Zjišťování a klasifikace dat SQL

platí pro:SQL Server

Zjišťování a klasifikace dat přidává možnosti pro zjišťování, klasifikaci, označování a vytváření sestav citlivých dat ve vašich databázích. Můžete to provést pomocí T-SQL nebo pomocí aplikace SQL Server Management Studio (SSMS). Zjišťování a klasifikace nejcitlivějších dat (obchodní, finanční, zdravotní péče atd.) může hrát klíčovou roli ve stavu ochrany informací vaší organizace. Může sloužit jako infrastruktura pro:

• Pomáhá splňovat standardy ochrany osobních údajů.
• Monitorování přístupu k databázím nebo sloupcům obsahujícím vysoce citlivá data

Poznámka:

Zjišťování a klasifikace dat se podporuje pro SQL Server 2012 a novější a dá se použít s SSMS 17.5 nebo novějším. Informace o službě Azure SQL Database najdete v tématu Zjišťování a klasifikace dat ve službě Azure SQL Database.

Přehled

Zjišťování a klasifikace dat tvoří nové paradigma ochrany informací pro SLUŽBU SQL Database, SQL Managed Instance a Azure Synapse, které je zaměřené na ochranu dat, a ne pouze databáze. V současné době podporuje následující možnosti:

• Zjišťování a doporučení – klasifikační modul prohledá vaši databázi a identifikuje sloupce obsahující potenciálně citlivá data. Poté vám poskytne snadný způsob, jak zkontrolovat a použít příslušná doporučení klasifikace a také ručně klasifikovat sloupce.
• Označování – Popisky klasifikace citlivosti můžou být trvale označené ve sloupcích.
• Viditelnost – Stav klasifikace databáze lze zobrazit v podrobné sestavě, která se dá vytisknout nebo exportovat, aby se používala pro účely dodržování předpisů a auditování.

Zjišťování, klasifikace a označování citlivých sloupců

Následující část popisuje kroky pro zjišťování, klasifikaci a označování sloupců obsahujících citlivá data v databázi a také zobrazení aktuálního stavu klasifikace databáze a export sestav.

Klasifikace obsahuje dva atributy metadat:

• Popisky – hlavní atributy klasifikace, které slouží k definování úrovně citlivosti dat uložených ve sloupci.
• Typy informací – poskytují podrobnější informace o typu dat uložených ve sloupci.

Klasifikace databáze SQL Serveru:

1. V aplikaci SQL Server Management Studio (SSMS) se připojte k SQL Serveru.

2. V Průzkumníku objektů SSMS vyberte databázi, kterou chcete klasifikovat, a zvolte Úkoly>zjišťování a klasifikace dat...>

   

3. Klasifikační modul prohledává ve vaší databázi sloupce (pouze na základě názvů sloupců) obsahující potenciálně citlivá data a poskytuje seznam doporučených klasifikací sloupců:

   • Pokud chcete zobrazit seznam doporučených klasifikací sloupců, vyberte pole s oznámením doporučení v horní části nebo na panelu doporučení v dolní části okna:

     

     

   • Projděte si seznam doporučení:

     • Pokud chcete přijmout doporučení pro konkrétní sloupec, zaškrtněte políčko v levém sloupci příslušného řádku. Všechna doporučení můžete také označit jako přijatá zaškrtnutím políčka v záhlaví tabulky doporučení.

     • Pomocí rozevíracích polí můžete také změnit doporučený typ informací a popisek citlivosti.

     

   • Pokud chcete vybraná doporučení použít, vyberte tlačítko Uložit vybraná doporučení .

     

Poznámka:

Modul doporučení, který provádí automatické zjišťování dat a poskytuje doporučení citlivých sloupců, je při použití režimu zásad Microsoft Purview Information Protection zakázán.

4. Pokud chcete zobrazit klasifikované sloupce, vyberte v rozevíracím seznamu odpovídající schéma a odpovídající tabulku a pak vyberte Načíst sloupce.

   

5. Sloupce můžete také ručně klasifikovat jako alternativu nebo kromě klasifikace založené na doporučení:

   • V horní nabídce okna vyberte Přidat klasifikaci .

     

   • V okně kontextu, které se otevře, zadejte název sloupce, který chcete klasifikovat, typ informací a popisek citlivosti. Schéma a tabulka jsou vybrány na základě položek na hlavní stránce.

     

   • Pokud chcete přidat klasifikaci pro všechny nesetříděné sloupce pro konkrétní tabulku v jednom pokusu, vyberte v rozevíracím seznamu Sloupec na stránce Přidat klasifikaci možnost Všechny nezatříděné.

