ABAC-Zeilenfilterung und Spaltenmaskierungsrichtlinien, verwaltete Tags und Datenklassifizierung sind jetzt allgemein in Unity Catalog verfügbar

Datenschutz mit automatisierter Governance in Unity Catalog skalieren

Wenn Datenbestände wachsen, stellt sich für jedes Unternehmen, das sensible Daten in großem Umfang verwaltet, die gleiche Frage: Wie stellen Sie sicher, dass sensible Daten über jede Tabelle hinweg konsistent geschützt werden, unabhängig davon, ob sie PII, Finanzdaten, Gesundheitsdaten oder etwas anderes enthalten, das Compliance-Anforderungen unterliegt?

KI verschärft dieses Problem weiter. Benutzer können über Genie, Agenten, APIs und mehr auf Daten zugreifen als je zuvor. Der Schutz muss mit der Nachfrage nach Daten Schritt halten, sonst schränken Zugriffssteuerungen die Ermächtigung, die die Technologie geschaffen hat, ein.

Die Antwort kann keine manuelle Konfiguration pro Tabelle sein. Es muss ein System sein, bei dem Governance-Teams die Regeln einmal definieren und der Schutz automatisch über den gesamten Datenbestand hinweg den Daten folgt, während sie erstellt und klassifiziert werden. Auf diese Weise können Benutzern und Agenten breiter Zugriff auf die Plattform gewährt werden, ohne breiten Zugriff auf sensible Daten zu erhalten.

Heute freuen wir uns, die allgemeine Verfügbarkeit von drei ergänzenden Funktionen in Unity Catalog bekannt zu geben, die dies ermöglichen: Attributbasierte Zugriffskontrollrichtlinien (ABAC) für Zeilenfilterung und Spaltenmaskierung, Governed Tags und automatisierte Datenklassifizierung.

Warum manuelles Datenmanagement und Zugriffssteuerungen nicht skalierbar sind

Drei Probleme stehen dem Schutz sensibler Daten in großem Umfang im Wege.

1. Pro Objekt konfigurierte Zugriffsregeln sind repetitiv und fehleranfällig. Wenn jede Tabelle ihren eigenen Zeilenfilter oder ihre eigene Spaltenmaske erfordert, schleichen sich subtile Unterschiede ein: unterschiedliche Maskierungslogik für denselben Spaltentyp, veraltete Regeln für ältere Tabellen, widersprüchliche Definitionen zwischen Teams.
2. Eine Durchsetzung, die auf Koordination mit Objektbesitzern beruht, hinterlässt Lücken. Datenerzeuger sind Experten für die Erstellung von Daten, aber es ist ein erheblicher Aufwand erforderlich, um sicherzustellen, dass alle Spalten klassifiziert sind und keine sensiblen Daten eingeschleust werden. Durchsetzungsschritte werden verpasst oder bleiben bei Personen hängen, die andere Aufgaben zu erledigen haben, und Lücken treten erst bei Audits oder Compliance-Prüfungen auf.
3. Die manuelle Identifizierung sensibler Daten kann mit dem Wachstum nicht Schritt halten. Neue Tabellen und Datensätze kommen kontinuierlich hinzu, und das Unternehmen erwartet, sie sofort nutzen zu können. Wenn die Erkennung von Menschen abhängt oder von Erkennungslogik, die für jeden Datentyp, der eingeht, in einzelne Pipelines einprogrammiert ist, wird sie sowohl mit den Daten als auch mit der Nachfrage hinterherhinken.

Diese Herausforderungen erfordern eine Abkehr von der manuellen, objektbasierten Governance.

Wie Unity Catalog hochgradig skalierbare Daten-Governance mit ABAC, Tags und Klassifizierung ermöglicht

Zugriffsregeln müssen dynamisch basierend auf Attributen angewendet werden, sensible Daten müssen erkannt werden, sobald sie erscheinen, und Verantwortlichkeiten müssen auf spezialisierte Rollen verteilt werden, damit keine einzelne Person zum Engpass wird. Unity Catalog vereint dies durch drei ergänzende Funktionen, gepaart mit einem Berechtigungsmodell, das die Trennung von Aufgaben ermöglicht: attributbasierte Zugriffskontrollrichtlinien (ABAC), governed tags und agentische Datenklassifizierung.

