Compartir vía

Clasificación y detección de datos de SQL

Applies to:SQL Server

La clasificación y detección de datos proporciona funcionalidades para detectar, clasificar, etiquetar y notificar la información confidencial de las bases de datos. Esto se puede hacer a través de T-SQL o mediante SQL Server Management Studio (SSMS). Descubrir y clasificar sus datos más confidenciales (negocio, financiero, salud, etc.) puede desempeñar un papel fundamental en su posición de protección de la información organizacional. Puede servir como infraestructura para lo siguiente:

  • Ayudar a cumplir los estándares de privacidad de datos.
  • Supervisar el acceso a bases de datos o columnas que contienen datos altamente sensibles.

Nota:

Detección y clasificación de datos se admite para SQL Server 2012 y versiones posteriores, y se puede usar con SSMS 17.5 o posteriores. Para Azure SQL Database, consulta Azure SQL Database Data Discovery & Classification.

Información general

Detección de datos y La clasificación forma un nuevo paradigma de protección de la información para SQL Database, SQL Managed Instance y Azure Synapse, con el objetivo de proteger los datos y no solo la base de datos. Actualmente admite las siguientes funcionalidades:

  • Detección y recomendaciones: el motor de clasificación examina la base de datos e identifica las columnas que contienen datos potencialmente confidenciales. Después, proporciona una manera sencilla de revisar y aplicar las recomendaciones de clasificación apropiadas, así como de clasificar las columnas de forma manual.
  • Etiquetado: las etiquetas de clasificación de confidencialidad se pueden etiquetar de forma persistente en columnas.
  • Visibilidad: el estado de clasificación de la base de datos puede consultarse en un informe detallado que se puede imprimir o exportar para su uso con fines de cumplimiento y auditoría.

Detectar, clasificar y etiquetar columnas confidenciales

En la sección siguiente se describen los pasos necesarios para detectar, clasificar y etiquetar las columnas que contienen datos confidenciales en la base de datos, así como para ver el estado de clasificación actual de la base de datos y exportar informes.

La clasificación incluye dos atributos de metadatos:

  • Etiquetas: son los atributos principales de clasificación, que se usan para definir el nivel de confidencialidad de los datos almacenados en la columna.
  • Tipos de información: proporcionan más granularidad para el tipo de datos almacenados en la columna.

Clasificar la base de datos de SQL Server:

  1. En SQL Server Management Studio (SSMS), conéctese al SQL Server.

  2. En SSMS Object Explorer, seleccione la base de datos que desea clasificar y elija Tasks>Data Discovery and Classification>Classify Data... .

    Captura de pantalla que muestra el Object Explorer de SSMS con Tareas > Detección y Clasificación de Datos > Clasificar Datos... seleccionado.

  3. El motor de clasificación examina la base de datos en busca de columnas (en función únicamente de los nombres de columna) que contengan datos potencialmente confidenciales y proporciona una lista de clasificaciones de columna recomendadas.

    • Para ver la lista de clasificaciones de columna recomendadas, seleccione el cuadro de notificación de recomendaciones en la parte superior o en el panel de recomendaciones en la parte inferior de la ventana:

      Captura de pantalla en la que se muestra una notificación en la que se indica lo siguiente: Hemos encontrado 39 columnas con recomendaciones de clasificación. Haga clic aquí para verlas.

      Captura de pantalla en la que se muestra una notificación en la que se indica lo siguiente: 39 columnas con recomendaciones de clasificación. Haga clic para verlas.

    • Revise la lista de recomendaciones:

      • Para aceptar una recomendación para una columna específica, active la casilla en la columna izquierda de la fila correspondiente. También puede marcar todas las recomendaciones como aceptadas. Para ello, active la casilla del encabezado de la tabla de recomendaciones.

      • También puede cambiar el tipo de información y la etiqueta de confidencialidad recomendados mediante los cuadros desplegables.

      Captura de pantalla en la que se muestra la lista de recomendaciones.

    • Para aplicar las recomendaciones seleccionadas, seleccione el botón Guardar las recomendaciones seleccionadas.

      Captura de pantalla del botón Aceptar las recomendaciones seleccionadas.

Nota:

El motor de recomendaciones que lleva a cabo el descubrimiento automático de datos y ofrece recomendaciones para columnas confidenciales se desactiva cuando se utiliza la modalidad de políticas de Microsoft Purview Information Protection.

  1. Para mostrar las columnas clasificadas, seleccione el esquema adecuado y la tabla correspondiente en la lista desplegable y, a continuación, seleccione Cargar columnas.

    Captura de pantalla de la clasificación de datos de SSMS cargando columnas clasificadas.

  2. También puede clasificar manualmente las columnas como alternativa a la clasificación basada en recomendaciones, o además de ella:

    • En el menú superior de la ventana, seleccione Agregar clasificación.

      Captura de pantalla en la que se muestra el menú superior con la opción Agregar clasificación resaltada.

