Unity Catalog에서 속성 기반 액세스 제어(ABAC)로 데이터 거버넌스를 확장하는 방법

조직이 분석 및 AI를 가속화하기 위해 데이터에 대한 액세스를 민주화함에 따라 대규모로 제어를 유지하는 것이 점점 더 복잡해지고 있습니다. 행 및 열 수준 보안과 같은 기존의 세분화된 액세스 제어(FGAC)는 정밀도를 제공하지만, 종종 객체 수준에 직접 적용되므로 데이터 자산이 확장됨에 따라 중복 및 일관성 없는 관리가 발생합니다.

ABAC(속성 기반 액세스 제어)는 거버넌스 팀이 카탈로그 또는 스키마 수준에서 태그 기반 정책을 정의하여 현재 및 미래의 모든 테이블과 보기에 자동으로 상속되도록 함으로써 이 문제를 해결합니다. 이 접근 방식은 반복적인 자산별 규칙을 제거하면서 일관된 보호와 최소 권한 액세스를 보장합니다.

행 및 열 수준 보안 정책을 위한 Unity Catalog의 ABAC는 관리 태그 및 데이터 분류를 ABAC와 결합하여 데이터 팀이 PII와 같은 민감한 필드를 자동으로 마스킹하거나 제한하면서 나머지 데이터세트는 분석에 액세스할 수 있도록 하여 안전하고 확장 가능한 데이터 민주화를 실현할 수 있도록 지원합니다.

이 블로그에서는 Unity Catalog에서 ABAC가 작동하는 방식, 태그 지정 및 분류와 통합되는 방식, 그리고 Public Preview에 포함된 내용에 대해 자세히 살펴보겠습니다.

Unity Catalog의 속성 기반 액세스 제어란 무엇인가요?

ABAC는 액세스 결정이 조건부이며 카탈로그, 스키마, 테이블, 뷰와 같은 Unity Catalog의 보안 가능한 객체의 속성을 기반으로 하는 보안 모델입니다. 이러한 속성은 조직의 데이터 분류 표준에 따라 정의하고 리소스에 적용한 다음, ABAC 정책에서 활용할 수 있습니다. 카탈로그와 스키마에서 테이블과 열로 정책을 상속할 수 있으므로 모든 자산에 걸쳐 활용도가 높은 거버넌스를 제공할 수 있습니다.

Unity Catalog의 ABAC 공개 미리 보기는 현재 다음을 지원합니다.

• 열 마스크: 속성을 기반으로 민감한 값을 자동으로 수정합니다. 예: 'sensitive'로 태그된 모든 열을 '*****'로 마스킹합니다.
• 행 필터: 특정 그룹 및 사용자에게 표시되는 테이블 행을 제어합니다. 예: '판매' 태그가 지정된 테이블을 필터링하여 영업팀이 자신의 지역에 해당하는 행만 볼 수 있도록 합니다.

ABAC의 장점: 

• 거버넌스 확장: 카탈로그 또는 스키마 수준에서 정책을 한 번 정의하고 아직 존재하지 않는 미래의 테이블 및 뷰를 포함하는 상속을 통해 모든 곳에 적용하세요.
• 액세스 정책 단순화: 테이블별 권한을 피하고 복잡한 뷰 기반 해결 방법을 제거합니다.
• 가드레일 설정: 거버넌스 관리자는 중앙 집중식 정책을 작성하여 일관된 시행을 보장하고 하위 수준 관리자가 재정의할 수 없도록 할 수 있습니다.
• 민감한 데이터 자동 보호: 데이터 분류와 결합하여 새로운 데이터 세트와 열이 생성될 때 수동 작업 없이 민감한 필드를 자동으로 태그하고 보호합니다. 