• ABAC-Richtlinien sind das dynamische Zugriffssteuerungsmodell von Unity Catalog. Es steuert den Zugriff basierend auf den Attributen der Daten, sodass eine einzelne Richtlinie viele übereinstimmende Tabellen abdecken kann, anstatt dass jede einzeln konfiguriert werden muss. Eine ABAC-Richtlinie wertet tagbasierte Bedingungen aus und wendet Zeilenfilter an, die steuern, welche Zeilen ein Benutzer sieht, und Spaltenmasken, die steuern, welche Werte ein Benutzer für bestimmte Spalten sieht, automatisch auf jedes übereinstimmende Objekt in gesamten Katalogen und Schemata. Ein Governance-Administrator definiert die Richtlinie einmal, und neue Daten werden geschützt, sobald die richtigen Tags vorhanden sind.
• Governed Tags sind die Attributgrundlage, auf der ABAC-Richtlinien aufbauen: ein Vokabular von Schlüsseln und Werten auf Kontoebene, das standardisiert, wie Daten in einem Konto beschrieben werden, mit Berechtigungen, die steuern, wer welche Tags auf welche Objekte anwenden kann. Tags sind Schlüssel- oder Schlüssel-Wert-Paare (wie sensitivity:confidential oder pii:ssn), die an Kataloge, Schemata, Tabellen und Spalten angehängt werden und von übergeordneten zu untergeordneten Objekten vererbt werden.
• Agentische Datenklassifizierung identifiziert automatisch sensible Daten (PII, PHI usw.) für Governance und Compliance. Integrierte Klassifikatoren decken Standards wie DSGVO und HIPAA ab, während benutzerdefinierte Klassifikatoren die Erkennung auf geschäftsspezifische Muster erweitern, die aus bereits getaggten Spalten gelernt wurden. Unter Verwendung bewährter Mustererkennung, Metadaten und großer Sprachmodelle liefert es eine höhere Genauigkeit als manuelle oder reine Regex-Tools. Neue Daten werden automatisch gescannt, um sicherzustellen, dass alle eingeführten sensiblen Daten erfasst werden. In Kombination mit ABAC-Richtlinien, die Daten mit übereinstimmenden Tags schützen, stellen diese Funktionen einen automatischen und skalierbaren Schutz sensibler Daten sicher.

Zusammen ermöglichen diese drei Funktionen ein Governance-Modell, das die Trennung von Aufgaben unterstützt. Governance sollte nicht von einer einzelnen Person oder einer einzelnen Rolle abhängen. Stattdessen können Verantwortlichkeiten auf spezialisierte Gruppen verteilt werden, die Experten in ihrem Bereich sind und nicht darauf angewiesen sind, dass andere ihre Arbeit erledigen. Unity Catalog unterstützt dies mit entsprechenden Berechtigungen und Grenzen für alle drei Funktionen, sodass jede Gruppe nur die Aktionen ausführen kann, für die sie verantwortlich ist.

Trennung von Aufgaben in der Praxis

Die drei Funktionen sind darauf ausgelegt, zusammenzuarbeiten. Da die Richtlinien, die Tag-Taxonomie, die Berechtigungen und die Klassifizierung alle innerhalb von Unity Catalog operieren, gibt es keine Übergabe zwischen Systemen und keinen manuellen Schritt zwischen Erkennung und Schutz.

In der Praxis sieht der Workflow wie folgt aus:

1. Definieren Sie die Taxonomie: Governance-Teams legen die Taxonomie der governed tags fest, die integrierte Klassifikatoren (abgestimmt auf Standards wie DSGVO, HIPAA, PCI), benutzerdefinierte Klassifikatoren für wiederholbare Muster und Metadaten-Tags für Geschäftskontexte wie Domänen oder Sensitivitätsstufen kombiniert.
2. Erstellen Sie ABAC-Richtlinien: Governance-Administratoren definieren Richtlinien, die sich auf diese Tags beziehen, um den Zugriff basierend auf Datenattributen zu steuern.
3. Daten automatisch klassifizieren und schützen: Die Klassifizierung läuft kontinuierlich und taggt neue Daten, sobald sie eintreffen. Stewards können nach Bedarf Tags anwenden, aus denen das System im Laufe der Zeit lernt und den manuellen Aufwand reduziert. Infolgedessen werden neu getaggte Daten sofort geschützt.
4. Ermöglichen Sie den gesteuerten Datenzugriff: Datenerzeuger erstellen Tabellen innerhalb von gesteuerten Bereichen, und Datennutzer fragen Ergebnisse ab und sehen nur die Zeilen und Spalten, auf die sie zugreifen dürfen.

