Databricks에서 다음 수준의 신원 보안 소개

신원 보안의 미래는 비밀번호 없는, 상황 인식이 가능하며, 무마찰인 것이며, 우리는 계속해서 Databricks에서 그 미래를 향해 구축하고 있습니다. 우리는 Databricks Data Intelligence Platform 에서 인증 강화, 신원 프로비저닝 자동화, 안전한 프로그래밍 방식의 접근을 가능하게 하는 새로운 기능을 도입하여 고객이 현대적이고 확장 가능한 신원 및 접근 제어를 쉽게 구현할 수 있도록 도와줍니다.

다시 한번 알려드립니다, Databricks 관리 비밀번호 는 2024년 7월 10일에 수명을 다하였으며, 이제 UI 또는 API 인증에서 지원되지 않습니다. 비밀번호 없는 미래를 더욱 지원하기 위해, 우리는 또한 Databricks 관리 다중 요소 인증(MFA)의 일반 사용 가능성을 발표합니다.

더 많은 고객들이 데이터와 AI 접근을 민주화하기 위해 Databricks에 의존함에 따라, 프로그래밍 방식의 접근을 보호하는 것이 어느 때보다 중요해졌습니다. 장기 API 토큰 위험을 줄이기 위해, 우리는 몇 가지 새로운 제어 방법을 도입했습니다:

• 90일 동안 비활성 상태인 개인 액세스 토큰(PATs) 자동 폐기
• 새로 생성된 PATs의 최대 수명은 2년으로, 이제 기본적으로 자격 증명이 무기한으로 유지되지 않습니다
• 액세스 토큰 보고서의 일반 사용 가능성, 관리자에게 토큰 사용 및 위험에 대한 더 깊은 통찰력 제공

이러한 업데이트는 NIST, PCI DSS, ISO를 포함한 진화하는 산업 표준의 방향과 일치하며, 이들은 비밀번호 복잡성에서 더 똑똑하고 적응성 있는 신원 프레임워크로 전환하고 있습니다.

새로운 기능에 대한 더 깊은 이해와 그것을 최대한 활용하는 방법에 대해 알아봅시다.

AWS에서 통합 로그인을 통해 당신의 SSO 관리를 간소화하세요

모든 고객을 통합 로그인으로 이동시키고 있습니다. 여기서 SSO는 개별 작업 공간에서 구성할 필요가 없습니다. 통합 로그인은 계정의 모든 Databricks 작업 공간에 즉시 단일 로그인(SSO)을 제공합니다.

통합 로그인을 사용하면 하나의 계정 수준 SSO 구성을 관리할 수 있습니다. 이는 관리자에게 덜한 오버헤드, 사용자에게 일관된 접근 정책, 그리고 전반적으로 더 강한 보안 자세를 의미합니다. MFA를 사용한 SSO 비상 접근과 결합하여, 통합 로그인은 관리자에게 안전한 대체 방안을 제공하며, 유연성을 희생하지 않고 중앙 집중적인 제어를 보장합니다. 

통합 로그인은 이미 수천 개의 프로덕션 워크스페이스에서 사용되고 있으며, 고객들은 이제 이를 이용한 이전을 계획해야 합니다. 2024년 12월부터 모든 새로운 계정 수준 SSO 설정은 기본적으로 통합 로그인에 자동으로 선택됩니다. 이는 롤아웃을 간소화하고, AI/BI 대시보드 공유, Genie Spaces, Apps와 같은 기능을 사용하기 위해 새로운 사용자들이 추가 구성 없이 시작할 수 있게 합니다. 우리는 ASAP로 모든 작업 공간을 통합 로그인으로 이동하도록 권장합니다. 

통합 로그인을 활성화하기 위한 모범 사례

계정의 단일 SSO 설정을 사용하려면, 신원 제공자(IdP)의 구성이 모든 워크스페이스 사용자가 Databricks 계정에 인증할 수 있도록 허용하는지 확인하십시오. 완료되면, 기존 워크스페이스를 통합 로그인을 사용하여 계정 수준 SSO를 재사용하도록 선택할 수 있습니다. 마지막으로, 혼동을 피하기 위해 오래된 워크스페이스 특정 IdP 타일을 제거하십시오.

