Como escala a governança de dados com o controle de acesso baseado em atributos no Unity Catalog

À medida que as organizações democratizam o acesso aos dados para acelerar a analítica e a AI, manter o controle em escala torna-se cada vez mais complexo. Os controles de acesso refinados (FGAC) tradicionais, como a segurança em nível de linha e coluna, fornecem precisão, mas costumam ser aplicados diretamente no nível do objeto, resultando em duplicação e gerenciamento inconsistente à medida que os ambientes de dados se expandem..

O Controle de Acesso Baseado em Atributos (ABAC) soluciona esse desafio permitindo que as equipes de governança definam políticas orientadas por tags no nível do catálogo ou do esquema, onde são herdadas automaticamente por todas as tabelas e views atuais e futuras. Essa abordagem garante proteção consistente e acesso de privilégio mínimo, eliminando regras repetitivas, ativo por ativo.

O ABAC no Unity Catalog para políticas de segurança em nível de linha e coluna combina Governed tags e Data Classification com ABAC, permitindo que as equipes de dados mascarem ou restrinjam automaticamente campos confidenciais (como PII), mantendo o restante do dataset acessível para análise, viabilizando assim uma democratização de dados segura e escalável.

Neste blogs, vamos explicar como o ABAC funciona no Unity Catalog, como ele se integra à tags e classificação e o que está incluído na Public Preview.

O que é o Controle de Acesso Baseado em Atributos no Unity Catalog?

O ABAC é um modelo de segurança no qual as decisões de acesso são condicionais e baseadas em atributos de objetos protegíveis no Unity Catalog, como catálogos, esquemas, tabelas e views. Esses atributos podem ser definidos de acordo com os padrões de classificação de dados de uma organização, aplicados a recursos e, em seguida, aproveitados em políticas ABAC. As políticas podem ser herdadas de catálogos e esquemas para tabelas e colunas, proporcionando governança de alto nível em todos os ativos.

A Pré-visualização Pública do ABAC do Unity Catalog atualmente oferece suporte a:

• Máscaras de coluna: redija automaticamente valores confidenciais com base em atributos. Exemplo: tag qualquer coluna marcada como "confidencial" com "*****"
• Filtros de linha: Controle quais linhas da tabela são visíveis para grupos e usuários específicos. Exemplo: filtre todas as tabelas com as tags 'ventas' para garantir que as equipes de ventas só possam ver as linhas pertencentes à sua região

Benefícios do ABAC: 

• Governança em escala: Defina políticas uma vez no nível do catálogo ou do esquema e aplique-as em todos os lugares por meio de herança, o que inclui tabelas e views futuras que ainda não existem
• Simplifique as políticas de acesso: Evite permissões tabela por tabela e elimine soluções alternativas complexas com base em views.
• Definir mecanismos de proteção: os administradores de governança podem criar políticas centralizadas que garantem a aplicação consistente e não podem ser substituídas por administradores de nível inferior.
• Proteja dados confidenciais automaticamente: Combine com o Data Classification para adicionar tags e proteger campos confidenciais automaticamente, sem esforço manual, à medida que novos datasets e colunas são criados. 

O ABAC da Databricks com mascaramento de colunas desbloqueou um fluxo de trabalho importante para nós ao permitir o mascaramento dinâmico de datasets confidenciais em escala. O design centralizado e hierárquico de políticas, com tags governadas, traz simplicidade e flexibilidade para o gerenciamento e a aplicação de políticas. Com uma adoção mais ampla se aproximando, estamos otimistas de que isso nos ajudará a alcançar uma solução de governança abrangente e escalonável em controle de acesso e proteção de dados.” — Nan Wu, Grammarly

Como o ABAC funciona

As políticas ABAC utilizam tags governadas e Classificação de Dados para automação. As tags governadas são tags padronizadas no nível da account que permitem que as equipes de governança definam os valores permitidos da tag e quais usuários têm permissão para atribuí-las. A Classificação de Dados leva essa ideia ainda mais longe, identificando e rotulando automaticamente colunas e tabelas confidenciais, dando ao ABAC uma base para aplicar políticas de acesso em nível de linha e de coluna.

Juntos, esses recursos permitem que os administradores definam regras uma vez e as apliquem em catálogos, esquemas, tabelas e ativos subsequentes. A herança garante a aplicação consistente sem esforço manual repetitivo. Por exemplo, depois que o Data Classification tags colunas confidenciais como email_address ou phone_number, uma política ABAC pode mascarar automaticamente esses campos para todos os usuários, exceto equipes autorizadas.

Ao combinar Tags Gerenciadas, Classificação de Dados e ABAC, as equipes de dados obtêm um fluxo de trabalho contínuo: classificar automaticamente dados confidenciais → aplicar tags no nível da account → aplicar políticas automaticamente em escala. Confira nossa demonstração para ver isso em ação! 

Finalmente, como parte da Public Preview do ABAC, também estamos adicionando:

• Suporte para Delta Sharing: Os provedores de dados podem compartilhar ativos de dados com políticas ABAC quando o proprietário do compartilhamento é excluído da política, e os destinatários podem criar novas políticas ABAC em dados compartilhados conforme necessário.
• Criação de políticas com tecnologia de AI: Descreva como os dados devem ser mascarados em linguagem natural, e o Databricks Assistant os converte automaticamente em uma função SQL de alto desempenho.

• Suporte para views materializadas, tabelas de transmissão e tabelas externas: As políticas ABAC agora se aplicam de forma consistente a uma variedade maior de tipos de tabela, incluindo ativos de dados em tempo real e gerenciados externamente.
• Suporte para UDFs reutilizáveis em vários tipos de dados: Você pode reutilizar a lógica de mascaramento em diferentes tipos de coluna com UDFs compartilhados, simplificando a criação de políticas e reduzindo o esforço de manutenção.
• Compatibilidade com shallow clone e viagem do tempo: As políticas persistem em clones e versões históricas da tabela, garantindo proteção consistente mesmo durante os fluxos de trabalho de desenvolvimento, teste e depuração.

Comece agora 

O ABAC já está disponível em Pré-visualização Pública na AWS, no Azure Databricks e no GCP para políticas de filtro de linha e mascaramento de coluna. Confira a documentação do ABAC para mais detalhes. Tags Gerenciadas e Classificação de Dados também estão disponíveis em Pré-visualização Pública. 

Para começar a usar o Unity Catalog, siga os guias do Unity Catalog disponíveis para AWS, Azure e GCP.

(This blog post has been translated using AI-powered tools) Original Post