Databricks에서 데이터 유출 보호를 위한 통합 접근 방식
Databricks에서 무단 데이터 이동을 완화하기 위한 종합적인 프레임워크와 권장 사항.
Summary
- 데이터 플랫폼에 대한 데이터 유출을 맥락화하기 위한 통합된 세 가지 요구사항 프레임워크를 도입합니다.
- 신원 관리부터 작업 공간 제한에 이르기까지 구현 시급성에 따라 구성된 19개의 우선 순위 보안 제어를 제공합니다.
- AWS의 Databricks, Azure Databricks, 그리고 GCP의 Databricks에서 통합된 컨트롤.
개요
데이터 유출은 오늘날 조직이 직면하는 가장 심각한 보안 위험 중 하나입니다. 이는 민감한 고객 또는 사업 정보를 노출시켜, GDPR과 같은 법률에 따른 평판 피해와 규제 벌금을 초래할 수 있습니다. 문제는 유출이 외부 공격자, 내부자의 실수, 또는 악의적인 내부자를 통해 다양한 방식으로 발생하며, 피해가 발생할 때까지 종종 감지하기 어렵다는 것입니다.
보�안 및 클라우드 팀은 직원들이 SaaS 도구와 클라우드 서비스를 사용하여 작업을 수행할 수 있도록 하면서 이러한 위험을 방지해야 합니다. 수백 가지의 서비스가 동작하면서 가능한 모든 데이터 유출 경로를 분석하는 것은 압도적일 수 있습니다.
이 블로그에서는 AWS, Azure, GCP에서 Databricks의 데이터 유출을 방지하기 위한 통합 접근 방식을 소개합니다. 우리는 위험을 평가하는 프레임워크를 형성하는 세 가지 핵심 보안 요구사항으로 시작합니다. 그런 다음 이 요구사항들을 우선 순위에 따라 구성된 19가지 실용적인 제어 방법에 매핑하여, 첫 번째 Databricks 보안 전략을 구축하든 기존의 것을 강화하든 적용할 수 있습니다.
데이터 유출 보호 제어 방법을 분류하기 위한 프레임워크:
우리는 관련 데이터 유출 보호 제어를 매핑하기 위한 포괄적인 프레임워크를 형성할 세 가지 핵심 기업 요구사항을 정의하는 것으로 시작하겠습니다:
- 모든 사용자/클라이언트 접근은 신뢰할 수 있는 위치에서 강력하게 인증됩니다:
- 모든 접근은 인증을 받아야 하며 신뢰할 수 있는 위치에서 시작되어야 하며, 이를 통해 사용자와 클라이언트는 승인된 네트워크를 통해 시스템에만 접근할 수 있도록 확인된 신원 제어를 통해 보장합니다.
- 신뢰할 수 없는 저장 위치, 공개 또는 개인 엔드포인트에 대한 접근 금지:
- 컴퓨트 엔진은 관리자가 승인한 저장소와 엔드포인트에만 접근해야 하며, 이를 통해 데이터 유출을 불법적인 목적지로 방지하고 악의적인 서비스에 대해 보호합니다.
- 모든 데이터 접근은 신뢰할 수 있는 작업부하에서 이루어집니다:
- 저장 시스템은 승인된 컴퓨팅 리소스만 접근을 허용해야 하며, 신뢰할 수 없는 시스템에서 자격 증명이 손상된 경우에도 최종 검증 계층을 생성합니다.
전반적으로, 이 세 가지 요구사항이 함께 작동하여 조직의 보안 경계를 넘어 불법적인 데이터 이동을 촉진할 수 있는 사용자 행동을 해결합니다. 그러나, 이 세 가지 요구사항을 하나의 전체로 생각하는 것이 중요합니다. 요구사항 중 하나에서 제어 조치에 빈틈이 있다면, 전체 아키텍처의 보안 태세에 지장을 줍니다.
다음 섹션에서는 각 개별 요구사항에 매핑된 특정 컨트롤을 살펴볼 것입니다.