     

6. Pokud chcete dokončit klasifikaci a trvale označit sloupce databáze novými metadaty klasifikace, vyberte v horní nabídce okna tlačítko Uložit .

   

7. Pokud chcete vygenerovat sestavu s úplným souhrnem stavu klasifikace databáze, v horní nabídce okna vyberte Zobrazit sestavu . (Sestavu můžete také vygenerovat pomocí aplikace SSMS. Vyberte databázi, ve které chcete sestavu vygenerovat, a zvolte Úlohy>zjišťování a klasifikace>generovat sestavu...).

   

   

Klasifikace databáze pomocí zásad Microsoft Purview Information Protection

Poznámka:

Služba Microsoft Information Protection (zkrácená jako MIP) byla rebranded jako Microsoft Purview Information Protection. Termíny MIP i Microsoft Purview Information Protection se v tomto dokumentu často používají zaměnitelně, ale oba odkazují na stejný koncept.

Popisky Microsoft Purview Information Protection poskytují uživatelům jednoduchý a jednotný způsob klasifikace citlivých dat v SQL Serveru. Popisky citlivosti MIP se vytvářejí a spravují v Centru dodržování předpisů Microsoftu 365 [přejmenováno na portál dodržování předpisů Microsoft Purview]. Informace o vytváření a publikování citlivých štítků MIP v portálu Microsoft Purview Compliance najdete v článku Popisky citlivosti Microsoft Information Protection.

Teď můžete pomocí aplikace SSMS klasifikovat data ve zdroji (SQL Server) pomocí popisků Microsoft Purview Information Protection, které se používají v Power BI, Office a dalších produktech Microsoftu. Tyto popisky citlivosti se použijí na úrovni sloupců v databázi, stejně jako zásady SQL Information Protection.

Datové sady nebo sestavy Power BI, které se připojují k datům označeným citlivostí v podporovaných zdrojích dat, mohou tato označení automaticky dědit, aby data zůstala klasifikovaná při přenesení do Power BI a exportu do následných aplikací. Dostupnost zásad MIP v SSMS umožňuje dosáhnout komplexního řešení klasifikace na podnikové úrovni.

Postup konfigurace zásad služby Microsoft Purview Information Protection

1. V aplikaci SQL Server Management Studio (SSMS) se připojte k SQL Serveru.

2. V Průzkumníku objektů SSMS vyberte databázi, kterou chcete klasifikovat, a vyberte Úlohy>– zjišťování a klasifikace>– Sada zásad Microsoft Information Protection.

   

3. Zobrazí se ověřovací okno pro Microsoft 365 pro nastavení zásad Microsoft Information Protection. Vyberte Přihlásit se a zadejte nebo vyberte platné přihlašovací údaje uživatele pro ověření v tenantovi Microsoftu 365.

   

4. Pokud je ověření úspěšné, zobrazí se automaticky otevírané okno se stavem Úspěch.

   

5. Volitelné – Pokud se chcete přihlásit k některému z suverénních cloudů Microsoftu, abyste se mohli ověřit v Microsoftu 365, přejděte do SSMS >Tools>Options>Azure Services>Azure Cloud a změňte název na příslušný suverénní cloud Microsoftu.

   

6. V okně Průzkumník objektů SSMS klikněte pravým tlačítkem myši na databázi, kterou chceteklasifikovat, a zvolte >> Teď můžete přidat novou klasifikaci pomocí popisků citlivosti MIP definovaných v tenantovi Microsoftu 365 a pomocí těchto popisků klasifikovat sloupce v SQL Serveru.

   

   Automatické zjišťování a doporučení dat je zakázané v režimu zásad microsoft Information Protection. Aktuálně je k dispozici pouze v režimu zásad služby SQL Information Protection.

Chcete-li resetovat zásady ochrany informací na výchozí nebo SQL Information Protection, přejděte do Průzkumníka objektů SSMS, klikněte pravým tlačítkem myši na databázi a zvolte Úlohy>Zjišťování a Klasifikace>Resetovat zásady ochrany informací na výchozí. Tím se použijí výchozí zásady nebo zásady SQL Information Protection a data můžete klasifikovat pomocí popisků citlivosti SQL místo popisků MIP.

Pokud chcete povolit zásady ochrany informací z vlastního souboru JSON, přejděte do Průzkumníka objektů SSMS, klikněte pravým tlačítkem na databázi a zvolte Úlohy>–zjišťování a klasifikační>soubor zásad ochrany informací.

