Políticas de filtragem de linhas e mascaramento de colunas ABAC, tags governadas e classificação de dados agora estão geralmente disponíveis no Unity Catalog

Proteja dados em escala com governança automatizada no Unity Catalog

À medida que os ambientes de dados crescem, toda organização que gerencia dados sensíveis em escala se depara com a mesma pergunta: como garantir que dados sensíveis sejam protegidos de forma consistente em todas as tabelas, seja contendo PII, registros financeiros, dados de saúde ou qualquer outro item sujeito a requisitos de conformidade?

A IA intensifica ainda mais esse problema. Os usuários podem acessar dados de mais maneiras do que antes, por meio de Genie, agentes, APIs e muito mais. A proteção precisa acompanhar a demanda por dados, ou os controles de acesso acabam limitando o empoderamento que a tecnologia criou.

A resposta não pode ser configuração manual por tabela. Deve ser um sistema onde as equipes de governança definem as regras uma vez, e a proteção acompanha os dados automaticamente em todo o ambiente de dados à medida que ele é criado e classificado. Dessa forma, os usuários e agentes podem ter acesso amplo à plataforma sem ter acesso amplo a dados sensíveis.

Hoje, temos o prazer de anunciar a Disponibilidade Geral de três recursos complementares no Unity Catalog que tornam isso possível: políticas de Controle de Acesso Baseado em Atributos (ABAC) para filtragem de linhas e mascaramento de colunas, Tags Governadas e Classificação Automática de Dados.

Por que a governança manual de dados e os controles de acesso não escalam

Três problemas impedem a proteção de dados sensíveis em escala.

1. Regras de acesso configuradas por objeto são repetitivas e propensas a inconsistências. Quando cada tabela requer seu próprio filtro de linha ou máscara de coluna, diferenças sutis surgem: lógica de mascaramento diferente para o mesmo tipo de coluna, regras desatualizadas em tabelas mais antigas, definições conflitantes entre equipes.
2. Aplicação que depende de coordenação com proprietários de objetos deixa lacunas. Produtores de dados são especialistas em criar dados, mas há uma sobrecarga significativa para garantir que todas as colunas sejam classificadas e que nenhum dado sensível passe despercebido. As etapas de aplicação são perdidas ou travam em pessoas que têm outras tarefas, e as lacunas só aparecem durante auditorias ou verificações de conformidade.
3. Identificação manual de dados sensíveis não acompanha o crescimento. Novas tabelas e registros de dados chegam continuamente, e o negócio espera usá-los imediatamente. Se a detecção depende de humanos, ou de lógica de detecção codificada manualmente em pipelines individuais para cada tipo de dado que chega, ela ficará atrás tanto dos dados quanto da demanda.

Esses desafios exigem uma mudança da governança manual, por objeto.

Como o Unity Catalog habilita governança de dados de alta alavancagem com ABAC, tags e classificação

As regras de acesso precisam ser aplicadas dinamicamente com base em atributos, os dados sensíveis precisam ser detectados à medida que aparecem, e as responsabilidades precisam ser distribuídas entre funções especializadas para que nenhuma pessoa seja um gargalo. O Unity Catalog une tudo isso por meio de três recursos complementares, combinados com um modelo de permissão que permite a separação de funções: políticas de controle de acesso baseado em atributos (ABAC),tags governadas e classificação de dados agentic.

• Políticas ABAC são o modelo dinâmico de controle de acesso do Unity Catalog. Ele controla o acesso com base nos atributos dos dados, de modo que uma única política possa abranger muitas tabelas correspondentes em vez de cada uma ser configurada individualmente. Uma política ABAC avalia condições baseadas em tags e aplica filtros de linha, que controlam quais linhas um usuário vê, e máscaras de coluna, que controlam quais valores um usuário vê para colunas específicas, automaticamente a cada objeto correspondente em catálogos e esquemas inteiros. Um administrador de governança define a política uma vez, e novos dados adquirem proteção assim que as tags corretas são aplicadas.
• Tags governadas são a base de atributos sobre a qual as políticas ABAC se constroem: um vocabulário de chaves e valores em nível de conta que padroniza como os dados são descritos em uma conta, com permissões que controlam quem pode aplicar quais tags a quais objetos. Tags são pares de chave ou chave-valor (como sensibilidade:confidencial ou pii:ssn) que se anexam a catálogos, esquemas, tabelas e colunas, e herdam de objetos pais para filhos.
• Classificação agentic de dados identifica automaticamente dados sensíveis (PII, PHI, etc.) para governança e conformidade. Classificadores integrados cobrem padrões como GDPR e HIPAA, enquanto classificadores personalizados estendem a detecção para padrões específicos do negócio aprendidos a partir de colunas já taggeadas. Usando reconhecimento de padrões comprovado, metadados e grandes modelos de linguagem, ele oferece maior precisão do que ferramentas manuais ou apenas baseadas em regex. Novos dados são escaneados automaticamente para garantir que qualquer dado sensível introduzido seja capturado. Combinadas com políticas ABAC que protegem dados com tags correspondentes, essas funcionalidades garantem a proteção automática e escalável de dados sensíveis.