“Databricks ABAC와 열 마스킹 기능으로 민감한 데이터세트를 대규모로 동적 마스킹할 수 있게 되면서 저희의 주요 워크플로의 제약이 해소되었습니다. 거버넌스 태그를 사용하는 중앙 집중식 계층형 정책 설계는 정책 관리 및 적용에 단순성과 유연성을 더해줍니다. 더 폭넓게 도입됨에 따라 액세스 제어 및 데이터 보호에 대한 포괄적이고 확장 가능한 거버넌스 스토리를 달성하는 데 도움이 될 것으로 낙관합니다.” — 난 우, Grammarly

ABAC 작동 방식

ABAC 정책은 자동화를 위해 Governed Tags 및 Data Classification 을 활용합니다. Governed Tags는 표준화된 계정 수준 태그로, 거버넌스 팀이 태그의 허용 값과 태그를 할당할 사용자를 정의할 수 있습니다. Data Classification은 여기에서 더 나아가 민감한 열과 테이블을 자동으로 식별하고 레이블을 지정하여, ABAC가 행 및 열 수준 액세스 정책을 적용할 수 있는 기반을 마련해 줍니다.

이 기능들을 통해 관리자는 규칙을 한 번만 정의하여 카탈로그, 스키마, 테이블 및 다운스트림 자산 전반에 적용할 수 있습니다. 상속을 통해 반복적인 수작업 없이 일관된 시행을 보장합니다. 예를 들어, 데이터 분류가 email_address 또는 phone_number와 같은 민감한 열에 태그를 지정하면 ABAC 정책은 승인된 팀을 제외한 모든 사용자에 대해 해당 필드를 자동으로 마스킹할 수 있습니다.

Governed Tags, Data Classification, ABAC를 결합하면 데이터 팀은 민감한 데이터 자동 분류 → 계정 수준 태그 적용 → 대규모로 정책 자동 적용으로 이어지는 연속적인 워크플로를 얻게 됩니다. 데모 에서 실제 작동 모습을 확인해 보세요!

마지막으로 ABAC 퍼블릭 프리뷰의 일환으로 다음 기능도 추가됩니다.

• Delta Sharing 지원: 데이터 제공자는 공유 소유자가 정책에서 제외된 경우 ABAC 정책으로 데이터 자산을 공유할 수 있으며, 수신자는 필요에 따라 공유 데이터에 대한 새 ABAC 정책을 만들 수 있습니다.
• AI 기반 정책 생성: 데이터를 마스킹하는 방법을 자연어로 설명하면 Databricks Assistant가 이를 자동으로 성능이 뛰어난 SQL 함수로 변환합니다.

• 구체화된 뷰, 스트리밍 테이블, 외부 테이블 지원: 이제 ABAC 정책이 실시간 및 외부에서 관리되는 데이터 자산을 포함한 더 광범위한 테이블 유형에 일관되게 적용됩니다.
• 지원, 다양한 데이터 유형에 걸쳐 재사용 가능한 UDF: 공유 UDF를 사용하여 다양한 열 유형에 걸쳐 마스킹 로직을 재사용할 수 있으므로 정책 작성이 간소화되고 유지 관리 노력이 줄어듭니다.
• Shallow clone 및 시간 이동과의 호환성: 정책이 복제본과 기록 테이블 버전에 걸쳐 유지되어 개발, 테스트, 디버깅 워크플로 중에도 일관된 보호를 보장합니다.

시작하기 

이제 AWS, Azure Databricks, GCP에서 행 필터 및 열 마스킹 정책에 대해 ABAC를 공개 미리 보기로 사용할 수 있습니다. 자세한 내용은 ABAC 설명서 를 확인하세요. 관리형 태그 및 데이터 분류 도 공개 미리 보기에서 사용할 수 있습니다.

Unity Catalog를 시작하려면 AWS,Azure, GCP 에서 제공되는 Unity Catalog 가이드를 따르세요.

(이 글은 AI의 도움을 받아 번역되었습니다. 원문이 궁금하시다면 여기를 클릭해 주세요)