Poznámka:

Ikona upozornění označuje, že sloupec byl dříve klasifikován pomocí jiné zásady ochrany informací než aktuálně vybraný režim zásad. Pokud jste například aktuálně v režimu Microsoft Information Protection a jeden ze sloupců byl dříve klasifikovaný pomocí zásad služby SQL Information Protection nebo Zásady ochrany informací z vlastního souboru zásad, zobrazí se v tomto sloupci ikona upozornění. Můžete se rozhodnout, jestli chcete změnit klasifikaci sloupce na některý z popisků citlivosti, které jsou k dispozici v aktuálním režimu zásad, nebo ponechat tak, jak je.

Správa zásad ochrany informací pomocí SSMS

Zásady ochrany informací můžete spravovat pomocí nejnovější verze aplikace SQL Server Management Studio:

1. V aplikaci SQL Server Management Studio (SSMS) se připojte k SQL Serveru.

2. V Průzkumníku objektů SSMS vyberte jednu z databází a zvolte Úlohy>zjišťování a klasifikace dat.

   Následující možnosti nabídky umožňují spravovat zásady ochrany informací:

• Nastavte zásady ochrany informací společnosti Microsoft: Nastaví zásady ochrany informací na zásady ochrany informací společnosti Microsoft Purview.

• Nastavit soubor zásad ochrany informací: Používá zásady ochrany informací SQL definované ve vybraném souboru JSON. (Viz výchozí soubor zásad ochrany informací)

• Zásady ochrany informací exportu: Exportuje zásady Information Protection do souboru JSON.

• Resetování zásad ochrany informací: Resetuje zásady ochrany informací na výchozí zásady služby SQL Information Protection.

Důležité

Soubor zásad ochrany informací není uložen na SQL Serveru. SSMS používá výchozí zásady ochrany informací. Pokud se upravené zásady ochrany informací nezdaří, aplikace SSMS nemůže použít výchozí zásady. Klasifikace dat selže. Pokud chcete tento problém vyřešit, klikněte na Resetovat zásady ochrany informací a použijte výchozí zásadu a znovu povolte klasifikaci dat.

Přístup k metadatům klasifikace

SQL Server 2019 zavádí sys.sensitivity_classifications zobrazení systémového katalogu. Toto zobrazení vrátí typy informací a popisky citlivosti.

V instancích SQL Serveru 2019 zadejte dotaz sys.sensitivity_classifications na kontrolu všech klasifikovaných sloupců s odpovídajícími klasifikacemi. Například:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Před SQL Serverem 2019 jsou metadata klasifikace pro typy informací a popisky citlivosti v následujících rozšířených vlastnostech:

• sys_information_type_name
• sys_sensitivity_label_name

V případě instancí SQL Serveru 2017 a předchozích vrátí následující příklad všechny klasifikované sloupce s odpovídajícími klasifikacemi:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Dovolení

U instancí SQL Serveru 2019 vyžaduje zobrazení klasifikace oprávnění ZOBRAZIT LIBOVOLNOU KLASIFIKACI CITLIVOSTI . Další informace naleznete v kapitole Konfigurace viditelnosti metadat.

Před SQL Serverem 2019 lze k metadatům přistupovat pomocí zobrazení sys.extended_propertieskatalogu Rozšířených vlastností .

Správa klasifikace vyžaduje oprávnění ALTER ANY SENSITIVITY CLASSIFICATION. ALTER ANY SENSITIVITY CLASSIFICATION je odvozena z oprávnění databáze ALTER, nebo server oprávnění CONTROL SERVER.

Správa klasifikací

T-SQL

T-SQL můžete použít k přidání nebo odebrání klasifikací sloupců a také k načtení všech klasifikací pro celou databázi.

• Přidání nebo aktualizace klasifikace jednoho nebo více sloupců: PŘIDÁNÍ KLASIFIKACE CITLIVOSTI
• Odeberte klasifikaci z jednoho nebo více sloupců: DROP SENSITIVITY CLASSIFICATION

PowerShell cmdlet

Pomocí rutiny PowerShellu můžete přidat nebo odebrat klasifikace sloupců a také načíst všechny klasifikace a získat doporučení pro celou databázi.

• Get-SqlSensitivityClassification
• Get-SqlSensitivityRecommendations
• Set-SqlSensitivityClassification
• Remove-SqlSensitivityClassification (odebrat klasifikaci citlivosti SQL)

Další kroky

Informace o službě Azure SQL Database najdete v tématu Zjišťování a klasifikace dat ve službě Azure SQL Database.

Zvažte ochranu citlivých sloupců použitím mechanismů zabezpečení na úrovni sloupců:

• Dynamické maskování dat pro obfuskování citlivých sloupců, které se používají.
• Funkce Always Encrypted pro šifrování neaktivních uložených sloupců