Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A proteção contra exfiltração de dados é uma abordagem de defesa detalhada que combina controles de rede com controles de governança de dados. Ele se aplica a todas as três arquiteturas de segurança de rede. Esta página descreve como combinar controles de nível de rede e controles do Catálogo do Unity para impedir a transferência de dados não autorizada em implantações de Azure Databricks.
Para arquiteturas de referência de ponta a ponta que implementam esses controles, consulte a arquitetura de proteção contra exfiltração de dados.
O que é a proteção contra exfiltração de dados?
A exfiltração de dados é a transferência não autorizada de dados confidenciais do seu ambiente de Azure Databricks. Com a proteção contra exfiltração de dados, você pode evitar a exploração de caminhos de rede abertos, armazenamento configurado incorretamente, regras de saída excessivamente permissivas ou credenciais comprometidas. Você também pode impedir que usuários com acesso legítimo baixem os resultados da consulta ou gravem em um destino externo não aprovado.
Os controles de rede fecham os caminhos de rede não autorizados; Os controles do Catálogo do Unity regem o que os usuários autorizados e a computação podem fazer com os dados que eles têm permissão para acessar. Você precisa das duas.
Controles de rede:
- Isolamento de rede: implante cargas de trabalho em redes privadas sem acesso público à Internet.
- Conectividade privada: Use o Link Privado para acessar serviços de nuvem sem exposição à internet.
- Controle de saída: controlar o acesso de saída usando controles baseados em firewall ou proxy.
- Políticas de acesso ao armazenamento: restrinja quais cargas de trabalho de contas de armazenamento e serviços podem alcançar.
Controles do Unity Catalog:
-
Controle de acesso padrão:
GRANTeREVOKEpermissões em catálogos, esquemas, tabelas e volumes. - ABAC (controle de acesso baseado em atributo): governe o acesso a dados com base em atributos (marcas) anexados a objetos de dados, não apenas na identidade do objeto.
- Filtros de linha e máscaras de coluna: aplique segurança em nível de linha e de coluna para restringir o que os usuários veem em uma tabela.
- Vinculações de catálogo de espaços de trabalho: Isole quais espaços de trabalho podem acessar quais dados.
- Registro de auditoria: Registre todo acesso aos dados para monitoramento e conformidade.
Como ela se relaciona com cada arquitetura de rede
A profundidade dos controles de rede é dimensionada com a arquitetura escolhida. Os controles do Catálogo do Unity se aplicam de forma idêntica em todas as três arquiteturas e regem o que os usuários autorizados e a computação podem fazer com os dados e não mudam com base em sua postura de rede.
| Architecture | Controles de rede |
|---|---|
| Segurança gerenciada | VNet gerenciada pelo cliente, SCC, plano de computação clássico de back-end Link Privado |
| Conectividade protegida | Adiciona entrada baseada em contexto, pontos de extremidade VPC, controles de saída sem servidor e firewall opcional |
| Ambiente isolado | Adiciona o Link Privado de entrada e o firewall necessário para conectividade privada completa |
Os controles de rede sozinhos não impedem os usuários autorizados de usarem indevidamente o acesso. Combine-os com os controles do Catálogo do Unity para a proteção de exfiltração de dados completa.
Quando implementar
Implemente a proteção contra exfiltração de dados quando:
- Manipulando dados altamente confidenciais ou regulamentados (financeiros, de saúde, governamentais).
- As estruturas de conformidade exigem controles de saída (por exemplo, SOC 2, HIPAA, PCI DSS e FedRAMP).
- Sua organização requer visibilidade completa da movimentação de dados.
- As regulamentações do setor proíbem a transferência de dados para regiões ou serviços específicos.
Importante
A proteção contra exfiltração de dados requer várias camadas de segurança trabalhando juntas: controles de rede e controles de governança de dados. Nenhuma única camada é suficiente por conta própria.
Camadas de segurança
A proteção contra exfiltração de dados combina vários mecanismos de segurança. A tabela a seguir resume cada camada e sua implementação de Azure:
| Camada de segurança | Purpose | Implementation | Priority |
|---|---|---|---|
| Controle de rede | Traga sua própria rede | Injeção de VNet | Alto |
| Isolamento da rede | Eliminar o acesso público | Conectividade segura de cluster (SCC) | Alto |
| Conectividade privada | Acesso ao serviço de nuvem (privado) | Link Privado, pontos de extremidade privados | Alto |
| Inspeção de saída | Monitorar o tráfego de saída | Firewall do Azure ou NVA (solução de virtualização de rede) de terceiros | Alto |
| Governança de dados | Controle de acesso e auditoria | Catálogo do Unity | Alto |
| Conectividade segura | Acesso ao serviço de nuvem (gratuito) | Pontos de extremidade de serviço com políticas de ponto de extremidade de serviço | Medium |
| Controles sem servidor | Governe a saída sem servidor | Políticas de rede, SEG (gateway de saída sem servidor), NCC | Medium |
Para obter as arquiteturas de referência completas que implementam essas camadas no AWS e Azure, consulte Data exfiltration protection architecture.
Considerações de custo
A proteção contra exfiltração de dados tem custos de rede mais altos do que as implantações padrão devido à infraestrutura adicional necessária para conectividade privada e inspeção de tráfego.
| Fator de custo | Description |
|---|---|
| Link Privado | Cobranças por hora por endpoint privado, mais por GB de dados de entrada e saída processados. |
| Pontos de extremidade de serviço | Não há custo adicional para o endpoint, mas ele requer configuração. Alternativa mais econômica aos endpoints privados quando a segurança permitir. |
| Políticas de terminal de serviço | Sem custo adicional. Use para contornar o firewall do armazenamento do sistema do Azure Databricks (artefatos, logs, tabelas do sistema) para reduzir os custos de transferência de dados e evitar a limitação de taxa. |
| Firewall do Azure ou NVA | Firewall do Azure: implantação cobrada por hora mais processamento por GB. NVA de terceiros: licenciamento mais computação de VM. |
| Transferência de dados | Cobranças adicionais para o tráfego roteado pelo firewall, incluindo o armazenamento de artefatos (até 11 GB por nó do cluster). |