Adatfelderítés és -besorolás

A következőre vonatkozik: Azure SQL DatabaseAzure SQL Managed InstanceAzure Synapse Analytics

Az adatfelderítés és -besorolás az Azure SQL Database, a felügyelt Azure SQL-példány és az Azure Synapse Analytics részét képezi. It provides basic capabilities for discovering, classifying, labeling, and reporting the sensitive data in your databases.

A legérzékenyebb adatok közé tartozhatnak üzleti, pénzügyi, egészségügyi vagy személyes adatok. Infrastruktúraként alkalmas lehet az alábbiakra:

  • Segítség az adatvédelemre és a jogszabályi megfelelőségre vonatkozó követelményeknek való megfeleléshez.
  • Különböző biztonsági forgatókönyvek, például a bizalmas adatokhoz való hozzáférés figyelése (naplózása).
  • A rendkívül bizalmas adatokat tartalmazó adatbázisokhoz való hozzáférés szabályozása és biztonságának növelése.

Megjegyzés:

A helyszíni SQL Serverrel kapcsolatos információkért lásd az SQL Data Discovery > Besorolás című témakört.

Mi az az adatfelderítés és -besorolás?

Az adatfelderítés és -besorolás jelenleg a következő képességeket támogatja:

  • Felderítés és javaslatok: A besorolási motor megvizsgálja az adatbázist, és azonosítja a potenciálisan bizalmas adatokat tartalmazó oszlopokat. Így egyszerűen áttekintheti és alkalmazhatja az ajánlott besorolást az Azure Portalon.

  • Címkézés: Az SQL Server adatbázismotorhoz hozzáadott új metaadat-attribútumok használatával tartósan alkalmazhat bizalmassági besorolású címkéket az oszlopokra. Ez a metaadatok ezután bizalmassági alapú naplózási forgatókönyvekhez használhatók.

  • Lekérdezési eredményhalmaz bizalmassága: A lekérdezési eredményhalmaz érzékenységét valós időben számítjuk ki naplózási célokra.

  • Láthatóság: Az adatbázis-besorolás állapotát egy részletes irányítópulton tekintheti meg az Azure Portalon. Emellett letöltheti a jelentéseket Excel formátumban megfelelőségi és naplózási célokra és egyéb igényekre.

Bizalmas oszlopok felderítése, besorolása és címkézése

Ez a szakasz a következő lépésekre mutat be:

  • Bizalmas adatokat tartalmazó oszlopok felderítése, besorolása és címkézése az adatbázisban.
  • Az adatbázis aktuális besorolási állapotának megtekintése és jelentések exportálása.

A besorolás két metaadat-attribútumot tartalmaz:

  • Címkék: Az oszlopban tárolt adatok bizalmassági szintjének meghatározásához használt fő besorolási attribútumok.
  • Információtípusok: Olyan attribútumok, amelyek részletesebb információkat nyújtanak az oszlopban tárolt adatok típusáról.

Information Protection-szabályzat

Az Azure SQL az SQL Information Protection-szabályzatot és a Microsoft Information Protection-szabályzatot is kínálja az adatbesorolásban, és a követelményeknek megfelelően választhatja ki a két szabályzat egyikét.

Screenshot of Information Protection policy types.

SQL Information Protection-szabályzat

A Data Discovery > Besorolás beépített bizalmassági címkékkel és információtípusokkal rendelkezik, amelyek felderítési logikája natív az SQL logikai kiszolgálón. Továbbra is használhatja az alapértelmezett szabályzatfájlban elérhető védelmi címkéket, vagy testre szabhatja ezt az osztályozást. A besorolási szerkezetek halmazát és rangsorolását kifejezetten a környezetéhez határozhatja meg.

A besorolási osztályozás definiálása és testreszabása

A besorolási osztályozást egy központi helyen határozhatja meg és szabhatja testre a teljes Azure-szervezet számára. Ez a hely a biztonsági szabályzat részeként Felhőhöz készült Microsoft Defender található. Ezt a feladatot csak a szervezet gyökérszintű felügyeleti csoportjában rendszergazdai jogosultsággal rendelkező személy végezheti el.