    • En la ventana contextual que se abre, introduzca el nombre de la columna que quiera clasificar, el tipo de información y la etiqueta de confidencialidad. El esquema y la tabla se seleccionan en función de las entradas de la página principal.

      Captura de pantalla en la que se muestra la ventana contextual Agregar clasificación.

    • Si desea agregar la clasificación para todas las columnas sin clasificar de una tabla específica en un solo intento, seleccione Todos sin clasificar en la lista desplegable Columna de la página Agregar clasificación.

      Captura de pantalla de la clasificación de datos de SSMS que selecciona todas las columnas no clasificadas

  3. Para completar la clasificación y etiquetar de forma persistente las columnas de la base de datos con los nuevos metadatos de clasificación, seleccione el botón Guardar en el menú superior de la ventana.

    Captura de pantalla en la que se muestra el menú superior con la opción Guardar resaltada.

  4. Para generar un informe con un resumen completo del estado de clasificación de la base de datos, seleccione Ver informe en el menú superior de la ventana. (También puede generar un informe mediante SSMS. Seleccione la base de datos en la que quiera generar el informe y elija Tareas>Detección y clasificación de datos>Generar informe...).

    Captura de pantalla en la que se muestra el menú superior con la opción Ver informe resaltada.

    Captura de pantalla en la que se muestra el informe de clasificación de datos de SQL.

Clasificación de la base de datos mediante Microsoft Purview Information Protection Policy

Nota:

Microsoft Information Protection (abreviado como MIP) se ha cambiado de nombre como Microsoft Purview Information Protection. Los términos MIP y Microsoft Purview Information Protection a menudo se usan indistintamente en este documento, pero ambos hacen referencia al mismo concepto.

Microsoft Purview Information Protection etiquetas proporcionan una manera sencilla y uniforme para que los usuarios clasifiquen datos confidenciales en SQL Server. Las etiquetas de confidencialidad de MIP se crean y administran en el Centro de Cumplimiento de Microsoft 365 [renombrado como Portal de Cumplimiento de Microsoft Purview]. Para obtener información sobre cómo crear y publicar etiquetas confidenciales de MIP en el Portal de cumplimiento de Microsoft Purview, consulte el artículo etiquetas de confidencialidad de Microsoft Information Protection.

Ahora puede usar SSMS para clasificar los datos en el origen (SQL Server) mediante etiquetas Microsoft Purview Information Protection, que se usan en Power BI, Office y otros productos de Microsoft. Estas etiquetas de confidencialidad se aplican en el nivel de columna de una base de datos, igual que la directiva sql Information Protection.

Los conjuntos de datos o informes de Power BI que se conectan a datos con etiquetas de confidencialidad en orígenes de datos admitidos pueden heredar esas etiquetas automáticamente, de modo que los datos permanezcan clasificados cuando se incorporan a Power BI y se exportan a las aplicaciones de nivel descendente. La disponibilidad de la directiva de MIP de SSMS le permite lograr una solución de clasificación de un extremo a otro para toda la empresa.

Pasos para configurar la directiva de Microsoft Purview Information Protection

  1. En SQL Server Management Studio (SSMS), conéctese al SQL Server.

  2. En el Object Explorer de SSMS, seleccione la base de datos que desea clasificar y seleccione Tasks>Data Discovery and Classification>Set Microsoft Information Protection Policy

    Captura de pantalla para configurar la directiva de Microsoft Information Protection en SSMS

  3. Se mostrará una ventana de autenticación de Microsoft 365 para establecer la directiva de Microsoft Information Protection. Seleccione Sign In y escriba o seleccione una credencial de usuario válida para autenticarse en el inquilino de Microsoft 365.

    Captura de pantalla de autenticación para establecer la directiva de protección de información de Microsoft

  4. Si la autenticación se realiza correctamente, verá una ventana emergente con el estado Correcto.

    Captura de pantalla de la configuración exitosa de la Política de Protección de Información de Microsoft en SSMS

  5. Opcional: si desea iniciar sesión en cualquiera de las nubes soberanas de Microsoft para autenticarse en Microsoft 365, vaya a SSMS >Tools>Options>Azure Services>Azure Cloud, y cambie el Name a la nube soberana de Microsoft adecuada.

    Captura de pantalla del tipo de selección de Azure cloud en SSMS

  6. En la ventana SSMS Object Explorer, Haga clic con el botón derecho en la base de datos que desea clasificar y elija Tasks>Data Discovery and Classification>Classify Data. Ahora puede agregar una nueva clasificación mediante etiquetas de confidencialidad de MIP definidas en el inquilino de Microsoft 365 y usar esas etiquetas para clasificar columnas en SQL Server.

    Elegir etiquetas de sensibilidad de la directiva de Protección de Información de Microsoft en SSMS

    La detección automática de datos y la recomendación están deshabilitadas mientras se encuentra en modo de directiva de Protección de la Información de Microsoft. Actualmente solo está disponible en el modo de directiva de protección de información de SQL.

