Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La protezione dell'esfiltrazione dei dati è un approccio di difesa approfondito che combina i controlli di rete con i controlli di governance dei dati. Si applica a tutte e tre le architetture di sicurezza di rete. Questa pagina descrive come combinare controlli a livello di rete e controlli del catalogo Unity per impedire il trasferimento di dati non autorizzati nelle distribuzioni di Azure Databricks.
Per le architetture di riferimento end-to-end che implementano questi controlli, vedere Architettura di protezione dell'esfiltrazione dei dati.
Che cos'è la protezione dell'esfiltrazione dei dati?
L'esfiltrazione dei dati è il trasferimento non autorizzato di dati sensibili all'esterno dell'ambiente Azure Databricks. Con la protezione dell'esfiltrazione dei dati è possibile evitare lo sfruttamento dei percorsi di rete aperti, l'archiviazione non configurata correttamente, le regole di uscita eccessivamente permissive o le credenziali compromesse. È anche possibile impedire agli utenti con accesso legittimo di scaricare i risultati delle query o scrivere in una destinazione esterna non approvata.
I controlli di rete chiudono i percorsi di rete non autorizzati; I controlli di Unity Catalog regolano le operazioni che gli utenti autorizzati e le risorse di calcolo possono eseguire con i dati a cui sono autorizzati a raggiungere. Sono necessari entrambi.
Controlli di rete:
- Isolamento rete: distribuire carichi di lavoro in reti private senza accesso a Internet pubblico.
- Private connectivity: usare collegamento privato per accedere ai servizi cloud senza esposizione a Internet.
- Controllo in uscita: controllare l'accesso in uscita tramite il firewall o i controlli basati su proxy.
- Criteri di accesso alle risorse di archiviazione: limitare gli account di archiviazione e i carichi di lavoro dei servizi che possono raggiungere.
Controlli del catalogo Unity:
-
Controllo di accesso standard:
GRANTeREVOKEautorizzazioni per cataloghi, schemi, tabelle e volumi. - Controllo degli accessi in base all'attributo: regola l'accesso ai dati in base agli attributi (tag) associati agli oggetti dati, non solo all'identità dell'oggetto.
- Filtri di riga e maschere di colonna: applicare la sicurezza a livello di riga e a livello di colonna per limitare gli elementi visualizzati dagli utenti all'interno di una tabella.
- Associazioni tra cataloghi e aree di lavoro: Isola quali aree di lavoro possono accedere a quali dati.
- Registrazione di controllo: acquisire tutti gli accessi ai dati per il monitoraggio e la conformità.
In che modo si riferisce a ogni architettura di rete
La profondità dei controlli di rete viene ridimensionata con l'architettura scelta. I controlli del catalogo unity si applicano in modo identico a tutte e tre le architetture e regolano le operazioni che gli utenti autorizzati e le risorse di calcolo possono eseguire con i dati e non cambiano in base al comportamento di rete.
| Architecture | Controlli di rete |
|---|---|
| Sicurezza gestita | Rete virtuale gestita dal cliente, SCC, piano di calcolo classico back-end collegamento privato |
| Connettività rafforzata | Aggiunge accesso in entrata in base al contesto, endpoint VPC, controlli serverless del traffico in uscita e firewall opzionale |
| Ambiente isolato | Aggiunge collegamento privato in ingresso e il firewall necessario per la connettività privata completa |
I controlli di rete da soli non impediscono agli utenti autorizzati di usare in modo improprio l'accesso. Combinarli con i controlli di Unity Catalog per la protezione completa dell'esfiltrazione dei dati.
Quando implementare
Implementare la protezione dell'esfiltrazione dei dati quando:
- Gestione di dati altamente sensibili o regolamentati (finanziari, sanitari, enti pubblici).
- I framework di conformità impongono controlli in uscita (ad esempio, SOC 2, HIPAA, PCI DSS e FedRAMP).
- L'organizzazione richiede una visibilità completa sullo spostamento dei dati.
- Le normative del settore impediscono il trasferimento dei dati in aree o servizi specifici.
Importante
La protezione dell'esfiltrazione dei dati richiede più livelli di sicurezza che interagiscono: controlli di rete e controlli di governance dei dati. Nessun livello singolo è sufficiente da solo.
Livelli di sicurezza
La protezione dell'esfiltrazione dei dati combina più meccanismi di sicurezza. La tabella seguente riepiloga ogni livello e la relativa implementazione Azure:
| Livello di sicurezza | Purpose | Implementation | Priority |
|---|---|---|---|
| Controllo di rete | Porta la tua rete | Iniezione di VNet | Alto |
| Isolamento della rete | Eliminare l'accesso pubblico | Secure Cluster Connectivity (SCC) | Alto |
| Connettività privata | Accesso al servizio cloud (privato) | collegamento privato, endpoint privati | Alto |
| Ispezione in uscita | Monitorare il traffico in uscita | Firewall di Azure o un'appliance virtuale di rete di terze parti (NVA) | Alto |
| Governance dei dati | Controllo degli accessi e audit | Catalogo Unity | Alto |
| Proteggere la connettività | Accesso al servizio cloud (gratuito) | Endpoint di servizio con criteri per gli endpoint di servizio | Medium |
| Controlli per il serverless | Gestire l'uscita serverless | Criteri di rete, gateway serverless per il traffico in uscita (SEG), NCC | Medium |
Per le architetture di riferimento complete che implementano questi livelli in AWS e Azure, vedere Architettura di protezione dell'esfiltrazione dati.
Considerazioni sui costi
La protezione dell'esfiltrazione dei dati ha costi di rete superiori rispetto alle distribuzioni standard a causa dell'infrastruttura aggiuntiva necessaria per la connettività privata e l'ispezione del traffico.
| Fattore di costo | Description |
|---|---|
| Collegamento privato | Costi orari per ogni endpoint privato, più costi per GB per l'elaborazione dei dati in ingresso e in uscita. |
| Endpoint di servizio | Nessun costo aggiuntivo per l'endpoint, ma richiede la configurazione. Alternativa a costi inferiori agli endpoint privati in cui è consentita la sicurezza. |
| Criteri per gli endpoint di servizio | Non sono previsti costi aggiuntivi. Usare per aggirare il firewall per l'archiviazione di sistema di Azure Databricks (artefatti, log, tabelle di sistema) per ridurre i costi di trasferimento dei dati ed evitare limitazioni di velocità. |
| Firewall di Azure o NVA | Firewall di Azure: distribuzione oraria più elaborazione per GB. NVA di terze parti: licenze più calcolo VM. |
| Trasferimento dei dati | Costi aggiuntivi per il traffico instradato attraverso il firewall, inclusa l'archiviazione degli artefatti (fino a 11 GB per nodo del cluster). |