Zjišťování a klasifikace dat SQL

Applies to:SQL Server

Zjišťování a klasifikace dat přidává možnosti pro zjišťování, klasifikaci, označování a vytváření sestav citlivých dat ve vašich databázích. Můžete to provést pomocí T-SQL nebo pomocí SQL Server Management Studio (SSMS). Zjišťování a klasifikace vašich nejcitlivějších dat (obchodních, finančních, zdravotních apod.) může hrát klíčovou roli ve vaší organizační struktuře a postavení ochrany informací. Může sloužit jako infrastruktura pro:

• Pomáhá splňovat standardy ochrany osobních údajů.
• Monitorování přístupu k databázím a sloupcům obsahujícím vysoce citlivá data.

Poznámka:

Zjišťování a klasifikace dat je podporována pro SQL Server 2012 a novější a je možné ji použít s SSMS 17.5 nebo novější. Informace o Azure SQL Database najdete v tématu Azure SQL Database Zjišťování a klasifikace dat.

Přehled

Zjišťování a klasifikace dat tvoří nové paradigma ochrany informací pro SQL Database, SQL Managed Instance a Azure Synapse zaměřené na ochranu dat, nejen databáze. V současné době podporuje následující možnosti:

• Zjišťování a doporučení – klasifikační modul prohledá vaši databázi a identifikuje sloupce obsahující potenciálně citlivá data. Poté vám poskytne snadný způsob, jak zkontrolovat a použít příslušná doporučení klasifikace a také ručně klasifikovat sloupce.
• Označování – Popisky klasifikace citlivosti můžou být trvale označené ve sloupcích.
• Viditelnost – Stav klasifikace databáze lze zobrazit v podrobné sestavě, která se dá vytisknout nebo exportovat, aby se používala pro účely dodržování předpisů a auditování.

Zjišťování, klasifikace a označování citlivých sloupců

Následující část popisuje kroky pro zjišťování, klasifikaci a označování sloupců obsahujících citlivá data v databázi a také zobrazení aktuálního stavu klasifikace databáze a export sestav.

Klasifikace obsahuje dva atributy metadat:

• Popisky – hlavní atributy klasifikace, které slouží k definování úrovně citlivosti dat uložených ve sloupci.
• Typy informací – poskytují podrobnější informace o typu dat uložených ve sloupci.

Chcete-li klasifikovat databázi SQL Server:

1. V SQL Server Management Studio (SSMS) se připojte k SQL Server.

2. V aplikaci SSMS Object Explorer vyberte databázi, kterou chcete klasifikovat, a zvolte Úkoly>Objevování a klasifikace dat>Klasifikovat data....

   

3. Klasifikační modul prohledává ve vaší databázi sloupce (pouze na základě názvů sloupců) obsahující potenciálně citlivá data a poskytuje seznam doporučených klasifikací sloupců:

   • Pokud chcete zobrazit seznam doporučených klasifikací sloupců, vyberte pole s oznámením doporučení v horní části nebo na panelu doporučení v dolní části okna:

     

     

   • Projděte si seznam doporučení:

     • Pokud chcete přijmout doporučení pro konkrétní sloupec, zaškrtněte políčko v levém sloupci příslušného řádku. Všechna doporučení můžete také označit jako přijatá zaškrtnutím políčka v záhlaví tabulky doporučení.

     • Pomocí rozevíracích polí můžete také změnit doporučený typ informací a popisek citlivosti.

     

   • Pokud chcete vybraná doporučení použít, vyberte tlačítko Uložit vybraná doporučení .

     

Poznámka:

Modul doporučení, který provádí automatické zjišťování dat a poskytuje doporučení citlivých sloupců, se při použití režimu zásad Microsoft Purview Information Protection zakáže.

4. Pokud chcete zobrazit klasifikované sloupce, vyberte v rozevíracím seznamu odpovídající schéma a odpovídající tabulku a pak vyberte Načíst sloupce.

   

5. Sloupce můžete také ručně klasifikovat jako alternativu nebo kromě klasifikace založené na doporučení:

   • V horní nabídce okna vyberte Přidat klasifikaci .

     

   • V okně kontextu, které se otevře, zadejte název sloupce, který chcete klasifikovat, typ informací a popisek citlivosti. Schéma a tabulka jsou vybrány na základě položek na hlavní stránce.

     

   • Pokud chcete přidat klasifikaci pro všechny nesetříděné sloupce pro konkrétní tabulku v jednom pokusu, vyberte v rozevíracím seznamu Sloupec na stránce Přidat klasifikaci možnost Všechny nezatříděné.