Databricks를 위한 데이터 유출 보호 전략:
가독성과 간결성을 위해, 관련 요구 사항에 따른 각 제어는 다음과 같이 구성됩니다: 아키텍처 구성 요소, 위험 시나리오, 해당 완화 방안, 구현 우선 순위, 클라우드 특정 문서.
구현 우선 순위에 대한 범례는 다음과 같습니다:
- 높음 - 즉시 구현하십시오. 이러한 제어는 환경이나 사용 사례에 관계없이 모든 Databricks 배포에 필수적입니다.
- MEDIUM - 귀하의 조직의 위험 허용도와 특정 Databricks 사용 패턴에 따라 평가하십시오.
- LOW - 작업 공간 환경 (개발, QA, 생산) 및 조직의 보안 요구 사항에 따라 평가합니다.
주의: 제어를 구현하기 전에 해당 기능에 맞는 플랫폼 계층에 있는지 확인하십시오. 필요한 등급은 관련 문서 링크에 표시되어 있습니다.
모든 사용자 및 클라이언트 접근은 신뢰할 수 있는 위치에서 강력하게 인증됩니다:
요약
사용자는 승인된 방법을 통해 인증하고 Databricks에는 오직 승인된 네트워크에서만 접근해야 합니다. 이것은 무단 접근을 완화하는 기반을 마련합니다.
이 섹션에서 다루는 아키텍처 구성 요소에는 Identity Provider, Account Console, Workspace가 포함됩니다.
이 요구사항이 중요한 이유는 무엇인가요?
모든 사용자와 클라이언트가 신뢰할 수 있는 위치에서 연결되고 강력하게 인증되는 것을 보장하는 것은 데이터 유출을 완화하기 위한 첫 번째 방어선입니다. 데이터 플랫폼이 접근 요청이 승인된 네트워크에서 발생한 것인지, 사용자가 다중 인증 계층(예: MFA)을 통해 검증되었는지 확인할 수 없다면, 그 후의 모든 제어가 약화되어 환경이 취약해집니다.
| 아키텍처 컴포넌트: | 위험: | 제어: | 구현 우선순위: | 관련 문서 |
|---|---|---|---|---|
| 신원 제공자와 계정 콘솔 | 사용자들은 개인 계정이나 비-단일-로그인(SSO) 로그인 방법을 사용하여 Databricks 작업 공간에 접근함으로써 기업 신원 제어를 우회하려고 시도할 수 있습니다. | Databricks 계정의 모든 또는 선택된 작업 공간에 단일 로그인(SSO) 보호를 적용하기 위해 통합 로그인을 구현합니다. NOTE: 귀하의 Identity Provider 내에서 다중 요소 인증(MFA)을 활성화하는 것을 권장합니다. SSO를 사용할 수 없는 경우 Databricks에서 �직접 MFA를 설정할 수 있습니다. | HIGH | AWS, Azure, GCP |
| Identity Provider | 이전 사용자는 회사를 떠난 후 작업 공간에 로그인하려고 시도할 수 있습니다. | SCIM 또는 자동 신원 관리를 구현하여 사용자의 자동 탈퇴를 처리합니다. | HIGH | AWS, Azure, GCP |
| 계정 콘솔 | 사용자는 승인되지 않은 네트워크에서 계정 콘솔에 접근하려고 시도할 수 있습니다. | 계정 콘솔 IP 접근 제어 목록(ACLs) 구현 | HIGH | AWS, Azure, GCP |
| 워크스페이스 | 사용자들은 불법적인 네트워크에서 작업 공간에 접근하려고 시도할 수 있습니다. | 다음 접근 방식 중 하나를 사용하여 네트워크 접근 제어를 구현합니다: - 개인 연결 - IP ACLs | HIGH | 개인 연결: AWS, Azure, GCP IP ACLs: AWS, Azure, GCP |
신뢰할 수 없는 저장 위치, 공개 또는 개인 엔드포인트에 대한 접근 금지:
요약
컴퓨팅 리소스는 오직 승인된 저장 위치와 엔드포인트에만 접근해야 합니다. 이는 데이터가 불법적인 목적지로 유출되는 것을 완화하고 악의적인 외부 서비스에 대한 보호를 제공합니다.