Juntas, essas três funcionalidades permitem um modelo de governança que suporta separação de funções. A governança não deve depender de uma única pessoa ou função. Em vez disso, as responsabilidades podem ser distribuídas entre grupos especializados que são especialistas em sua área e não precisam depender de outros para fazer seu trabalho. O Unity Catalog suporta isso com as permissões e limites apropriados em todas as três funcionalidades, para que cada grupo só possa executar as ações pelas quais é responsável.

Separação de funções na prática

As três funcionalidades são projetadas para trabalhar juntas. Como as políticas, a taxonomia de tags, as permissões e a classificação operam dentro do Unity Catalog, não há transferência entre sistemas e nenhuma etapa manual entre descoberta e proteção.

Na prática, o fluxo de trabalho se parece com isto:

1. Defina a taxonomia: As equipes de governança estabelecem a taxonomia de tags governadas, combinando classificadores integrados (alinhados a padrões como GDPR, HIPAA, PCI), classificadores personalizados para padrões repetíveis e tags de metadados para contexto de negócios como domínios ou níveis de sensibilidade.
2. Crie políticas ABAC: Administradores de governança definem políticas que referenciam essas tags para controlar o acesso com base nos atributos dos dados.
3. Classifique e proteja dados automaticamente: A classificação é executada continuamente, taggeando novos dados à medida que chegam. Os curadores podem aplicar tags conforme necessário, o que o sistema aprende com o tempo, reduzindo o esforço manual. Como resultado, os dados recém-taggeados são protegidos imediatamente.
4. Habilite o acesso governado a dados: Produtores de dados criam tabelas dentro de escopos governados, e consumidores de dados consultam resultados, vendo apenas as linhas e colunas que têm permissão para acessar.

“Na Atlassian, governar o acesso a dados e a conformidade em milhares de usuários e conjuntos de dados estava se tornando cada vez mais complexo com os modelos tradicionais baseados em funções. O ABAC no Unity Catalog nos permitiu definir políticas de acesso de granularidade fina com base em atributos de dados, reduzindo significativamente a sobrecarga operacional de gerenciar permissões em escala. O que antes exigia gerenciamento extensivo de permissões manuais agora acontece dinamicamente, permitindo que nossas equipes se concentrem em fornecer insights em vez de gerenciar o acesso.” — Gerald Nakhle, Engenheiro de Software, Atlassian

Novidades: Disponibilidade Geral para políticas ABAC, tags governadas e classificação de dados

Todas as três funcionalidades estão agora geralmente disponíveis, com melhorias que abordam o feedback mais comum dos clientes.

Políticas ABAC GA: controle de acesso baseado em atributos em todo o ambiente de dados

No GA, o ABAC escala para os maiores ambientes de dados empresariais e adiciona aprimoramentos à avaliação e autoria de políticas. Os destaques do GA incluem:

• Construído para implantações em escala empresarial. Os limites de políticas cresceram 10x em todos os escopos, com suporte para mais de 10.000 políticas por metastore e mais de 100 por catálogo e esquema.
• Avaliação de identidade de sessão para visualizações e funções. Políticas ABAC agora são avaliadas contra a identidade do usuário que executa a consulta. Os usuários veem exatamente o que suas próprias permissões permitem que eles vejam, mesmo quando consultam por meio de uma visualização ou função.
• Uma função de mascaramento para muitos tipos de coluna. Uma única UDF que aceita e retorna VARIANT pode mascarar INT, DOUBLE, DECIMAL e outros tipos numéricos de uma vez, e a mesma abordagem se estende a colunas STRUCT. Isso reduz o número de políticas que as organizações precisam manter.

