データ流出防止対策
データ流出対策は、ネットワーク制御とデータガバナンス制御を組み合わせた多層防御アプローチです。3つのネットワークセキュリティアーキテクチャすべてに適用されます。このページでは、ネットワークレベルのコントロールとUnity Catalogコントロールを組み合わせて、Databricksデプロイにおける不正なデータ転送を防ぐ方法について説明します。
これらの制御を実装するエンドツーエンドのリファレンスアーキテクチャについては、「データ漏えい対策アーキテクチャ」を参照してください。
データ流出防止とは何ですか?
データ流出は、Databricks 環境からの機密データの不正な転送です。データ抜き取り保護機能により、オープンなネットワークパス、構成が誤っているストレージ、権限が過度に緩いエグレスルール、または侵害された資格情報の悪用を回避できます。正当なアクセス権を持つユーザーによるクエリ結果のダウンロード、または未承認の外部への書き込みを禁止することもできます。
ネットワーク制御は、不正なネットワークパスを遮断します。Unity Catalogの制御は、許可されたユーザーとコンピュートが、アクセスを許可されたデータで実行できることを管理します。両方が必要です。
ネットワーク制御:
- ネットワーク分離:パブリックインターネットアクセスを持たないプライベートネットワークにワークロードをデプロイします。
- プライベート接続 :PrivateLink を使用すると、インターネットに公開せずにクラウドサービスにアクセスできます。
- エグレス制御:ファイアウォールまたはプロキシベースの制御を使用して、送信アクセスを制御します。
- ストレージアクセス ポリシー :ワークロードがアクセスできるストレージアカウントとサービスを制限します。
Unity Catalog のコントロール:
- 標準アクセス制御 : カタログ、スキーマ、テーブル、ボリュームに対する
GRANTおよびREVOKEの権限。 - 属性ベースのアクセス制御 (ABAC) :オブジェクトの識別情報だけでなく、データオブジェクトにアタッチされた属性(タグ)に基づいてデータアクセスを管理します。
- 行フィルターと列マスク: ユーザーがテーブル内で閲覧できる内容を制限するために、行レベルおよび列レベルのセキュリティを適用します。
- ワークスペースカタログバインディング :どのワークスペースがどのデータにアクセスできるかを分離します。
- 監査ログ :モニタリングとコンプライアンスのために、すべてのデータアクセスをキャプチャします。
それぞれのネットワークアーキテクチャとの関連性
選択するアーキテクチャによって、ネットワーク制御の深度は異なります。Unity Catalog の管理は、3つのすべてのアーキテクチャにわたって同様に適用され、承認されたユーザーとコンピュートがデータで実行できる内容を管理し、ネットワーク構成に基づいて変更されることはありません。
アーキテクチャ | ネットワーク制御 |
|---|---|
顧客管理VPC、SCC、バックエンドクラシックコンピュートプレーン PrivateLink | |
コンテキストベースのイングレス、VPCエンドポイント、サーバレスエグレス制御、およびオプションのファイアウォール | |
完全なプライベート接続のために、インバウンドPrivateLinkおよび必要なファイアウォールを追加します。 |
ネットワーク制御だけでは、権限のあるユーザーがアクセスを不正利用することを防ぐことはできません。完全なデータ持ち出し保護のために、Unity Catalog の制御とそれらを組み合わせてください。
いつ実装するか
データ流出防止対策を実装する場合:
- 金融、医療、政府関連といった機密性が高く規制対象となるデータの取り扱い。
- コンプライアンスフレームワークでは、送信制御 (例: SOC 2、HIPPA、PCI DSS、FedRAMP など) が必須とされています。
- 組織はデータ移動の完全な可視性を持つ必要があります。
- 業界規制は、特定の地域またはサービスへのデータ転送を禁止しています。
データ流出防止には、ネットワーク制御とデータガバナンス制御の両方を含む、連携する複数のセキュリティレイヤーが必要です。単一のレイヤーだけでは不十分です。
セキュリティレイヤー
データ流出防止は、複数のセキュリティメカニズムを組み合わせています。次の表は、各レイヤーとそのAWS実装をまとめたものです。
セキュリティ レイヤー | 目的 | 導入 | 優先順位 |
|---|---|---|---|
ネットワーク分離 | パブリックアクセスを無効にする | 顧客管理VPC、SCC | 高 |
プライベート接続 | セキュアなクラウドサービスへのアクセス | PrivateLink、VPCエンドポイント | 高 |
エグレス検査 | アウトバウンドトラフィックの監視 | ゲートウェイロードバランサーと統合されたサードパーティ製ファイアウォールアプライアンス(Palo Altoなど) | 高 |
サーバレス制御 | サーバレス出力の管理 | ネットワークポリシー | 高 |
データガバナンス | アクセス制御と監査 | Unity Catalog | 高 |
AWSとAzureにこれらのレイヤーを実装する完全なリファレンスアーキテクチャについては、データ持ち出し防止アーキテクチャを参照してください。
コストの考慮事項
データ流出防止対策は、プライベート接続とトラフィック検査に必要となる追加のインフラストラクチャのため、標準的なデプロイメントと比較してネットワークコストが高くなります。
コスト要因 | 説明 |
|---|---|
PrivateLink | Databricks コントロールプレーンおよび SCC リレーに対するインターフェース VPC エンドポイントを介した GB あたりのデータ転送料金。 |
VPCインターフェイスエンドポイント | STS、Kinesis、および非ゲートウェイサービスの時間単位のエンドポイント料金。 |
S3 ゲートウェイエンドポイント | エンドポイント自体には料金はかかりません。 |
外部ファイアウォール | AWS Network Firewall (エンドポイントごとおよびGBごとの処理) またはサードパーティ製アプライアンスライセンス および EC2/GLB コンピュート。 |
データ転送 | ファイアウォール、NATゲートウェイ、またはクロスAZパスを経由するトラフィックには、追加料金が発生します。 |