A szabályzatkezelés részeként definiálhat egyéni címkéket, rangsorolhatja őket, és hozzárendelheti őket egy kiválasztott információtípushoz. Saját egyéni adattípusokat is hozzáadhat, és sztringmintákkal konfigurálhatja őket. A minták hozzáadódnak a felderítési logikához az ilyen típusú adatok azonosításához az adatbázisokban.

További információ: Sql Information Protection-szabályzat testreszabása a Felhőhöz készült Microsoft Defender (előzetes verzióban).

A szervezeti szintű szabályzat definiálása után a testre szabott szabályzat használatával továbbra is osztályozhatja az egyes adatbázisokat.

Adatbázis besorolása SQL Information Protection-szabályzat módban

Megjegyzés:

Az alábbi példa az Azure SQL Database-t használja, de ki kell választania a megfelelő terméket, amelyet konfigurálni szeretne az Adatfelderítés és -besorolás beállításához.

  1. Nyissa meg az Azure Portalt.

  2. Nyissa meg a Data Discovery > Besorolást az Azure SQL Database panel Biztonsági fejléce alatt. Az Áttekintés lap az adatbázis aktuális besorolási állapotának összegzését tartalmazza. Az összegzés tartalmazza az összes besorolt oszlop részletes listáját, amelyet szűrhet is, hogy csak bizonyos sémarészeket, információtípusokat és címkéket jelenítsen meg. Ha még nem sorolt be oszlopokat, ugorjon a 4. lépésre.

    Overview

  3. Ha Excel formátumban szeretne letölteni egy jelentést, válassza az Exportálás lehetőséget a panel felső menüjében.

  4. Az adatok besorolásának megkezdéséhez válassza a Besorolás lapot az Adatfelderítés > Besorolás lapon.

    A besorolási motor megvizsgálja az adatbázist a potenciálisan bizalmas adatokat tartalmazó oszlopokon, és felsorolja az ajánlott oszlopbesorolásokat.

  5. Besorolási javaslatok megtekintése és alkalmazása:

    • Az ajánlott oszlopbesorolások listájának megtekintéséhez válassza a javaslatok panelt a panel alján.

    • Ha egy adott oszlopra vonatkozó javaslatot szeretne elfogadni, jelölje be a megfelelő sor bal oldali oszlopában lévő jelölőnégyzetet. Ha minden javaslatot elfogadottként szeretne megjelölni, jelölje be a bal szélső jelölőnégyzetet a javaslatok táblafejlécében.

    • A kijelölt javaslatok alkalmazásához válassza a Kijelölt javaslatok elfogadása lehetőséget.

    Recommendations for classification

  6. Az oszlopokat manuálisan is besorolhatja alternatívaként vagy a javaslatalapú besorolás mellett:

    1. Válassza a Besorolás hozzáadása lehetőséget a panel felső menüjében.

    2. A megnyíló környezeti ablakban válassza ki a besorolni kívánt sémát, táblázatot és oszlopot, valamint az információtípust és a bizalmassági címkét.

    3. Válassza a Besorolás hozzáadása lehetőséget a környezeti ablak alján.

    Manually add classification

  7. A besorolás befejezéséhez és az adatbázisoszlopok állandó címkézéséhez (címkéjéhez) az új besorolási metaadatokkal válassza a Mentés lehetőséget a Besorolás lapon.

Microsoft Information Protection-szabályzat

A Microsoft Information Protection (MIP) címkéi egyszerű és egységes módot biztosítanak a felhasználók számára a bizalmas adatok különböző Microsoft-alkalmazások közötti egységes besorolására. A MIP bizalmassági címkéi a Microsoft 365 megfelelőségi központjában jönnek létre és kezelhetők. Ha tudni szeretné, hogyan hozhat létre és tehet közzé bizalmas MIP-címkéket a Microsoft 365 megfelelőségi központban, olvassa el a bizalmassági címkék létrehozása és közzététele című cikket.