Databricks가 관리하는 다중 요소 인증(MFA)으로 기본적으로 안전하게 보호하세요

SSO는 중앙 집중식 신원 관리에 대한 최선의 방법입니다. 신원 제공자(IdP)에서 MFA를 활성화하면 회사의 보안 정책과 일치하며, 전체 사용자 기반에 걸쳐 일관된, 정책 준수 접근 방식을 보장합니다. 

우리는 소개하게 되어 기쁩니다 Databricks 관리 MFA, 이제 모든 AWS 계정에서 일반적으로 사용 가능하며 아직 단일 로그인(SSO)을 구성하지 않았습니다. 이 새로운 기능을 사용하면 관리자가 모든 사용자에 대해 다중 요소 인증(MFA)을 강제로 적용하여 조직 전체의 보안을 강화할 수 있습니다. 인기 있는 인증 앱 및 패스키를 지원하므로 MFA 설정이 빠르고 쉽습니다. 관리자는 계정 콘솔을 통해 이를 활성화할 수 있습니다.

자동 신원 관리를 통해 Azure Databricks에 새로운 사용자를 빠르게 프로비저닝 

자동 신원 관리, 이제 Microsoft Entra ID에 대해 Public Preview에서 사용 가능하며, 사용자, 그룹, 서비스 주체와 원래 통합하여 안전하고 실시간 액세스 관리를 가능하게 합니다. 커넥터 앱이나 수동 동기화가 필요하지 않습니다. 더욱이, 중첩 그룹과 서비스 주체를 포함하는 그룹도 존중하여 복잡한 신원 계층에 걸쳐 일관된 액세스 제어를 보장합니다. 

우리의 주요 사용 사례 중 하나는 AI/BI 대시보드 또는 Databricks 앱의 공유를 간소화하는 것입니다. 여기서 실무자들은 워크스페이스에 있는지 여부와 상관없이 조직 내의 모든 사용자와 공유할 수 있습니다. 이를 통해 대시보드 소유자는 아직 Databricks에 없는 Entra ID 신원을 포함한 모든 사용자와 AI/BI 대시보드 또는 앱을 공유하여 원활하고 안전한 협업을 가능하게 합니다. 새로운 사용자는 공유된 콘텐츠에 접근할 때만 자동으로 프로비저닝되며, 그들이 볼 수 있고 사용할 수 있는 것만을 보장하기 위해 특정 권한만 상속받습니다. 이는 관리자의 시간을 절약하고 조직이 팀 전체에 데이터 인사이트를 확장하는 것을 용이하게 합니다. 자세한 내용은 우리의 출시 블로그를 참조하세요.

 

새로운 관리 도구를 사용하여 개인 액세스 토큰을 모니터링하고 관리하세요

개인 액세스 토큰(PATs)을 새로운 토큰 모니터링 도구로 제어하세요, 이제 AWS, Azure, 그리고 GCP에서 공개 미리보기 중입니다. PATs 대신 OAuth 액세스 토큰을 사용하는 것을 권장하며, 이 모니터링 도구들은 활성 PATs에 대한 전체 가시성을 제공하고, 생존 시간(TTL) 제한을 강제하며, 손상되거나 사용되지 않는 토큰의 빠른 폐기를 가능하게 함으로써 위험을 줄이고 액세스 위생을 개선하는 데 도움이 됩니다.

관리자는 이제 새로운 토큰 보고서 탭을 통해 이 정보에 접근할 수 있습니다. 여기서 계정 관리자는 특정 사용자 또는 워크스페이스에 속한 활성 토큰을 찾을 수 있습니다. 이를 사용하여 만료되지 않도록 설정된 오래된 토큰이나 한 달 동안 활성 사용이 없는 토큰을 찾을 수 있습니다. 특히 워크스페이스 관리자의 개인 접근 토큰을 찾아 필요하지 않은 경우 취소하는 것을 추천합니다. 

