Políticas de filtrado de filas ABAC y enmascaramiento de columnas, etiquetas gobernadas y clasificación de datos ya están disponibles de forma general en Unity Catalog

Escala la protección de datos con gobernanza automatizada en Unity Catalog

A medida que las bases de datos de datos crecen, cada organización que gestiona datos sensibles a escala se enfrenta a la misma pregunta: ¿cómo garantizar que los datos sensibles estén protegidos de manera consistente en cada tabla, ya sea que contenga PII, registros financieros, datos de salud o cualquier otra cosa sujeta a requisitos de cumplimiento?

La IA aumenta aún más este problema. Los usuarios pueden acceder a los datos de más maneras que antes, a través de Genie, agentes, API y más. La protección tiene que seguir el ritmo de la demanda de datos, o los controles de acceso terminan limitando el empoderamiento que ha creado la tecnología.

La respuesta no puede ser la configuración manual por tabla. Tiene que ser un sistema donde los equipos de gobernanza definan las reglas una vez, y la protección siga los datos automáticamente en toda la base de datos de datos a medida que se crea y clasifica. De esa manera, los usuarios y agentes pueden recibir acceso amplio a la plataforma sin recibir acceso amplio a datos sensibles.

Hoy, nos complace anunciar la disponibilidad general de tres capacidades complementarias en Unity Catalog que hacen esto posible: políticas de control de acceso basado en atributos (ABAC) para filtrado de filas y enmascaramiento de columnas, etiquetas gobernadas y clasificación automatizada de datos.

Por qué la gobernanza de datos manual y los controles de acceso no escalan

Tres problemas se interponen en el camino de la protección de datos sensibles a escala.

1. Las reglas de acceso configuradas por objeto son repetitivas y propensas a inconsistencias. Cuando cada tabla requiere su propio filtro de fila o máscara de columna, surgen diferencias sutiles: lógica de enmascaramiento diferente para el mismo tipo de columna, reglas obsoletas en tablas más antiguas, definiciones conflictivas entre equipos.
2. La aplicación que depende de la coordinación con los propietarios de objetos deja lagunas. Los productores de datos son expertos en la creación de datos, pero hay una sobrecarga significativa para garantizar que todas las columnas estén clasificadas y que no se filtren datos sensibles. Los pasos de aplicación se omiten o se detienen en personas que tienen otros trabajos que hacer, y las lagunas solo aparecen durante las auditorías o las comprobaciones de cumplimiento.
3. La identificación manual de datos sensibles no puede seguir el ritmo del crecimiento. Nuevas tablas y registros de datos llegan continuamente, y el negocio espera usarlos de inmediato. Si la detección depende de humanos, o de lógica de detección codificada manualmente en canalizaciones individuales para cada tipo de datos que ingresa, se quedará atrás tanto de los datos como de la demanda.

Estos desafíos requieren un cambio de la gobernanza manual por objeto.

Cómo Unity Catalog permite la gobernanza de datos de alto apalancamiento con ABAC, etiquetas y clasificación

Las reglas de acceso deben aplicarse dinámicamente en función de los atributos, los datos sensibles deben detectarse a medida que aparecen y las responsabilidades deben distribuirse entre roles especializados para que ninguna persona sea un cuello de botella. Unity Catalog une esto a través de tres capacidades complementarias, combinadas con un modelo de permisos que permite la separación de funciones: políticas de control de acceso basado en atributos (ABAC), etiquetas gobernadas y clasificación de datos agentica.

• Las políticas ABAC son el modelo dinámico de control de acceso de Unity Catalog. Controla el acceso en función de los atributos de los datos, por lo que una sola política puede cubrir muchas tablas coincidentes en lugar de que cada una se configure individualmente. Una política ABAC evalúa condiciones basadas en etiquetas y aplica filtros de fila, que controlan qué filas ve un usuario, y máscaras de columna, que controlan qué valores ve un usuario para columnas específicas, automáticamente a cada objeto coincidente en catálogos y esquemas completos. Un administrador de gobernanza define la política una vez, y los nuevos datos obtienen protección tan pronto como las etiquetas correctas estén en su lugar.
• Las etiquetas gobernadas son la base de atributos sobre la que se basan las políticas ABAC: un vocabulario de claves y valores a nivel de cuenta que estandariza cómo se describen los datos en una cuenta, con permisos que controlan quién puede aplicar qué etiquetas a qué objetos. Las etiquetas son pares de clave o clave-valor (como sensibilidad:confidencial o pii:ssn) que se adjuntan a catálogos, esquemas, tablas y columnas, y se heredan de objetos padre a hijo.
• La clasificación de datos agentica identifica automáticamente datos sensibles (PII, PHI, etc.) para la gobernanza y el cumplimiento. Los clasificadores integrados cubren estándares como GDPR y HIPAA, mientras que los clasificadores personalizados extienden la detección a patrones específicos del negocio aprendidos de columnas ya etiquetadas. Utilizando reconocimiento de patrones probado, metadatos y modelos de lenguaje grandes, ofrece una mayor precisión que las herramientas manuales o solo de expresiones regulares. Los nuevos datos se escanean automáticamente para garantizar que se detecten los datos sensibles introducidos. Combinadas con las políticas ABAC que protegen los datos con etiquetas coincidentes, estas capacidades garantizan la protección automática y escalable de los datos sensibles.