A MIP-házirendre való váltás előfeltételei

  • Az aktuális felhasználó bérlőszintű biztonsági Rendszergazda engedéllyel rendelkezik a házirend bérlői gyökérszintű felügyeleti csoport szintjén való alkalmazásához. További információ: Bérlői szintű engedélyek megadása saját magának. Screenshot of Azure portal request for tenant level Security Admin permissions.
  • A bérlője aktív Microsoft 365-előfizetéssel rendelkezik, és ön címkéket tett közzé az aktuális felhasználó számára. További információ: Bizalmassági címkék és szabályzataik létrehozása és konfigurálása.

Adatbázis besorolása Microsoft Information Protection-szabályzat módban

  1. Nyissa meg az Azure Portalt.

  2. Navigálás az adatbázishoz az Azure SQL Database-ben

  3. Nyissa meg az Adatfelderítés > Besorolás lehetőséget az adatbázis panel Biztonsági fejléce alatt.

  4. A Microsoft Information Protection-szabályzat kiválasztásához válassza az Áttekintés lapot, majd a Konfigurálás lehetőséget.

  5. Válassza a Microsoft Information Protection-szabályzatot az Information Protection-házirend beállításai között, majd válassza a Mentés lehetőséget.

    Screenshot of selecting Microsoft Information Protection policy for Azure SQL Database.

  6. Ha a Besorolás lapra lép, vagy a Besorolás hozzáadása lehetőséget választja, az M365 bizalmassági címkék megjelennek a Bizalmassági címkék legördülő listában.

    Screenshot of Sensitivity label dropdown.

    Screenshot of Sensitivity label in the Classification tab.

  • Az információ típusa [n/a] miP-házirend módban van, és az automatikus adatfelderítés és -javaslatok továbbra is le vannak tiltva.

  • Figyelmeztető ikon jelenhet meg egy már besorolt oszlopon, ha az oszlop besorolása az aktuálisan aktív szabályzattól eltérő Information Protection-szabályzattal történt. Ha például az oszlop címkével lett besorolva az SQL Information Protection-szabályzattal korábban, és most Microsoft Information Protection-szabályzat módban van. Az adott oszlopra figyelmeztető ikon jelenik meg. Ez a figyelmeztető ikon nem jelez problémát, de csak tájékoztatási célokra használható.

    Screenshot of warnings for classified columns because of different Information Protection policies.

Bizalmas adatokhoz való hozzáférés naplózása

A besorolás fontos eleme a bizalmas adatokhoz való hozzáférés figyelésének képessége. Az Azure SQL-naplózást továbbfejlesztettük, hogy egy új mezőt is belefoglaljon a naplóba.data_sensitivity_information Ez a mező naplózza a lekérdezés által visszaadott adatok bizalmassági besorolását (címkéit). Példa:

Audit log

Ezek azok a tevékenységek, amelyek valójában bizalmassági adatokkal ellenőrizhetők:

  • ALTER TABLE ... DROP COLUMN
  • TÖMEGES BESZÚRÁS
  • SELECT
  • Törlés...
  • INSERT
  • EGYESÍTÉSE
  • UPDATE
  • SZÖVEG FRISSÍTÉSE
  • SZÖVEG ÍRÁSA
  • DROP TABLE
  • BACKUP
  • DBCC CloneDatabase
  • Standard kiadás LECT INTO
  • IN STANDARD KIADÁS RT INTO EXEC
  • TRUNCATE TABLE
  • DBCC SHOW_STATISTICS
  • sys.dm_db_stats_histogram

A sys.fn_get_audit_file használatával adatokat kaphat vissza egy Azure Storage-fiókban tárolt auditfájlból.

Permissions

Ezek a beépített szerepkörök beolvashatják az adatbázisok adatbesorolását:

  • Owner
  • Reader
  • Contributor
  • SQL Security Manager
  • User Access Administrator

Az adatbázisok adatbesorolásának olvasásához a következő műveletek szükségesek:

  • Microsoft.Sql/servers/databases/currentSensitivityLabels/*
  • Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

Ezek a beépített szerepkörök módosíthatják az adatbázisok adatbesorolását:

  • Owner
  • Contributor
  • SQL Security Manager

Az adatbázis adatbesorolásának módosításához a következő műveletek szükségesek:

  • Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*

További információ a szerepköralapú engedélyekről az Azure RBAC-ben.

