mit Dienstendpunktrichtlinien | Medium |
| Serverlose Steuerelemente | Steuern des serverlosen Ausgangs | Netzwerkrichtlinien, serverloses Egress-Gateway (SEG), NCC | Medium |
Die vollständigen Referenzarchitekturen, die diese Ebenen auf AWS und Azure implementieren, finden Sie unter Data exfiltration protection architecture.
Kostenaspekte
Datenexfiltrationsschutz hat höhere Netzwerkkosten als Standardbereitstellungen aufgrund der zusätzlichen Infrastruktur, die für private Konnektivität und Datenverkehrsüberprüfung erforderlich ist.
| Kostenfaktor | Description |
|---|---|
| Private Link | Stündliche Gebühren pro privatem Endpunkt sowie Gebühren pro GB für die eingehende und ausgehende Datenverarbeitung. |
| Dienstendpunkte | Keine zusätzlichen Kosten für den Endpunkt, erfordert jedoch eine Konfiguration. Kostengünstigere Alternative zu privaten Endpunkten, wenn die Sicherheitsanforderungen dies zulassen. |
| Richtlinien für Dienstendpunkte | Keine zusätzlichen Kosten. Wird verwendet, um die Firewall für den Azure Databricks-Systemspeicher (Artefakte, Protokolle und Systemtabellen) zu umgehen, die Kosten für die Datenübertragung zu senken und Drosselung zu vermeiden. |
| Azure Firewall oder NVA | Azure Firewall: Bereitstellung pro Stunde plus Verarbeitung pro GB. NVA eines Drittanbieters: Lizenzierung plus VM Compute. |
| Datenübertragung | Zusätzliche Gebühren für Datenverkehr, der durch die Firewall geleitet wird, einschließlich Artefaktspeicher (bis zu 11 GB pro Clusterknoten). |