Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Veri sızdırma koruması, ağ denetimlerini veri idare denetimleriyle birleştiren derinlemesine savunma yaklaşımıdır. Üç ağ güvenlik mimarisi için de geçerlidir. Bu sayfada, Azure Databricks dağıtımlarında yetkisiz veri aktarımını önlemek için ağ düzeyinde denetimlerin ve Unity Kataloğu denetimlerinin nasıl birleştirildiği açıklanır.
Bu denetimleri uygulayan uçtan uca başvuru mimarileri için bkz. Veri sızdırma koruma mimarisi.
Veri sızdırma koruması nedir?
Veri sızdırma, hassas verilerin Azure Databricks ortamınızdan yetkisiz olarak aktarılmasıdır. Veri sızdırma koruması ile açık ağ yollarının, yanlış yapılandırılmış depolamanın, aşırı izinli çıkış kurallarının veya güvenliği aşılmış kimlik bilgilerinin kötüye kullanılmasını önleyebilirsiniz. Ayrıca, yasal erişimi olan kullanıcıların sorgu sonuçlarını indirmesini veya onaylanmamış bir dış hedefe yazmasını engelleyebilirsiniz.
Ağ denetimleri, yetkisiz ağ yollarını engeller; Unity Catalog denetimleri ise yetkili kullanıcıların ve işlem kaynaklarının, erişmelerine izin verilen veriler üzerinde neler yapabileceğini belirler. İkinize de ihtiyacınız var.
Ağ denetimleri:
- Ağ yalıtımı: İş yüklerini genel İnternet erişimi olmayan özel ağlara dağıtın.
- Özel bağlantı: Bulut hizmetlerine internete açmadan erişmek için Özel Bağlantı kullanın.
- Çıkış denetimi: Güvenlik duvarı veya ara sunucu tabanlı denetimleri kullanarak giden erişimi denetleyin.
- Depolama erişim ilkeleri: Hangi depolama hesaplarının ve hizmet iş yüklerinin ulaşabileceğini kısıtlayın.
Unity Kataloğu denetimleri:
-
Standart erişim denetimi:
GRANTveREVOKEkataloglar, şemalar, tablolar ve birimler üzerindeki izinler. - Öznitelik tabanlı erişim denetimi (ABAC): Veri erişimini yalnızca nesne kimliğine değil, veri nesnelerine eklenen özniteliklere (etiketlere) göre yönetir.
- Satır filtreleri ve sütun maskeleri: Kullanıcıların tablo içinde gördüklerini kısıtlamak için satır düzeyi ve sütun düzeyi güvenlik uygulayın.
- Çalışma alanı kataloğu bağlamaları: Hangi çalışma alanlarının hangi verilere erişebileceğini yalıtma.
- Denetim günlüğü: İzleme ve uyumluluk için tüm veri erişimini yakalayın.
Her ağ mimarisiyle ilişkisi
Ağ denetimlerinin derinliği, seçtiğiniz mimariyle ölçeklendirilir. Unity Kataloğu denetimleri üç mimaride de aynı şekilde uygulanır ve yetkili kullanıcıların ve işlemlerin verilerle neler yapabileceğini yönetir ve ağ duruşunuza göre değişmez.
| Architecture | Ağ denetimleri |
|---|---|
| Yönetilen güvenlik | Müşteri tarafından yönetilen VNet, SCC, arka uç klasik hesaplama düzlemi Özel Bağlantı |
| Güçlendirilmiş bağlantı | Bağlam tabanlı giriş, VPC uç noktaları, sunucusuz çıkış denetimleri ve isteğe bağlı güvenlik duvarı ekler |
| Yalıtılmış ortam | Tam özel bağlantı sağlamak için gelen Özel Bağlantı'i ve gerekli güvenlik duvarını ekler |
Yalnızca ağ denetimleri, yetkili kullanıcıların erişimi kötüye kullanmasını engellemez. Tam veri sızdırma koruması için bunları Unity Kataloğu denetimleriyle birleştirin.
Uygulama zamanları
Aşağıdaki durumlarda veri sızdırma koruması uygulayın:
- Son derece hassas veya düzenlenmiş verileri (finansal, sağlık hizmetleri, kamu) işleme.
- Uyumluluk çerçeveleri çıkış denetimlerini (örneğin SOC 2, HIPAA, PCI DSS ve FedRAMP) zorunlu hale getirdi.
- Kuruluşunuz, veri taşıma için tam görünürlük gerektirir.
- Sektör düzenlemeleri belirli bölgelere veya hizmetlere veri aktarımını yasaklar.
Important
Veri sızdırma koruması, birden çok güvenlik katmanının birlikte çalışmasını gerektirir: hem ağ denetimleri hem de veri idare denetimleri. Tek bir katman tek başına yeterli değildir.
Güvenlik katmanları
Veri sızdırma koruması birden çok güvenlik mekanizmasını birleştirir. Aşağıdaki tablo her katmanı ve Azure uygulamasını özetler:
| Güvenlik katmanı | Purpose | Implementation | Priority |
|---|---|---|---|
| Ağ denetimi | Kendi ağınızı getirin | VNet ekleme | Yüksek |
| Ağ izolasyonu | Genel erişimi ortadan kaldırma | Güvenli Küme Bağlantısı (SCC) | Yüksek |
| Özel bağlantı | Bulut hizmeti erişimi (özel) | Özel Bağlantı, özel uç noktalar | Yüksek |
| Çıkış denetimi | Giden trafiği izleme | Azure Güvenlik Duvarı veya üçüncü taraf ağ sanal gereci (NVA) | Yüksek |
| Veri idaresi | Erişim kontrolü ve denetim | Unity Kataloğu | Yüksek |
| Güvenli bağlantı | Bulut hizmeti erişimi (ücretsiz) | Hizmet uç noktası ilkelerine sahip hizmet uç noktaları | Orta |
| Sunucusuz denetimler | Sunucusuz çıkışı yönet | Ağ ilkeleri, sunucusuz çıkış ağ geçidi (SEG), NCC | Orta |
AWS ve Azure'de bu katmanları uygulayan tam başvuru mimarileri için bkz. Veri sızdırma koruma mimarisi.
Maliyetle ilgili konular
Veri sızdırma koruması, özel bağlantı ve trafik denetimi için gereken ek altyapı nedeniyle standart dağıtımlara göre daha yüksek ağ maliyetlerine sahiptir.
| Maliyet faktörü | Description |
|---|---|
| Özel Bağlantı | Özel uç nokta başına saatlik ücretler ile GB başına gelen ve giden veri işleme ücretleri. |
| Hizmet uç noktaları | Uç nokta için ek maliyet yoktur, ancak yapılandırma gerektirir. Güvenliğin izin verdiği özel uç noktalara daha düşük maliyetli alternatif. |
| Hizmet uç noktası ilkeleri | Ek ücret alınmaz. Veri aktarım maliyetlerini azaltmak ve kısıtlamayı önlemek için, Azure Databricks sistem depolaması (yapıtlar, günlükleme, sistem tabloları) için güvenlik duvarını atlatmak üzere kullanın. |
| Azure Güvenlik Duvarı veya NVA | Azure Güvenlik Duvarı: saat başına dağıtım ücreti artı GB başına işleme ücreti. Üçüncü taraf NVA: lisanslama ve VM işlem gücü. |
| Veri aktarımı | Yapıt depolama (küme düğümü başına en fazla 11 GB) dahil olmak üzere güvenlik duvarı üzerinden yönlendirilen trafik için ek ücretler. |