„Bei Atlassian wurde die Steuerung des Datenzugriffs und der Compliance für Tausende von Benutzern und Datensätzen mit traditionellen rollenbasierten Modellen immer komplexer. ABAC in Unity Catalog hat es uns ermöglicht, granulare Zugriffsrichtlinien basierend auf Datenattributen zu definieren, wodurch der operative Aufwand für die Verwaltung von Berechtigungen in großem Maßstab erheblich reduziert wurde. Was früher eine umfangreiche manuelle Berechtigungsverwaltung erforderte, geschieht jetzt dynamisch, sodass sich unsere Teams auf die Gewinnung von Erkenntnissen konzentrieren können, anstatt den Zugriff zu verwalten.“ — Gerald Nakhle, Softwareingenieur, Atlassian

Was ist neu: Allgemeine Verfügbarkeit von ABAC-Richtlinien, Governed Tags und Datenklassifizierung

Alle drei Funktionen sind jetzt allgemein verfügbar, mit Verbesserungen, die auf das häufigste Kundenfeedback reagieren.

ABAC-Richtlinien GA: Attributbasierte Zugriffskontrolle im gesamten Datenbestand

Bei der GA skaliert ABAC für die größten Enterprise-Datenbestände und bietet Verbesserungen bei der Richtlinienbewertung und -erstellung. Zu den GA-Highlights gehören:

• Entwickelt für Enterprise-Scale-Bereitstellungen. Die Richtlinienlimits stiegen in jedem Bereich um das 10-fache, mit Unterstützung für über 10.000 Richtlinien pro Metastore und über 100 pro Katalog und Schema.
• Bewertung der Sitzungsidentität für Ansichten und Funktionen. ABAC-Richtlinien werden jetzt gegen die Identität des Benutzers ausgewertet, der die Abfrage ausführt. Benutzer sehen genau das, was ihre eigenen Berechtigungen ihnen erlauben zu sehen, auch wenn sie eine Ansicht oder Funktion abfragen.
• Eine Maskierungsfunktion für viele Spaltentypen. Eine einzelne UDF, die VARIANT akzeptiert und zurückgibt, kann INT, DOUBLE, DECIMAL und andere numerische Typen auf einmal maskieren, und der gleiche Ansatz erstreckt sich auf STRUCT-Spalten. Dies reduziert die Anzahl der Richtlinien, die Organisationen pflegen müssen.

"Weniger Richtlinien, geringere Kosten, chirurgische Präzision. ABAC hat das Data Governance von Udemy von Brute-Force zu Eleganz transformiert." — Rajit Saha | Director, Data & AI Platform, Udemy

Governed Tags GA: Datenklassifizierung mit Tags standardisieren

Bei GA bieten Governed Tags eine vollständige Lebenszyklusverwaltung über SQL, APIs und die Benutzeroberfläche sowie stärkere Administratorsteuerungen und klarere Sichtbarkeit. Zu den GA-Highlights gehören:

• Vollständige Lebenszyklusverwaltung mit SQL, APIS und UI. Administratoren können Tags mithilfe von SQL (CREATE, ALTER, DROP, SHOW, DESCRIBE GOVERNED TAG) sowie über die Benutzeroberfläche, die REST-API und Terraform erstellen, ändern und inspizieren. Dies ermöglicht eine einfache Automatisierung und Integration in bestehende Workflows.
• Workspace-Administratorsteuerungen. Workspace-Administratoren erhalten standardmäßig CREATE (konfigurierbar), während Account-Administratoren MANAGE und CREATE erhalten, was eine flexible Kontrolle über die Tag-Governance ermöglicht.
• Verbesserte Sichtbarkeit der Tag-Abdeckung und Vererbung: UI und APIs bieten klarere Einblicke, wie Tags angewendet und vererbt werden, was Teams hilft, die Abdeckung zu verfolgen, Klassifizierungsentscheidungen nachzuvollziehen und Änderungen zu überprüfen.