Megjegyzés:

Az ebben a szakaszban szereplő Azure SQL beépített szerepkörök egy dedikált SQL-készletre (korábbi nevén SQL DW) vonatkoznak, de dedikált SQL-készletekhez és más SQL-erőforrásokhoz nem érhetők el az Azure Synapse-munkaterületeken belül. Az Azure Synapse-munkaterületeken található SQL-erőforrások esetében az adatbesoroláshoz elérhető műveletekkel szükség szerint egyéni Azure-szerepköröket hozhat létre a címkézéshez. További információ a Microsoft.Synapse/workspaces/sqlPools szolgáltatói műveletekről: Microsoft.Synapse.

Manage classifications

A besorolások kezeléséhez használhat T-SQL-t, REST API-t vagy PowerShellt.

Use T-SQL

A T-SQL használatával oszlopbesorolásokat vehet fel vagy távolíthat el, valamint a teljes adatbázis összes besorolását lekérheti.

Megjegyzés:

Ha a T-SQL használatával kezeli a címkéket, nincs ellenőrzés arra vonatkozóan, hogy az oszlophoz hozzáadott címkék léteznek-e a szervezet adatvédelmi szabályzatában (a portál javaslataiban megjelenő címkék készletében). Tehát önön múlik, hogy érvényesítse ezt.

A T-SQL besorolásokhoz való használatával kapcsolatos információkért tekintse meg a következő hivatkozásokat:

PowerShell-parancsmagok használata

A PowerShell használatával kezelheti az Azure SQL Database és az Azure SQL Managed Instance besorolásait és javaslatait.

PowerShell-parancsmagok az Azure SQL Database-hez

PowerShell-parancsmagok felügyelt Azure SQL-példányhoz

Use the REST API

A REST API használatával programozott módon kezelheti a besorolásokat és javaslatokat. A közzétett REST API a következő műveleteket támogatja:

  • Létrehozás vagy frissítés: Létrehozza vagy frissíti a megadott oszlop bizalmassági címkéjét.
  • Törlés: Törli a megadott oszlop bizalmassági címkéjét.
  • Javaslat letiltása: Letiltja a bizalmassági javaslatokat a megadott oszlopban.
  • Javaslat engedélyezése: Engedélyezi a bizalmassági javaslatokat a megadott oszlopban. (Javaslatok alapértelmezés szerint minden oszlopban engedélyezve vannak.)
  • Lekérés: Lekéri a megadott oszlop bizalmassági címkéjét.
  • Aktuális adatbázis szerinti lista: Lekéri a megadott adatbázis aktuális bizalmassági címkéinek listáját.
  • Adatbázis által ajánlott lista: Lekéri a megadott adatbázis ajánlott bizalmassági címkéinek listáját.

Besorolási metaadatok lekérése SQL-illesztőprogramokkal

A besorolási metaadatok lekéréséhez az alábbi SQL-illesztőprogramok használhatók:

Gyakori kérdések – Speciális besorolási képességek

Kérdés: A Microsoft Purview lecseréli az SQL Data Discovery > besorolást, vagy az SQL Data Discovery > besorolás hamarosan megszűnik? Válasz: Továbbra is támogatjuk az SQL Data Discovery > besorolást, és javasoljuk, hogy olyan Microsoft Purview-t vezessen be, amely gazdagabb képességekkel rendelkezik a speciális besorolási képességek és az adatszabályozás előmozdításához. Ha valamilyen szolgáltatás, funkció, API vagy termékváltozat kivezetése mellett döntünk, arról előzetes értesítést kap a migrálási vagy áttérési tervvel együtt. A Microsoft életciklus-szabályzatairól itt olvashat bővebben.

További lépések