Proteção de exfiltração de dados
A proteção contra exfiltração de dados é uma abordagem de defesa em profundidade que combina controles de rede com controles de governança de dados. Isso se aplica às três arquiteturas de segurança de rede. Esta página descreve como combinar controles no nível de rede e controles do Unity Catalog para evitar a transferência de dados não autorizada em implantações do Databricks.
Para arquiteturas de referência completas que implementam esses controles, consulte Arquitetura de proteção contra exfiltração de dados.
O que é proteção contra exfiltração de dados?
A exfiltração de dados é a transferência não autorizada de dados confidenciais para fora do seu ambiente Databricks. Com a proteção contra exfiltração de dados, é possível evitar a exploração de caminhos de rede abertos, armazenamento mal configurado, regras de egresso excessivamente permissivas ou credenciais comprometidas. É possível também impedir que os usuários com acesso legítimo façam download dos resultados de query ou gravem em um destino externo não aprovado.
Controles de rede bloqueiam os caminhos de rede não autorizados; o Unity Catalog controla o que usuários autorizados e o compute podem fazer com os dados que têm permissão para acessar. São necessários ambos.
Controles de rede :
- Isolamento de rede : Implantar cargas de trabalho em redes privadas sem acesso público à internet.
- Conectividade privada : Use o PrivateLink para acessar serviços de cloud sem exposição à internet.
- Controle de saída: controlar o acesso de saída usando controles baseados em firewall ou proxy.
- **Políticas de acesso ao armazenamento**: Restringem quais contas de armazenamento e serviços as cargas de trabalho podem acessar.
Unity Catalog Controles :
- Controle de acesso padrão : Permissões
GRANTeREVOKEem catálogos, esquemas, tabelas e volumes. - Controle de acesso baseado em atributos (ABAC) : Governa o acesso a dados com base em atributos (tags) anexados a objetos de dados, não apenas pela identidade do objeto.
- Filtros de linha e máscaras de coluna: Aplicar segurança em nível de linha e de coluna para restringir o que os usuários veem em uma tabela.
- Ligações de catálogo de workspace : Isolar quais workspaces podem acessar quais dados.
- Registro de auditoria : captura todo o acesso a dados para monitoramento e compliance.
Como se relaciona com cada arquitetura de rede
A profundidade dos controles de rede escala com a arquitetura escolhida. Os controles do Unity Catalog aplicam-se identicamente em todas as três arquiteturas e governam o que usuários autorizados e o compute podem fazer com os dados e não se alteram com base na sua postura de rede.
Arquitetura | Controles de rede |
|---|---|
VPC gerenciada pelo cliente, SCC, PrivateLink do plano de compute clássico de backend | |
Adiciona entrada baseada em contexto, endpoints de VPC, controles de saída serverless e firewall opcional | |
Adiciona PrivateLink de entrada e firewall necessário para conectividade privada completa. |
Controles de rede, por si só, não impedem que usuários autorizados façam mau uso do acesso. Combine-os com os controles do Unity Catalog para proteção completa contra exfiltração de dados.
Quando implementar
Implemente proteção contra exfiltração de dados quando:
- Gerenciando dados altamente confidenciais ou regulamentados (financeiros, saúde, governamentais).
- As estruturas de compliance exigem controles de egresso (por exemplo, SOC 2, HIPAA, PCI DSS e FedRAMP).
- Sua organização requer visibilidade completa do movimento de dados.
- As regulamentações do setor proíbem a transferência de dados para regiões ou serviços específicos.
A proteção contra exfiltração de dados requer várias camadas de segurança trabalhando juntas: controles de rede e controles de governança de dados. Nenhuma camada única é suficiente por si só.
Camadas de segurança
A proteção de exfiltração de dados combina vários mecanismos de segurança. A tabela a seguir resume cada camada e sua implementação na AWS:
Camada de segurança | Propósito | Implementação | Prioridade |
|---|---|---|---|
Isolamento de rede | Eliminar acesso público | VPC gerenciada pelo cliente, SCC | Alta |
Conectividade privada | Acesso seguro a serviços de cloud | PrivateLink, endpoints VPC | Alta |
Inspeção de saída | Monitorar o tráfego de saída | Dispositivo de firewall de terceiros (como Palo Alto) integrado com Gateway Load Balancer | Alta |
Controles serverless | Controlar saída serverless | Políticas de rede | Alta |
Governança de dados | Controle de acesso e auditoria | Unity Catalog | Alta |
Para as arquiteturas de referência completas que implementam essas camadas na AWS e no Azure, consulte Arquitetura de proteção contra exfiltração de dados.
Considerações de custo
A proteção contra exfiltração de dados tem custos de rede mais altos do que as implantações padrão devido à infraestrutura adicional necessária para conectividade privada e inspeção de tráfego.
Fator de custo | Descrição |
|---|---|
PrivateLink | Custos de transferência de dados por GB por meio de endpoints de interface de VPC para o plano de controle do Databricks e retransmissão SCC. |
endpoints de interface de VPC | Custos de endpoint por hora para STS, Kinesis e quaisquer serviços não-gateway. |
endpoint de gateway S3 | Não há custo para o endpoint em si. |
Firewall externo | AWS Network Firewall (processamento por endpoint e por GB) ou licenciamento de dispositivo de terceiros e compute EC2/GLB. |
Transferência de dados | Custos adicionais para tráfego roteado através de firewall, gateway NAT ou caminhos entre Zonas de Disponibilidade (AZ). |