OAuth 토큰 연합을 사용하여 프로그래밍 방식 액세스를 보호하세요

고객이 API 기반 접근을 보안하도록 돕기 위해, 우리는 OAuth 토큰 연합에 대한 추가 지원을 발표하게 되어 기쁩니다. 이는 곧 AWS, Azure, 그리고 GCP에서 일반적으로 사용 가능할 것입니다. 토큰 연합은 응용 프로그램이 신뢰하는 IdP의 토큰을 사용하여 Databricks에 인증하도록 허용하므로, 정적 토큰이나 비밀번호와 같은 Databricks 비밀을 저장할 필요가 없습니다.

토큰 연합을 두 수준에서 구성할 수 있습니다: 

1. 계정 전체: 계정의 모든 사용자와 서비스 주체에 대해 토큰 연합을 활성화합니다. 모든 작업 부하에 대해 일관된 제어를 강제하려는 보안 의식이 높은 조직을 위한 것입니다
2. 개별 서비스 주체 수준(워크로드 신원 연합으로도 알려짐): 특정 애플리케이션에 대한 세밀한 제어를 구현하기 위해

OAuth 토큰 연합은 서비스 주체를 대량으로 관리하는 고객에게 특히 강력합니다. 예를 들어, GitHub Actions에 대해 100개 이상의 서비스 주체를 사용하고 있다면, 이들을 토큰 연합으로 이전하고 100개 이상의 장기 Databricks 관리 비밀을 저장하고 회전하는 필요성을 제거할 수 있습니다.

계정 관리자는 Databricks CLI 버전 0.239.0 이상 또는 Databricks 계정 전체 및 서비스 주체 토큰 연합 REST API를 사용하여 계정 수준 연합 정책을 구성할 수 있습니다.

Databricks에서 인증을 강화하는 방법

새로운 제품 기능 외에도, 우리는 회사 환경에서도 모범을 보입니다. Databricks에서는 중앙 집중식 단일 로그인 외에도 다음을 구현했습니다:

• FIDO2 장치를 통한 하드웨어 기반 다중 요소 인증
• 장치 신뢰, 지리적 위치 및 행동 패턴을 포함하는 컨텍스트 인식 인증
• 우리의 위협 정보 소스로부터의 침해된 비밀번호 감지에 대한 자동 응답
• 더 나은 비밀번호를 장려하기 위해 분기별 강제 비밀번호 변경에서 연간 강제 비밀번호 변경으로 이동
• 최소 권한 데이터셋 수준 인증으로, 표준이 아닌 테이블에 접근이 필요한 사용자는 전체 다른 역할 대신 해당 테이블에만 인증될 수 있습니다.

총체적으로 이는 우리 직원들에게 자원에 대한 직접적인 액세스를 제공하면서 강력한 보안 자세를 유지합니다.

Databricks에서의 신원 보안 현대화 여정이 여기에서 시작됩니다

MFA를 처음 시작하든 전체 자동화를 채택하려는 경우에도, Databricks는 당신이 걸어가는 모든 단계에서 도구와 통합을 지원합니다.

보안 위험을 줄이고 이러한 기능을 최대한 활용하기 위해 다음과 같은 모범 사례를 권장합니다:

• 계정 수준에서 SSO 활성화
• 모든 사용자에게 MFA 요구
• API 접근을 위한 OAuth 연합 사용
• 이상 활동에 대한 인증 로그를 모니터링합니다

빠르게 시작하려면, 우리의 신원 확인 모범 사례 가이드가 AWS, Azure 그리고 GCP 에서 시작하는 것이 좋습니다. 

6월 9일부터 12일까지 샌프란시스코의 모스코니 센터에서 데이터 + AI 서밋에서 Identity and Access Management 제품 및 엔지니어링 팀에 가입하세요! 데이터 및 AI 거버넌스의 최신 혁신을 첫 눈에 보고, 우리의 신원 및 접근 관리 세션을 확인하세요: 

• 더 빠르고 안전한 데이터 접근을 위한 Unity 카탈로그와 함께 신원 보안 사용

• 액세스 해제: Databricks를 이용한 대규모에서의 신원 관리 간소화

• 기업 내 모든 사용자에게 AI/BI 안전 배포

 지금 등록하여 자리를 확보하세요!

 

(이 글은 AI의 도움을 받아 번역되었습니다. 원문이 궁금하시다면 여기를 클릭해 주세요)