Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ochrona przed eksfiltracją danych to szczegółowe podejście do ochrony, które łączy mechanizmy kontroli sieci z mechanizmami kontroli ładu danych. Ma zastosowanie we wszystkich trzech architekturach zabezpieczeń sieci. Na tej stronie opisano, jak połączyć mechanizmy kontroli na poziomie sieci i mechanizmy kontroli usługi Unity Catalog, aby zapobiec nieautoryzowanemu przesyłaniu danych we wdrożeniach Azure Databricks.
Aby zapoznać się z kompleksowymi architekturami referencyjnymi, które wdrażają te mechanizmy zabezpieczeń, zobacz Architektura ochrony przed eksfiltracją danych.
Co to jest ochrona przed eksfiltracją danych?
Eksfiltracja danych to nieautoryzowany transfer poufnych danych ze środowiska Azure Databricks. Dzięki ochronie eksfiltracji danych można uniknąć wykorzystywania otwartych ścieżek sieciowych, nieprawidłowo skonfigurowanego magazynu, nadmiernie permissywnych reguł ruchu wychodzącego lub poświadczeń z naruszonymi zabezpieczeniami. Możesz również uniemożliwić użytkownikom mającym prawidłowy dostęp pobieranie wyników zapytań lub zapisywanie ich w niezatwierdzonej lokalizacji zewnętrznej.
Mechanizmy kontroli sieci odcinają nieautoryzowane ścieżki dostępu sieciowego; mechanizmy kontroli w Unity Catalog określają, co uprawnieni użytkownicy i zasoby obliczeniowe mogą robić z danymi, do których mają uprawniony dostęp. Potrzebujesz obu tych elementów.
Kontrolki sieci:
- Izolacja sieci: wdrażanie obciążeń w sieciach prywatnych bez publicznego dostępu do Internetu.
- Private connectivity: użyj Private Link, aby uzyskać dostęp do usług w chmurze bez narażenia na internet.
- Kontrola ruchu wychodzącego: kontroluj ruch wychodzący za pomocą mechanizmów zapory lub mechanizmów opartych na serwerze proxy.
- Zasady dostępu do magazynu: ogranicz dostęp do kont magazynu i obciążeń usług.
Elementy sterujące Unity Catalog:
-
Standardowa kontrola dostępu:
GRANTiREVOKEuprawnienia do katalogów, schematów, tabel i woluminów. - Kontrola dostępu oparta na atrybutach (ABAC): Zarządzanie dostępem do danych na podstawie atrybutów (tagów) dołączonych do obiektów danych, a nie tylko tożsamości obiektu.
- Filtry wierszy i maski kolumn: zastosuj zabezpieczenia na poziomie wiersza i na poziomie kolumny, aby ograniczyć to, co użytkownicy widzą w tabeli.
- Powiązania katalogu obszarów roboczych: Izolowanie, które obszary robocze mogą uzyskiwać dostęp do których danych.
- Rejestrowanie audytu: rejestruj cały dostęp do danych na potrzeby monitorowania i zgodności z przepisami.
Jak odnosi się ona do każdej architektury sieci
Głębokość kontrolek sieci jest skalowana przy użyciu wybranej architektury. Mechanizmy kontroli w Unity Catalog obowiązują jednakowo we wszystkich trzech architekturach i określają, co autoryzowani użytkownicy oraz zasoby obliczeniowe mogą robić z danymi, a także nie zmieniają się w zależności od konfiguracji sieci.
| Architecture | Kontrole sieciowe |
|---|---|
| Zabezpieczenia zarządzane | Sieć wirtualna zarządzana przez klienta, SCC, klasyczna warstwa obliczeniowa zaplecza Private Link |
| Wzmocniona łączność | Dodaje kontekstowy ruch przychodzący, punkty końcowe VPC, mechanizmy kontroli ruchu wychodzącego dla środowisk bezserwerowych oraz opcjonalną zaporę sieciową |
| Środowisko izolowane | Dodaje przychodzące połączenie Private Link i wymaganą zaporę sieciową na potrzeby pełnej łączności prywatnej |
Same mechanizmy kontroli sieci nie uniemożliwiają autoryzowanym użytkownikom nieprawidłowego dostępu. Połącz je z mechanizmami kontroli Unity Catalog, aby zapewnić pełną ochronę przed eksfiltracją danych.