이 섹션에서 다루는 아키텍처 구성 요소에는 Classic Compute, Serverless Compute, Unity Catalog가 포함됩니다.
이 요구사항이 중요한 이유는 무엇인가요?
컴퓨팅이 신뢰할 수 있는 저장 위치와 엔드포인트에만 액세스해야 하는 요구 사항은 조직의 보안 테두리를 보존하는 데 기본적입니다. 전통적으로 방화벽은 데이터 유출에 대한 주요 방어책이었지만, 클라우드 서비스와 SaaS 통합 포인트가 확장됨에 따라 조직은 신뢰할 수 없는 목적지로 데이터를 이동시키는 데 이용될 수 있는 모든 잠재적 벡터를 고려해야 합니다.
| 아키텍처 컴포넌트: | 위험: | 제어: | 구현 우선순위: | 관련 문서 |
|---|---|---|---|---|
| Classic 컴퓨팅 | 사용자는 악의적이거나 승인되지 않은 공개 엔드포인트와 상호 작용하는 코드를 실행할 수 있습니다. | 클라우드 제공자 네트워크에 출구 방화벽을 구현하여 오직 승인된 도메인과 IP 주소로만 나가는 트래픽을 필터링합니다. 그렇지 않으면, 특정 클라우드 제공자의 경우, 인터넷으로의 모든 아웃바운드 액세스를 제거합니다. | HIGH | AWS, Azure, GCP |
| Classic 컴퓨팅 | 사용자들은 스토리지 계정이나 의도된 범위를 벗어난 서비스에 접근하기 위해 사설 네트워크 연결을 이용하여 데이터를 무단으로 유출하는 코드를 실행할 수 있습니다. | 정책 기반 접근(예: VPC 엔드포인트 정책, 서비스 엔드포인트 정책 등) 및 네트워크 세분화를 구현하여 클러스터 액세스를 사전 승인된 클라우드 리소스 및 스토리지 계정에만 제한합니다. | HIGH | AWS, Azure, GCP |
| Serverless compute | 사용자는 공용 인터넷 연결을 통해 불법적인 외부 서비스나 악의적인 엔드포인트로 데이터를 유출하는 코드를 실행할 수 있습니다. | 서버리스 출구 제어를 구현하여 아웃바운드 트래픽을 사전 승인된 저장 계정 및 검증된 공개 엔드포인트로만 제한합니다. | HIGH | AWS, Azure, GCP |
| Unity Catalog | 사용자는 조직의 승인된 데이터 테두리 외부로 데이터를 유출하기 위해 신뢰할 수 없는 스토리지 계정에 접근을 시도할 수 있습니다. | 관리자만이 스토리지 자격증명 및 외부 위치를 생성할 수 있도록 허용합니다. 사용자에게 승인된 Unity 카탈로그 보안 항목을 사용할 수 있는 권한을 부여합니다. 클라우드 접근 정책에 대한 최소 권한 원칙을 실천합니다 (예: IAM) 스토리지 자격증명을 위해. | HIGH | AWS, Azure, GCP |
| Unity Catalog | 사용자는 신뢰할 수 없는 데이터베이스에 접근하여 불법적인 데이터를 읽고 쓰려고 시도할 수 있습니다. | Lakehouse Federation을 사용하여 데이터베이스 연결을 생성할 수 있는 관리자만 허용하십시오. 사용자들에게 승인된 연결을 사용할 수 있는 권한을 부여하십시오. | 중간 | AWS, Azure, GCP |
| Unity Catalog | 사용자들은 불법적인 자격증명을 사용하여 신뢰할 수 없는 비-저장 클라우드 리소스(예: 관리형 스트리밍 서비스)에 접근하려고 시도할 수 있습니다. | 외부 클라우드 서비스를 위한 서비스 자격증명을 생성할 수 있는 것은 관리자만 허용하십시오. 사용자에게 승인된 서비스 자격 증명을 사용할 수 있는 권한을 부여하십시오. 클라우드 접근 정책(예: IAM)에 대한 최소 권한 원칙을 실천하세요. | 중간 | AWS, Azure, GCP |
모든 데이터 접근은 신뢰할 수 있는 작업 부하에서 이루어집니다:
요약
데이터 저장소는 승인된 Databricks 작업 및 신뢰할 수 있는 컴퓨팅 소스로부터만 접근을 허용해야 합니다. 이는 고객 데이터와 노트북, 쿼리 결과와 같은 작업 공간 아티팩트에 대한 무단 접근을 방지합니다. 이 섹션에서 다루는 아키텍처 구성 요소에는 Storage Account, Serverless Compute, Unity Catalog, Workspace Settings가 포함됩니다.
