数据外泄保护是一种深度防御方法,可将网络控件与数据管理控制相结合。 它适用于所有三 种网络安全体系结构。 本页介绍如何结合网络级控件和 Unity Catalog 控件,以防止在 Azure Databricks 部署中发生未经授权的数据传输。
有关实现这些控件的端到端参考体系结构,请参阅 数据外泄保护体系结构。
什么是数据外泄保护?
数据外泄是指未经授权将敏感数据从您的 Azure Databricks 环境中传出。 借助数据外泄保护,可以避免利用开放网络路径、配置不当的存储、过度宽松的出口规则或泄露的凭据。 还可以阻止拥有合法访问权限的用户下载查询结果,或将其写入未经批准的外部目的地。
网络控制会阻断未经授权的网络路径;Unity Catalog 控制则用于规定获授权的用户和计算资源可以对其获准访问的数据执行哪些操作。 两个都需要。
网络控制:
- 网络隔离:在没有公共 Internet 访问的专用网络中部署工作负荷。
- 专用连接:使用 专用链接 在无需暴露于互联网的情况下访问云服务。
- 出口控制:使用防火墙或基于代理的控制来控制出站访问。
- 存储访问策略:限制哪些存储帐户和服务工作负载可以访问。
Unity 目录控件:
-
标准访问控制:
GRANT和REVOKE目录、架构、表和卷的权限。 - 基于属性的访问控制(ABAC):基于附加到数据对象的属性(标记)管理数据访问,而不仅仅是对象标识。
- 行筛选器和列掩码:应用行级别和列级安全性以限制用户在表中看到的内容。
- 工作区目录绑定:隔离哪些工作区可以访问哪些数据。
- 审计日志:记录所有数据访问,以用于监控和合规。
它与每个网络体系结构的关系
网络控制功能的深度会随所选架构而变化。 Unity 目录控件适用于所有三种体系结构,并控制授权用户和计算可以对数据执行的操作,并且不会根据网络状况进行更改。
| Architecture | 网络控制措施 |
|---|---|
| 托管安全 | 客户管理的 VNet、SCC、后端经典计算平面专用链接 |
| 强化的连接 | 添加基于上下文的入站控制、VPC 端点、无服务器出站控制和可选防火墙 |
| 独立环境 | 为完全专用连接添加入站专用链接和所需的防火墙 |
仅网络控制不会阻止授权用户误用访问。 将它们与 Unity 目录控件相结合,实现完整的数据外泄保护。
何时实现
在以下情况下实现数据外泄保护:
- 处理高度敏感的或受监管的数据(财务、医疗保健、政府)。
- 合规性框架强制实施出口控制(例如 SOC 2、HIPAA、PCI DSS 和 FedRAMP)。
- 你的组织需要完全了解数据移动。
- 行业法规禁止向特定区域或服务传输数据。
Important
数据外泄保护需要多个安全层协同工作:网络控制和数据管理控制。 没有一个层本身就足够了。
安全层
数据外泄保护结合了多种安全机制。 下表汇总了每个层及其Azure实现:
| 安全层 | Purpose | Implementation | Priority |
|---|---|---|---|
| 网络控制 | 自带网络 | VNet 注入 | 高 |
| 网络隔离 | 移除公共访问权限 | 安全群集连接 (SCC) | 高 |
| 私有连接 | 云服务访问(专用) | 专用链接,专用终结点 | 高 |
| 出口检查 | 监视出站流量 | Azure 防火墙或第三方网络虚拟设备(NVA) | 高 |
| 数据管理 | 访问控制和审核 | 统一目录 | 高 |
| 安全连接 | 云服务访问(免费) | 具有服务终端节点策略的服务终端节点 | 中等 |
| 无服务器控件 | 治理无服务器出口 | 网络策略、无服务器出口网关(SEG)、NCC | 中等 |
有关在 AWS 和 Azure 上实现这些层的完整参考体系结构,请参阅 Data 外泄保护体系结构。
成本注意事项
由于专用连接和流量检查所需的额外基础结构,数据外泄保护的网络成本高于标准部署。
| 成本因素 | Description |
|---|---|
| 专用链接 | 每个专用终结点的每小时费用,以及每 GB 入站和出站数据处理费用。 |
| 服务终结点 | 端点本身不产生额外费用,但需要进行配置。 在安全性允许的情况下,作为专用终结点的低成本替代方案。 |
| 服务终结点策略 | 无额外费用。 用于绕过防火墙访问 Azure Databricks 系统存储(工件、日志、系统表),以降低数据传输成本并避免限流。 |
| Azure 防火墙 或 NVA | Azure 防火墙:按小时收取部署费用,外加按每 GB 收取处理费用。 第三方 NVA:许可证费用加虚拟机计算费用。 |
| 数据传输 | 经防火墙路由的流量会产生额外费用,包括工件存储费用(每个集群节点最多 11 GB)。 |