     

6. Pokud chcete dokončit klasifikaci a trvale označit sloupce databáze novými metadaty klasifikace, vyberte v horní nabídce okna tlačítko Uložit .

   

7. Pokud chcete vygenerovat sestavu s úplným souhrnem stavu klasifikace databáze, v horní nabídce okna vyberte Zobrazit sestavu . (Sestavu můžete také vygenerovat pomocí aplikace SSMS. Vyberte databázi, ve které chcete sestavu vygenerovat, a zvolte Úlohy>zjišťování a klasifikace>generovat sestavu...).

   

   

Klasifikace databáze pomocí zásad Microsoft Purview Information Protection

Poznámka:

Microsoft Information Protection (zkráceně MIP) byl přejmenován na Microsoft Purview Information Protection. Termíny MIP i Microsoft Purview Information Protection se v tomto dokumentu často používají zaměnitelně, ale oba odkazují na stejný koncept.

Microsoft Purview Information Protection štítky poskytují uživatelům jednoduchý a jednotný způsob klasifikace citlivých dat v SQL Server. Popisky citlivosti MIP se vytvářejí a spravují v centru dodržování předpisů Microsoft 365 [přejmenovaném na Microsoft Purview compliance portal]. Informace o vytváření a publikování citlivých popisků MIP na portálu pro dodržování předpisů Microsoft Purview najdete v článku Popisky citlivosti Microsoft Information Protection.

Teď můžete pomocí aplikace SSMS klasifikovat data ve zdroji (SQL Server) pomocí popisků Microsoft Purview Information Protection, které se používají v Power BI, Office a dalších produktech Microsoftu. Tyto popisky citlivosti se použijí na úrovni sloupce v databázi, stejně jako zásady SQL Information Protection.

Datové sady nebo sestavy Power BI, které se připojují k datům označeným citlivostí v podporovaných zdrojích dat, mohou tato označení automaticky dědit, aby data zůstala klasifikovaná při přenesení do Power BI a exportu do následných aplikací. Dostupnost zásad MIP v SSMS umožňuje dosáhnout komplexního řešení klasifikace na podnikové úrovni.

Postup konfigurace zásad Microsoft Purview Information Protection

1. V SQL Server Management Studio (SSMS) se připojte k SQL Server.

2. V Object Explorer SSMS vyberte databázi, kterou chcete klasifikovat, a vyberte Tasks> Zjišťování a klasifikace dat>Nasazovat zásady Microsoft Information Protection

   

3. Zobrazí se ověřovací okno pro Microsoft 365 pro nastavení zásad Microsoft Information Protection. Vyberte Sign In a zadejte nebo vyberte platné přihlašovací údaje uživatele pro ověření ve vašem tenantovi Microsoft 365.

   

4. Pokud je ověření úspěšné, zobrazí se automaticky otevírané okno se stavem Úspěch.

   

5. Volitelné – Pokud se chcete přihlásit k některému z suverénního cloudu Microsoftu a ověřit se v Microsoft 365, přejděte na SSMS >Tools>Options>Azure Services>Azure Cloud, a změňte Name na příslušný suverénní cloud Microsoftu.

   

6. V okně SSMS Object Explorer Klikněte pravým tlačítkem myši na databázi, kterou chcete klasifikovat, a zvolte Tasks> Zjišťování a klasifikace dat>Classify Data. Teď můžete přidat novou klasifikaci pomocí popisků citlivosti MIP definovaných ve vašem tenantovi Microsoft 365 a pomocí těchto popisků klasifikovat sloupce v SQL Server.

   

   Automatické zjišťování dat a doporučení je zakázáno v režimu zásad Microsoft Information Protection. Aktuálně je k dispozici pouze v režimu zásad SQL Information Protection.

Pokud chcete resetovat zásady Information Protection na výchozí hodnotu nebo SQL Information Protection, přejděte na SSMS Object Explorer, klikněte pravým tlačítkem na databázi a zvolte Tasks>Data Discovery and Classification>Resetovat zásady Information Protection na výchozí. Tím se použijí výchozí zásady nebo zásady Information Protection SQL a data můžete klasifikovat pomocí popisků citlivosti SQL místo popisků MIP.

Pokud chcete povolit zásadu ochrany informací z vlastního souboru JSON, přejděte na SSMS Object Explorer, klikněte pravým tlačítkem myši na databázi a vyberte Tasks>Data Discovery and Classification>Nastavit soubor zásad ochrany informací.