Juntas, estas tres capacidades permiten un modelo de gobernanza que admite la separación de funciones. La gobernanza no debe depender de una sola persona o un solo rol. En cambio, las responsabilidades se pueden distribuir entre grupos especializados que son expertos en su área y no tienen que depender de otros para hacer su trabajo. Unity Catalog admite esto con los permisos y límites apropiados en las tres capacidades, para que cada grupo solo pueda realizar las acciones de las que es responsable.

Separación de funciones en la práctica

Las tres capacidades están diseñadas para funcionar juntas. Dado que las políticas, la taxonomía de etiquetas, los permisos y la clasificación operan dentro de Unity Catalog, no hay traspaso entre sistemas ni pasos manuales entre el descubrimiento y la protección.

En la práctica, el flujo de trabajo se ve así:

1. Definir la taxonomía: Los equipos de gobernanza establecen la taxonomía de etiquetas gobernadas, combinando clasificadores integrados (alineados con estándares como GDPR, HIPAA, PCI), clasificadores personalizados para patrones repetibles y etiquetas de metadatos para contexto de negocio como dominios o niveles de sensibilidad.
2. Crear políticas ABAC: Los administradores de gobernanza definen políticas que hacen referencia a estas etiquetas para controlar el acceso en función de los atributos de los datos.
3. Clasificar y proteger datos automáticamente: La clasificación se ejecuta continuamente, etiquetando nuevos datos a medida que llegan. Los administradores pueden aplicar etiquetas según sea necesario, de las cuales el sistema aprende con el tiempo, lo que reduce el esfuerzo manual. Como resultado, los datos recién etiquetados se protegen de inmediato.
4. Habilitar el acceso a datos gobernados: Los productores de datos crean tablas dentro de ámbitos gobernados, y los consumidores de datos consultan resultados, viendo solo las filas y columnas a las que tienen permiso de acceso.

“En Atlassian, gobernar el acceso a los datos y el cumplimiento en miles de usuarios y conjuntos de datos se estaba volviendo cada vez más complejo con los modelos tradicionales basados en roles. ABAC en Unity Catalog nos ha permitido definir políticas de acceso detalladas basadas en atributos de datos, lo que reduce significativamente la sobrecarga operativa de la gestión de permisos a escala. Lo que antes requería una gestión exhaustiva de permisos manual ahora ocurre dinámicamente, lo que permite a nuestros equipos centrarse en ofrecer información en lugar de gestionar el acceso.” — Gerald Nakhle, Ingeniero de Software, Atlassian

Novedades: Disponibilidad general para políticas ABAC, etiquetas gobernadas y clasificación de datos

Las tres capacidades están ahora disponibles de forma general, con mejoras que abordan los comentarios más comunes de los clientes.

Políticas ABAC GA: control de acceso basado en atributos en toda la base de datos de datos

En GA, ABAC escala a las bases de datos de datos empresariales más grandes y agrega mejoras a la evaluación y autoría de políticas. Los aspectos más destacados de GA incluyen:

• Diseñado para implementaciones a escala empresarial. Los límites de políticas crecieron 10 veces en cada ámbito, con soporte para más de 10,000 políticas por metastore y más de 100 por catálogo y esquema.
• Evaluación de identidad de sesión para vistas y funciones. Las políticas ABAC ahora se evalúan contra la identidad del usuario que ejecuta la consulta. Los usuarios ven exactamente lo que sus propios permisos les permiten ver, incluso cuando consultan a través de una vista o función.
• Una función de enmascaramiento para muchos tipos de columnas. Una única UDF que acepta y devuelve VARIANT puede enmascarar INT, DOUBLE, DECIMAL y otros tipos numéricos a la vez, y el mismo enfoque se extiende a las columnas STRUCT. Esto reduce la cantidad de políticas que las organizaciones necesitan mantener.

