Explorer la classification des données
Les données confidentielles stockées dans une base de données Microsoft SQL Server, Azure SQL Database ou Azure SQL Managed Instance doivent être classifiées dans la base de données. Cette classification permet aux utilisateurs et à d’autres applications de connaître la sensibilité des données stockées.
La classification des données avec la base de données est effectuée colonne par colonne. Il est possible qu’une même table ait des colonnes publiques, des colonnes confidentielles et des colonnes hautement confidentielles.
La classification des données a été introduite pour la première fois dans SQL Server Management Studio et utilisait des propriétés étendues d’objets pour stocker ses informations de classification des données. À compter de SQL Server 2019, ces métadonnées sont stockées dans une vue catalogue appelée sys.sensitivity_classifications, et elles sont également prises en charge par Azure SQL Database et Azure SQL Managed Instance.
Le portail Azure fournit un volet de gestion pour la classification des données de votre base de données Azure SQL Database comme indiqué ci-dessous. Vous pouvez accéder à cette fonctionnalité en sélectionnant Découverte et classification des données, qui se trouve dans la section Sécurité du panneau principal de votre instance Azure SQL Database.
Dans le portail Azure et SQL Server Management Studio, vous pouvez configurer la classification des données. Le moteur de classification analyse votre base de données et recherche les colonnes dont le nom indique qu’elles sont susceptibles de contenir des informations sensibles. Par exemple, une colonne nommée e-mail serait recommandée par défaut comme contenant des informations personnelles sensibles.
Dans l’exemple ci-dessus, il existe cinq colonnes recommandées pour la classification. Les propriétés Type d’information et Étiquette de confidentialité semblent cohérentes avec le nom de colonne et l’objectif global. Toutefois, étant donné que les recommandations sont basées sur le nom de colonne, une colonne nommée colonne1 qui contient des adresses e-mail ne serait pas recommandée comme informations personnelles sensibles.
Les colonnes peuvent également être classées à l’aide de l’assistant de confidentialité dans SQL Server Management Studio ou à l'aide de la commande T-SQL ADD SENSITIVITY CLASSFICATION comme indiqué ci-dessous :
ADD SENSITIVITY CLASSIFICATION TO
[Application].[People].[EmailAddress]
WITH (LABEL='PII', INFORMATION_TYPE='Email')
GO
La classification des données vous permet d’identifier facilement la sensibilité des données dans la base de données. Le fait de savoir quelles colonnes contiennent des données sensibles facilite les audits ainsi que l’identification des colonnes qui sont de bons choix pour le chiffrement des données. La classification permet aux autres employés de l’entreprise de prendre de meilleures décisions concernant la gestion des données disponibles dans la base de données.
Personnaliser la taxonomie de classification
La fonctionnalité Découverte et classification des données fait partie de Microsoft Defender pour le cloud. Vous pouvez personnaliser la taxonomie des étiquettes de confidentialité et définir un jeu de règles de classification spécialement pour votre environnement.
Vous pouvez créer et gérer des étiquettes de confidentialité dans le cadre de la gestion des stratégies en sélectionnant Découverte des données et classification dans le panneau principal de votre instance Azure SQL Database, puis Configurer.
Sur la page Protection des informations, vous pouvez définir des étiquettes, les classer et les lier à un ensemble de types d’informations.
Une fois que vous avez défini les modèles, ils sont ajoutés automatiquement à la logique de découverte pour identifier ce type de données dans vos bases de données et sont immédiatement disponibles.
Notes
Seuls les utilisateurs disposant de droits d’administration sur le groupe d’administration racine de l’organisation peuvent créer et gérer des étiquettes de confidentialité.