Para restablecer la directiva de protección de la información al valor predeterminado o SQL Information Protection, vaya a SSMS Object Explorer, haga clic con el botón derecho en la base de datos y elija Tasks>Data Discovery and Classification>Restablecer la directiva de protección de la información al valor predeterminado. Esto aplicará la directiva predeterminada o la política de Protección de la Información de SQL, y puede clasificar los datos mediante etiquetas de confidencialidad de SQL en lugar de etiquetas MIP.

Captura de pantalla del restablecimiento de la política de protección de la información en SSMS

Para habilitar la Política de Protección de Información desde un archivo JSON personalizado, vaya al Object Explorer de SSMS, haga clic con el botón derecho en la base de datos y elija Tasks>Data Discovery and Classification>Set Information Protection Policy File.

Nota:

Un icono de advertencia indica que la columna se clasificó anteriormente mediante una directiva de Protección de Información diferente al modo de directiva seleccionado actualmente. Por ejemplo, si actualmente está en el modo de Microsoft Information Protection y una de las columnas se clasificó previamente mediante sql Information Protection Policy o Information Protection Policy desde un archivo de directiva personalizado, verá un icono de advertencia en esa columna. Puede decidir si desea cambiar la clasificación de la columna a cualquiera de las etiquetas de confidencialidad disponibles en el modo de directiva actual o dejarla tal como está. Captura de pantalla de la advertencia de directivas no coincidentes en la clasificación de datos

Administrar la política de Protección de la Información con SSMS

Puede administrar la directiva de Information Protection con la versión más reciente de SQL Server Management Studio:

  1. En SQL Server Management Studio (SSMS), conéctese al SQL Server.

  2. En el Object Explorer de SSMS, seleccione una de las bases de datos y elija Tasks>Data Discovery and Classification.

    Las siguientes opciones de menú permiten administrar la directiva de Information Protection:

  • Establecer la directiva de protección de la información de Microsoft: establece la directiva de protección de la información en la directiva de protección de la información de Microsoft Purview.

  • Set Information Protection Policy File: usa sql Information Protection Policy tal como se define en el archivo JSON seleccionado. (Consulte el archivo de política de protección de información predeterminado Information Protection Policy File)

  • Exportar la Política de Protección de Información: exporta la política de protección de información a un archivo JSON.

  • Reset Information Protection Policy: restablece la directiva de Information Protection a la directiva de SQL Information Protection predeterminada.

Importante

El archivo de política de protección de la información no se almacena en SQL Server. SSMS usa una Política de Protección de Información predeterminada. Si se produce un error en una directiva de Information Protection personalizada, SSMS no puede usar la directiva predeterminada. No se puede realizar la clasificación de datos. Para resolverlo, haga clic en Reset Information Protection Policy para usar la directiva predeterminada y volver a habilitar la clasificación de datos.

Acceso a los metadatos de clasificación

SQL Server 2019 presenta sys.sensitivity_classifications vista de catálogo del sistema. Esta vista devuelve los tipos de información y las etiquetas de confidencialidad.

En instancias de SQL Server 2019, ejecute la consulta sys.sensitivity_classifications para revisar todas las columnas clasificadas con sus clasificaciones correspondientes. Por ejemplo:

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Antes de SQL Server 2019, los metadatos de clasificación para los tipos de información y las etiquetas de confidencialidad están en las siguientes propiedades extendidas:

  • sys_information_type_name
  • sys_sensitivity_label_name

En el caso de las instancias de SQL Server 2017 y anteriores, en el ejemplo siguiente se devuelven todas las columnas clasificadas con sus clasificaciones correspondientes:

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Permisos

Para ver la clasificación en las instancias de SQL Server 2019, se requiere el permiso VIEW ANY SENSITIVITY CLASSIFICATION. Para obtener más información, consulte Metadata Visibility Configuration.

Antes de SQL Server 2019, se puede acceder a los metadatos mediante la vista de catálogo Propiedades extendidas sys.extended_properties.

Para administrar la clasificación se necesita el permiso MODIFICAR CUALQUIER CLASIFICACIÓN DE CONFIDENCIALIDAD. MODIFICAR CUALQUIER CLASIFICACIÓN DE CONFIDENCIALIDAD está implícito en el permiso de base de datos ALTERAR, o en el permiso de servidor CONTROLAR SERVIDOR.

Administración de clasificaciones

Puede utilizar T-SQL para agregar o quitar las clasificaciones de columna, y también para recuperar todas las clasificaciones para toda la base de datos.

Pasos siguientes

Para Azure SQL Database, consulta Azure SQL Database Data Discovery & Classification.

Considere la posibilidad de proteger sus columnas confidenciales mediante la aplicación de mecanismos de seguridad en el nivel de columna:

  • Last updated on