이 요구사항이 중요한 이유는 무엇인가요?
조직이 더 많은 SaaS 도구를 채택함에 따라, 데이터 요청은 전통적인 클라우드 네트워크 외부에서 점점 더 발생합니다. 이러한 요청은 클라우드 객체 저장소, 데이터베이스 또는 스트리밍 플랫폼을 포함할 수 있으며, 각각이 유출을 위한 가능한 경로를 만듭니다. 이 위험을 줄이기 위해, 접근은 일관되게 승인된 거버넌스 계층을 통해 강제되어야 하며, 데이터가 제어된 환경 내에서 사용되도록 하기 위해 승인된 데이터 도구에 제한되어야 합니다.
| 아키텍처 컴포넌트: | 위험: | 제어: | 구현 우선순위: | 관련 문서 |
|---|---|---|---|---|
| 저장소 계정 | 사용자들은 비-Unity Catalog 관리 컴퓨팅을 통해 클라우드 제공자의 저장 계정에 접근하려고 시도할 수 있습니다. | 스토리지 계정에 방화벽을 구현하거나 버킷 정책을 적용하여 승인된 소스 목적지에서만 트래픽을 수락하도록 합니다. | HIGH | AWS, Azure, GCP |
| Unity Catalog | 사용자들은 다른 환경에서 데이터를 읽고 쓰려고 시도할 수 있습니다(예: 개발 작업 공간에서 생산 데이터 읽기) | 카탈로그에 대한 작업 공간 바인딩을 구현하십시오. | HIGH | AWS, Azure, GCP |
| Serverless compute | 사용자는 서버리스 컴퓨트를 통해 클라우드 리소스에 접근해야 할 수 있으며, 이로 인해 관리자는 내부 서비스를 의도한 것보다 더 넓은 네트워크 접근에 노출하게 됩니다. | 네트워크 연결 구성 객체에서 개인 엔드포인트 규칙을 구현하세요 [AWS, Azure, GCP [현재 사용할 수 없음] | 중간 | AWS, Azure, GCP [현재 사용할 수 없음] |
| 워크스페이스 설정 | 사용자는 노트북 결과를 로컬 기기에 다운로드하려고 시도할 수 있습니다. | Workspace 관리 보안 설정에서 노트북 결과 다운로드 를 비활성화하세요. | 낮음 | AWS, Azure, GCP |
| 워크스페이스 설정 | 사용자는 볼륨 파일을 로컬 기기에 다운로드하려고 시도할 수 있습니다. | 작업 공간 관리 보안 설정에서 볼륨 파일 다운로드 를 비활성화하세요. | 낮음 | 문서를 사용할 수 없습니다. 출입구 및 출입구 아래의 작업 공간 관리 보안 설정 내에서 찾을 수 있는 비활성화 토글. |
| 워크스페이스 설정 | 사용자는 워크스페이스에서 노트북이나 파일을 자신의 로컬 기기로 내보내려고 시도할 수 있습니다. | 워크스페이스 관리 보안 설정에서 노트북 및 파일 내보내기 를 비활성화합니다. | 낮음 | AWS, Azure, GCP |
| 워크스페이스 설정 | 사용자는 SQL 결과를 자신의 로컬 기기에 다운로드하려고 시도할 수 있습니다. | 작업 공간 관리 보안 설정에서 SQL 결과 다운로드 를 비활성화하세요. | 낮음 | AWS, Azure, GCP |