Poznámka:

Ikona varování ukazuje, že sloupec byl dříve klasifikován pomocí jiné zásady ochrany informací než aktuálně zvolený režim zásady. Pokud jste například aktuálně v režimu Microsoft Information Protection a jeden ze sloupců byl dříve klasifikovaný pomocí zásad SQL Information Protection nebo Zásady Information Protection z vlastního souboru s pravidly, zobrazí se u tohoto sloupce ikona upozornění. Můžete se rozhodnout, jestli chcete změnit klasifikaci sloupce na některý z popisků citlivosti, které jsou k dispozici v aktuálním režimu zásad, nebo ponechat tak, jak je.

Správa zásad Information Protection pomocí SSMS

Zásady Information Protection můžete spravovat pomocí nejnovější verze SQL Server Management Studio:

1. V SQL Server Management Studio (SSMS) se připojte k SQL Server.

2. V Object Explorer SSMS vyberte jednu z databází a zvolte Tasks> Zjišťování a klasifikace dat.

   Následující možnosti nabídky umožňují spravovat zásady ochrany informací:

• Nastavte zásadu Microsoft Information Protection: Nastaví zásady ochrany informací na zásady ochrany informací Microsoft Purview.

• Set Information Protection Policy File: používá zásady SQL Information Protection definované ve vybraném souboru JSON. (Viz výchozí soubor zásad Information Protection)

• Export Information Protection Policy: exportuje zásady Information Protection do souboru JSON.

• Reset Information Protection Policy: Resetuje zásadu Information Protection na výchozí zásadu SQL Information Protection.

Důležité

Soubor zásad ochrany informací není uložen v SQL Serveru. SSMS používá výchozí zásadu Information Protection. Pokud selže přizpůsobená zásada ochrany informací, SSMS nemůže použít výchozí zásadu. Klasifikace dat selže. Pokud chcete problém vyřešit, klikněte na Reset Information Protection Policy a použijte výchozí zásadu a znovu povolte klasifikaci dat.

Přístup k metadatům klasifikace

SQL Server 2019 zavádí zobrazení katalogu systému sys.sensitivity_classifications. Toto zobrazení vrátí typy informací a popisky citlivosti.

V instancích SQL Server 2019 zadejte dotaz sys.sensitivity_classifications a zkontrolujte všechny klasifikované sloupce s odpovídajícími klasifikacemi. Například:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Před SQL Server 2019 jsou metadata klasifikace pro typy informací a popisky citlivosti v následujících rozšířených vlastnostech:

• sys_information_type_name
• sys_sensitivity_label_name

V případě instancí SQL Server 2017 a předchozích vrátí následující příklad všechny klasifikované sloupce s odpovídajícími klasifikacemi:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Dovolení

U instancí SQL Server 2019 je ke zobrazení klasifikace vyžadováno oprávnění VIEW ANY SENSITIVITY CLASSIFICATION. Další informace naleznete v kapitole Konfigurace viditelnosti metadat.

Před SQL Server 2019 jsou metadata přístupná pomocí zobrazení katalogu Rozšířených vlastností sys.extended_properties.

Správa klasifikace vyžaduje oprávnění ALTER ANY SENSITIVITY CLASSIFICATION. ALTER ANY SENSITIVITY CLASSIFICATION je odvozena z oprávnění databáze ALTER, nebo server oprávnění CONTROL SERVER.

Správa klasifikací

T-SQL

T-SQL můžete použít k přidání nebo odebrání klasifikací sloupců a také k načtení všech klasifikací pro celou databázi.

• Přidání nebo aktualizace klasifikace jednoho nebo více sloupců: PŘIDÁNÍ KLASIFIKACE CITLIVOSTI
• Odeberte klasifikaci z jednoho nebo více sloupců: DROP SENSITIVITY CLASSIFICATION

PowerShell cmdlet

Pomocí rutiny PowerShellu můžete přidat nebo odebrat klasifikace sloupců a také načíst všechny klasifikace a získat doporučení pro celou databázi.

• Get-SqlSensitivityClassification
• Get-SqlSensitivityRecommendations
• Set-SqlSensitivityClassification
• Remove-SqlSensitivityClassification (odebrat klasifikaci citlivosti SQL)

Další kroky

Informace o Azure SQL Database najdete v tématu Azure SQL Database Zjišťování a klasifikace dat.

Zvažte ochranu citlivých sloupců použitím mechanismů zabezpečení na úrovni sloupců:

• Dynamické maskování dat pro obfuskování citlivých sloupců, které se používají.
• Always Encrypted pro šifrování citlivých sloupců v klidovém stavu.