Explorar la clasificación de datos

  • 5 minutos

Los datos confidenciales almacenados en Microsoft SQL Server, Azure SQL Database o Azure SQL Managed Instance deben clasificarse dentro de la base de datos. Esta clasificación ayuda a los usuarios y las aplicaciones a comprender la confidencialidad de los datos almacenados.

La clasificación de datos se realiza por columna. Una sola tabla puede tener columnas clasificadas como públicas, confidenciales o extremadamente confidenciales.

Inicialmente, la clasificación de datos se introdujo en SQL Server Management Studio mediante propiedades extendidas de objetos para almacenar información de clasificación. A partir de SQL Server 2019, estos metadatos se almacenan en una vista de catálogo denominada sys.sensitivity_classifications. Esta característica también es compatible con Azure SQL Database e Instancia administrada de Azure SQL.

Azure Portal proporciona un panel de administración para la clasificación de datos de Azure SQL Database. Para acceder a esta característica, seleccione Detección y clasificación de datos en la sección Seguridad de la hoja principal de Azure SQL Database.

Captura de pantalla de la página Detección y clasificación de datos en Azure Portal.

En Azure Portal y SQL Server Management Studio, puede configurar la clasificación de datos. El motor de clasificación examina la base de datos para identificar columnas con nombres que sugieren que pueden contener información confidencial. Por ejemplo, una columna denominada correo electrónico se marcaría automáticamente como que contiene información personal confidencial.

Captura de pantalla de la recomendación de clasificación de datos en Azure Portal.

En el ejemplo, se recomiendan cinco columnas para la clasificación. Las propiedades tipo de información y etiqueta de sensibilidad parecen coherentes con el nombre de la columna y el propósito general. Sin embargo, dado que las recomendaciones se basan en el nombre de columna, no se recomienda una columna denominada column1 que contenga direcciones de correo electrónico como información personal confidencial.

Las columnas también se pueden clasificar mediante el asistente de sensibilidad en SQL Server Management Studio o mediante el ADD SENSITIVITY CLASSFICATION comando T-SQL de la siguiente manera.

ADD SENSITIVITY CLASSIFICATION TO
    [Application].[People].[EmailAddress]
WITH (LABEL='PII', INFORMATION_TYPE='Email')

GO

La clasificación de datos permite identificar fácilmente la sensibilidad de los datos en la base de datos. Saber qué columnas contienen datos confidenciales permite auditorías más sencillas y permite identificar con más facilidad qué columnas son buenas opciones para el cifrado de datos. La clasificación permite a otros empleados de la empresa tomar mejores decisiones sobre cómo controlar los datos que están disponibles en la base de datos.

Personalización de la taxonomía de clasificación

Detección y clasificación de datos forma parte de Microsoft Defender for Cloud. Puede personalizar la taxonomía de las etiquetas de confidencialidad y definir un conjunto de reglas de clasificación específicamente para su entorno.

Puede crear y administrar etiquetas de confidencialidad como parte de la administración de directivas seleccionando Detección y clasificación de datos de la hoja principal de Azure SQL Database y, a continuación, Configurar.

Captura de pantalla de cómo personalizar la taxonomía de clasificación desde Azure Portal.

En la página Information Protection puede definir etiquetas, clasificarlas y vincularlas con un conjunto de tipos de información.

Captura de pantalla de la página Protección de Información del portal de Azure.

Una vez definidos los patrones, se agregan automáticamente a la lógica de detección para identificar este tipo de datos en las bases de datos y están disponibles inmediatamente.

Nota:

Solo los usuarios con derechos administrativos en el grupo de administración raíz de la organización pueden crear y administrar etiquetas de confidencialidad.