| 워크스페이스 설정 | 사용자들은 MLflow 실행 아티팩트를 자신의 로컬 기기로 다운로드하려고 시도할 수 있습니다. | 작업 공간 관리 보안 설정에서 MLflow 실행 아티팩트 다운로드 를 비활성화하세요. | 낮음 | 문서를 사용할 수 없습니다. 출입구 및 출입구 아래의 작업 공간 관리 보안 설정 내에서 찾을 수 있는 비활성화 토글. |
| 워크스페이스 설정 | 사용자는 UI를 통해 클립보드에 표 형식의 데이터를 복사하려고 시도할 수 있습니다. | 작업 공간 관리 보안 설정에서 결과 테이블 클립보드 기능 을 비활성화하세요. | 낮음 | AWS, Azure, GCP |
적극적인 데이터 유출 모니터링:
세 가지 핵심 기업 요구사항을 통해 Databricks 데이터 인텔리전스 플랫폼을 보호하기 위한 예방 컨트롤을 설정할 수 있지만, 모니터링은 이러한 컨트롤이 의도한 대로 작동하는지 확인하는 감지 기능을 제공합니다. 강력한 인증, 제한된 컴퓨트 접근, 보안된 저장소가 있더라도, 설정된 컨트롤을 우회하려는 시도를 나타낼 수 있는 사용자 행동에 대한 가시성이 필요합니다.
Databricks는 접근 제어 모니터링을 위한 종합적인 시스템 테이블을 제공합니다 [AWS, Azure, GCP]. 이러한 시스템 테이블을 사용하면 고객은 잠재적으로 의심스러운 활동을 기반으로 경고를 설정하여 작업 공간에서의 기존 제어를 보완할 수 있습니다.
실행 가능한 통찰력을 제공할 수 있는 기본 제공 쿼리에 대해 알아보려면 이 블로그 게시물을 방문하십시오: Databricks Unity Catalog의 시스템 테이블을 사용하여 Lakehouse 보안 모니터링 개선. 클라우드 특정 로그 [AWS, Azure, GCP]는 Databricks 시스템 테이블의 데이터를 보완하기 위해 수집 및 분석할 수 있습니다.
결론:
이제 이 프레임워크를 구성하는 각 보안 요구사항과 관련된 위험과 제어를 다루었으므로, Databricks 배포에서 데이터 유출을 완화하기 위한 통합 접근 방식을 가지게 되었습니다.
무단 데이터 이동을 방지하는 것은 일상적인 작업이지만, 이는 사용자가 회사의 가장 중요한 자산 중 하나인 데이터를 보호하면서 개발하고 혁신하는 기반을 제공할 것입니다.
데이터 인텔리전스 플랫폼을 보호하는 여정을 계속하기 위해, Databricks에서의 보안 모범 사례에 대한 전체적인 시각을 제공하는 보안 및 신뢰 센터 를 방문하는 것을 강력히 권장합니다.
- 모범 사례 가이드는 일반적이고 매우 안전한 환경에 대해 권장하는 주요 보안 제어에 대한 자세한 개요를 제공합니다.
- 보안 참조 아키텍처 - 테라폼 템플릿 을 사용하면 이 블로그에서 설명한 최고의 사례를 따르는 Databricks 환경을 자동으로 생성하는 것이 쉬워집니다.
- 보안 분석 도구 는 최선의 관행에 따라 Databricks 데이터 인텔리전스 플랫폼의 보안 자세를 지속적으로 모니터링합니다.
(이 글은 AI의 도움을 받아 번역되었습니다. 원문이 궁금하시다면 여기를 클릭해 주세요)