Kiedy należy zaimplementować
Zaimplementuj ochronę przed eksfiltracją danych, gdy:
- Obsługa wysoce poufnych lub regulowanych danych (finansowych, opieki zdrowotnej, instytucji rządowych).
- Struktury zgodności nakazują mechanizmy kontroli ruchu wychodzącego (na przykład SOC 2, HIPAA, PCI DSS i FedRAMP).
- Twoja organizacja wymaga pełnej widoczności przepływu danych.
- Przepisy branżowe zabraniają transferu danych do określonych regionów lub usług.
Ważna
Ochrona przed eksfiltracją danych wymaga współdziałania wielu warstw zabezpieczeń: zarówno mechanizmów kontroli sieci, jak i mechanizmów kontroli ładu danych. Żadna pojedyncza warstwa nie jest wystarczająca samodzielnie.
Warstwy zabezpieczeń
Ochrona przed eksfiltracją danych łączy wiele mechanizmów zabezpieczeń. Poniższa tabela zawiera podsumowanie każdej warstwy i jej implementacji Azure:
| Warstwa zabezpieczeń | Purpose | Implementation | Priority |
|---|---|---|---|
| Kontrola sieci | Użyj własnej sieci | Iniekcja sieci VNet | High |
| Izolacja sieci | Eliminowanie dostępu publicznego | Bezpieczna łączność klastra (SCC) | High |
| Łączność prywatna | Dostęp do usługi w chmurze (prywatny) | Private Link, prywatne punkty końcowe | High |
| Inspekcja ruchu wychodzącego | Monitorowanie ruchu wychodzącego | Azure Firewall lub wirtualne urządzenie sieciowe innej firmy (NVA) | High |
| Zarządzanie danymi | Kontrola dostępu i inspekcja | Katalog Unity | High |
| Bezpieczna łączność | Dostęp do usługi w chmurze (bezpłatny) | Punkty końcowe usługi z zasadami dotyczącymi punktów końcowych usługi | Średni |
| Kontrolki bezserwerowe | Zarządzanie bezserwerowym ruchem wychodzącym | Zasady sieciowe, bezserwerowa brama ruchu wychodzącego (SEG), NCC | Średni |
Aby uzyskać pełną architekturę referencyjną, która implementuje te warstwy na platformie AWS i Azure, zobacz Architektura ochrony eksfiltracji danych.
Zagadnienia dotyczące kosztów
Ochrona przed eksfiltracją danych ma wyższe koszty sieci niż standardowe wdrożenia ze względu na dodatkową infrastrukturę wymaganą do prywatnej łączności i inspekcji ruchu.
| Współczynnik kosztów | Description |
|---|---|
| Private Link | Opłaty godzinowe za prywatny punkt końcowy oraz za przetwarzanie przychodzących i wychodzących danych za każdy GB. |
| Punkty końcowe usługi | Brak dodatkowych kosztów dla punktu końcowego, ale wymaga konfiguracji. Tańsza alternatywa dla prywatnych punktów końcowych tam, gdzie pozwalają na to względy bezpieczeństwa. |
| Zasady punktu końcowego usługi | Brak dodatkowych kosztów. Użyj tego, aby ominąć zaporę dla magazynu systemowego usługi Azure Databricks (artefakty, dzienniki i tabele systemowe), zmniejszyć koszty transferu danych i uniknąć dławienia. |
| Azure Firewall lub NVA | Azure Firewall: wdrożenie rozliczane za godzinę oraz przetwarzanie za GB. NVA innej firmy: licencjonowanie oraz moc obliczeniowa maszyn wirtualnych. |
| Przenoszenie danych | Dodatkowe opłaty za ruch kierowany przez zaporę, w tym magazyn artefaktów (do 11 GB na węzeł klastra). |