"Menos políticas, custos menores, precisão cirúrgica. ABAC transformou a governança de dados da Udemy de força bruta para elegância." — Rajit Saha | Diretor, Plataforma de Dados e IA, Udemy

Tags governadas em GA: padronize a classificação de dados com tags

Em GA, tags governadas adicionam gerenciamento completo do ciclo de vida em SQL, APIs e UI, além de controles de administrador mais fortes e visibilidade mais clara. Os destaques do GA incluem:

• Gerenciamento completo do ciclo de vida com SQL, APIs e UI. Administradores podem criar, modificar e inspecionar tags usando SQL (CREATE, ALTER, DROP, SHOW, DESCRIBE GOVERNED TAG), bem como a UI, API REST e Terraform. Isso permite automação fácil e integração em fluxos de trabalho existentes.
• Controles de administrador do workspace. Administradores de workspace recebem CREATE por padrão (configurável), enquanto administradores de conta recebem MANAGE e CREATE, permitindo controle flexível sobre a governança de tags.
• Visibilidade aprimorada da cobertura e herança de tags: UI e APIs fornecem insights mais claros sobre como as tags são aplicadas e herdadas, ajudando as equipes a rastrear a cobertura, as decisões de classificação e auditar alterações.

Classificação de dados agentic em GA: Detecte e marque dados automaticamente em escala

Em GA, a classificação expande a cobertura de conformidade, adiciona controles de precisão e desbloqueia classificadores personalizados para padrões específicos de negócios. Além de suas capacidades atuais, os destaques do GA incluem:

• Visibilidade completa de dados confidenciais em um só lugar: Visualize todas as classificações detectadas em um workspace e detalhe onde foram encontradas, quem tem acesso e onde as políticas ABAC precisam ser criadas para proteção.
• Validação human-in-the-loop que melhora continuamente a precisão da detecção. O feedback do cliente e as avaliações de qualidade melhoraram ainda mais a precisão da detecção. Além disso, os usuários podem excluir quaisquer detecções de falsos positivos de serem marcadas, o que melhora continuamente a precisão das varreduras futuras.
• Cobertura de conformidade expandida. Novos classificadores cobrem GDPR, HIPAA, GLBA, DPDPA e PCI, juntamente com suporte regional no Reino Unido, Alemanha, Austrália e Brasil. Classificadores adicionais para Índia e Canadá estarão disponíveis este mês. A lista completa pode ser encontrada aqui.
• Classificadores personalizados em Beta. Categorias específicas de negócios agora são suportadas. Dê à Classificação de Dados qualquer Tag Governada e o sistema identificará automaticamente colunas correspondentes. Padrões de detecção são aprendidos a partir de colunas já marcadas e metadados circundantes do Unity Catalog, adaptando-se automaticamente aos seus dados.

“À medida que nossa empresa cresce, abordagens manuais para identificação e proteção de dados se tornam cada vez mais difíceis de sustentar. A Classificação de Dados agentic da Databricks substitui a sobrecarga manual por resultados automatizados e de alta qualidade que escalam o custo com valor. A Classificação de Dados pode ajudar a fornecer visibilidade contínua sobre onde os dados-chave residem em nossos ambientes. Classificadores personalizados podem se adaptar aos nossos padrões de dados específicos, ajudando a simplificar o gerenciamento de acesso e conformidade. Políticas de controle de acesso baseado em atributos (ABAC) podem nos equipar para escalar os esforços de conformidade por meio da classificação com sobrecarga manual reduzida.” — Nan Wu, Engenheira de Software, Superhuman

Começando com ABAC, tags governadas e classificação de dados no Unity Catalog

Políticas ABAC, tags governadas e classificação de dados estão disponíveis hoje no Unity Catalog.

• Documentação ABAC: Aprenda como definir filtros de linha, máscaras de coluna e padrões de política comuns
• Documentação de Tags Governadas: Crie e gerencie definições de tags e permissões
• Documentação de Classificação de Dados: Detecte classificações e dados confidenciais automaticamente em todos os catálogos para postura de conformidade.

Essas três funcionalidades representam a base da governança de dados escalável no Unity Catalog. À medida que seu parque de dados cresce, o pipeline de organizar-detectar-proteger cresce com ele.

Saiba mais no Data and AI Summit

Junte-se a nós em São Francisco, de 15 a 18 de junho de 2026, para ver como o Data + AI Summit está moldando o futuro do controle de acesso baseado em atributos e da governança de dados.

(Esta publicação no blog foi traduzida utilizando ferramentas baseadas em inteligência artificial) Publicação original