"Menos políticas, menores costos, precisión quirúrgica. ABAC transformó la gobernanza de datos de Udemy de fuerza bruta a elegancia." — Rajit Saha | Director, Plataforma de Datos e IA, Udemy

Etiquetas gobernadas GA: estandariza la clasificación de datos con etiquetas

En GA, las etiquetas gobernadas agregan administración completa del ciclo de vida a través de SQL, API e UI, además de controles de administrador más sólidos y una visibilidad más clara. Los aspectos destacados de GA incluyen:

• Administración completa del ciclo de vida con SQL, API e UI. Los administradores pueden crear, modificar e inspeccionar etiquetas usando SQL (CREATE, ALTER, DROP, SHOW, DESCRIBE GOVERNED TAG), así como la UI, la API REST y Terraform. Esto permite una fácil automatización e integración en los flujos de trabajo existentes.
• Controles de administrador del espacio de trabajo. Los administradores del espacio de trabajo reciben CREATE por defecto (configurable) mientras que los administradores de la cuenta reciben MANAGE y CREATE, lo que permite un control flexible sobre la gobernanza de etiquetas.
• Visibilidad mejorada de la cobertura y herencia de etiquetas: La UI y las API brindan una visión más clara de cómo se aplican y heredan las etiquetas, lo que ayuda a los equipos a rastrear la cobertura, rastrear las decisiones de clasificación y auditar los cambios.

Clasificación de datos agentica GA: detecta y etiqueta datos automáticamente a escala

En GA, la clasificación amplía la cobertura de cumplimiento, agrega controles de precisión y desbloquea clasificadores personalizados para patrones específicos del negocio. Además de sus capacidades actuales, los aspectos destacados de GA incluyen:

• Visibilidad completa de los datos confidenciales en un solo lugar: Vea todas las clasificaciones detectadas en un espacio de trabajo y profundice en dónde se encontraron, quién tiene acceso y dónde se deben crear políticas ABAC para su protección.
• Validación de humano en el bucle que mejora continuamente la precisión de la detección. Los comentarios de los clientes y las evaluaciones de calidad han mejorado aún más la precisión de la detección. Además, los usuarios pueden excluir cualquier detección de falsos positivos de ser etiquetada, lo que mejora continuamente la precisión de los escaneos futuros.
• Cobertura de cumplimiento ampliada. Los nuevos clasificadores cubren GDPR, HIPAA, GLBA, DPDPA y PCI, junto con soporte regional en el Reino Unido, Alemania, Australia y Brasil. Se agregarán clasificadores adicionales para India y Canadá este mes. La lista completa se puede encontrar aquí.
• Clasificadores personalizados en Beta. Ahora se admiten categorías específicas del negocio. Asigne a la Clasificación de Datos cualquier Etiqueta Gobernadas y el sistema identificará automáticamente las columnas coincidentes. Los patrones de detección se aprenden de las columnas etiquetadas existentes y de los metadatos circundantes de Unity Catalog, adaptándose automáticamente a sus datos.

“A medida que nuestra empresa crece, los enfoques manuales para la identificación y protección de datos se vuelven cada vez más difíciles de mantener. La Clasificación de Datos agentica de Databricks reemplaza la sobrecarga manual con resultados automatizados y de alta calidad que escalan el costo más con el valor. La Clasificación de Datos puede ayudar a proporcionar visibilidad continua sobre dónde residen los datos clave en nuestros entornos. Los clasificadores personalizados pueden adaptarse a nuestros patrones de datos específicos, ayudando a optimizar la administración del acceso y el cumplimiento. Las políticas de control de acceso basado en atributos (ABAC) pueden equiparnos para escalar los esfuerzos de cumplimiento a través de la clasificación con una sobrecarga manual reducida.” — Nan Wu, Ingeniero de Software, Superhuman

Comenzando con ABAC, etiquetas gobernadas y clasificación de datos en Unity Catalog

Las políticas ABAC, las etiquetas gobernadas y la clasificación de datos están disponibles hoy en Unity Catalog.

• Documentación de ABAC: aprenda a definir filtros de fila, máscaras de columna y patrones de políticas comunes
• Documentación de Etiquetas Gobernadas: cree y administre definiciones de etiquetas y permisos
• Documentación de Clasificación de Datos: detecte automáticamente clasificaciones y datos confidenciales en todos los catálogos para la postura de cumplimiento.

Estas tres capacidades representan la base de la gobernanza de datos escalable en Unity Catalog. A medida que su patrimonio de datos crece, el pipeline de organizar-detectar-proteger crece con él.

Más información en Data and AI Summit

Únase a nosotros en San Francisco, del 15 al 18 de junio de 2026, para ver cómo Data + AI Summit está dando forma al futuro del control de acceso basado en atributos y la gobernanza de datos.

(Esta entrada del blog ha sido traducida utilizando herramientas basadas en inteligencia artificial) Publicación original