Agentic Data Classification GA: Daten automatisch im großen Stil erkennen und taggen

Bei GA erweitert die Klassifizierung die Compliance-Abdeckung, fügt Genauigkeitskontrollen hinzu und schaltet benutzerdefinierte Klassifikatoren für geschäftsspezifische Muster frei. Zusätzlich zu seinen aktuellen Funktionen, gehören zu den GA-Highlights:

• Vollständige Transparenz sensibler Daten an einem Ort: Sehen Sie alle erkannten Klassifizierungen in einem Workspace und bohren Sie sich zu den Fundorten, den Zugriffsberechtigten und den Stellen, an denen ABAC-Richtlinien zum Schutz erstellt werden müssen, durch.
• Human-in-the-loop-Validierung, die die Erkennungsgenauigkeit kontinuierlich verbessert. Kundenfeedback und Qualitätsbewertungen haben die Erkennungsgenauigkeit weiter verbessert. Darüber hinaus können Benutzer falsch positive Erkennungen von der Tagging ausschließen, was die Präzision zukünftiger Scans kontinuierlich verbessert.
• Erweiterte Compliance-Abdeckung. Neue Klassifikatoren decken GDPR, HIPAA, GLBA, DPDPA und PCI ab, zusammen mit regionaler Unterstützung für das Vereinigte Königreich, Deutschland, Australien und Brasilien. Zusätzliche Klassifikatoren für Indien und Kanada werden diesen Monat verfügbar sein. Die vollständige Liste finden Sie hier.
• Benutzerdefinierte Klassifikatoren in Beta. Geschäftsspezifische Kategorien werden jetzt unterstützt. Geben Sie Data Classification einen beliebigen Governed Tag, und das System identifiziert automatisch übereinstimmende Spalten. Erkennungsmuster werden aus vorhandenen getaggten Spalten und Metadaten des Unity Catalog gelernt und passen sich automatisch an Ihre Daten an.

„Mit dem Wachstum unseres Unternehmens werden manuelle Ansätze zur Datenidentifizierung und zum Datenschutz immer schwieriger aufrechtzuerhalten. Databricks' agentic Data Classification ersetzt manuellen Aufwand durch automatisierte, qualitativ hochwertige Ergebnisse, die kostengünstiger mit Wert skalieren. Data Classification kann dazu beitragen, kontinuierliche Transparenz darüber zu schaffen, wo sich Schlüsseldaten in unseren Umgebungen befinden. Benutzerdefinierte Klassifikatoren können sich an unsere spezifischen Datenmuster anpassen und so die Zugriffs- und Compliance-Verwaltung rationalisieren. Attributbasierte Zugriffssteuerungsrichtlinien (ABAC) können uns ausstatten, um Compliance-Bemühungen durch Klassifizierung mit reduziertem manuellem Aufwand zu skalieren.“ — Nan Wu, Software Engineer, Superhuman

Erste Schritte mit ABAC, Governed Tags und Data Classification in Unity Catalog

ABAC-Richtlinien, Governed Tags und Data Classification sind heute in Unity Catalog verfügbar.

• ABAC-Dokumentation: Erfahren Sie, wie Sie Zeilenfilter, Spaltenmasken und gängige Richtlinienmuster definieren
• Governed Tags-Dokumentation: Erstellen und verwalten Sie Tag-Definitionen und -Berechtigungen
• Data Classification-Dokumentation: Klassifizierungen und sensible Daten in allen Katalogen automatisch erkennen für Compliance-Posture.

Diese drei Funktionen bilden die Grundlage für skalierbare Data Governance in Unity Catalog. Wenn Ihr Datenbestand wächst, wächst auch die Pipeline zum Organisieren, Erkennen und Schützen mit ihm.

Mehr erfahren auf dem Data and AI Summit

Besuchen Sie uns in San Francisco, 15.–18. Juni 2026, um zu sehen, wie der Data + AI Summit die Zukunft der attributbasierten Zugriffssteuerung und Data Governance gestaltet.

(Dieser Blogbeitrag wurde mit KI-gestützten Tools übersetzt.) Originalbeitrag